Zero Trust: Theorie und Praxis
Im dritten Jahr der Corona-Pandemie ist längst klar, dass vielen Unternehmen das Virus als wahrer Segen für das eigene Geschäft in Erinnerung bleiben dürfte. Die Hersteller von VPN-Lösungen fallen zweifelsfrei in diese Kategorie: Als Homeoffice und Telearbeit in vielen Firmen von der Ausnahme zur Regel mutierten, wurden vorhandene VPN-Lösungen 1 vielerorts zum Nadelöhr. Kaum jemand hatte damit gerechnet, dass von heute auf morgen die auf den VPN-Gateways anliegende Last explodieren würde. Die großen Netzwerkhersteller halfen ihrer Kundschaft da gern aus, und viele Ad- mins legten sich leistungsfähigere Systeme für OpenVPN zu 2.
Implizit gehen bei der Verwendung von VPNs alle Beteiligten von folgender Prämisse aus: Es gibt einen Unterschied zwischen dem internen und dem externen Netz, und es gilt, interne Clients anders zu behandeln als externe. VPNs kommen regelmäßig gerade deshalb zum Einsatz, weil spezifische Dienste aus dem Internet gar nicht erreichbar sein sollen. In vielen Unternehmen bilden sie einen Bestandteil einer seit vielen Jahren organisch gewachsenen Sicherheitsarchitektur. Weil die Anforderungen an Sicherheit in den vergangenen zwei Dekaden kontinuierlich stiegen, haben Firmen immer mehr Geld in private Netze investiert und immer mehr Dienste von der Außenwelt abgeschnitten.
Gerade große Firmen und Institutionen sind längst dazu übergegangen, den Zugriff auf E-Mails via Internet zu verbieten. An den Mailserver kommt man nur noch heran, indem man sich in das VPN einloggt. Das bringt allerlei mehr oder weniger witzige Nebeneffekte mit sich. Außendienstmitarbeiter etwa fluchen, wenn sie gerade irgendwo auf dem platten Land für einen Kunden einen Vertrag anlegen wollen, das VPN wegen der instabilen Leitung aber gerade nicht funktioniert.
Lange Historie
Ausdrücklich sei an dieser Stelle fest gehalten, dass Admins in der Regel keine Schuld an diesen Zuständen trifft. Gerade große Firmen setzen auf