von Pantelis Astenburg, Vice President Global Sales DACH von Versa
Die Art und Weise, wie Mitarbeiter auf Unternehmensressourcen zugreifen, hat sich fundamental verändert. Homeoffice, mobile Endgeräte und Cloud-basierte Anwendungen sind längst zur Normalität geworden. Doch während sich die Arbeitsweise modernisiert hat, setzen viele Unternehmen nach wie vor auf eine Technologie, die für eine andere Ära entwickelt wurde: Virtual Private Networks (VPN).
Die VPN-Problematik: Zu viel Vertrauen, zu wenig Kontrolle
VPNs erfüllen grundsätzlich ihren Zweck: Sie verschlüsseln Datenverbindungen und ermöglichen Remote-Zugriff auf das Unternehmensnetzwerk. Doch genau hier liegt das Problem: Ein VPN gewährt authentifizierten Nutzern typischerweise Zugang zum gesamten Firmennetzwerk. Dieses Prinzip des „impliziten Vertrauens“ bedeutet, dass sich Anwender in aller Regel sehr frei im Netzwerk bewegen können. Sie sind so in der Lage, auf alle privaten Anwendungen zuzugreifen – ganz unabhängig davon, ob sie diese für ihre Tätigkeit benötigen oder nicht. Die logische Folge: Wird ein Konto kompromittiert, stehen den Angreifern jede Menge Türen offen und sie können sich relativ einfach in den Systemen umsehen und sich lateral bewegen.
Ein weiteres gravierendes Problem traditioneller VPN-Architekturen zeigt sich bei wachsenden Unternehmen. So wird VPN schnell zum Flaschenhals, wenn die Zahl der Remote-Nutzer steigt. Die Folgen sind verlangsamte Verbindungen, Unterbrechungen bei der Übertragung großer Dateien und eine insgesamt schlechte Nutzererfahrung. Dies gilt insbesondere für bandbreitenintensive Anwendungen wie Video-Calls. Gestresste Mitarbeitende reagieren nicht selten mit einer riskanten Workaround-Strategie: Sie deaktivieren die VPN-Verbindung und greifen direkt auf Ressourcen zu, wodurch die ohnehin eingeschränkte Sicherheit vollständig umgangen wird. Die naheliegende Lösung, also zusätzliche VPN-Verbindungen, führt zu steigenden Kosten für Hardware, Lizenzen und Wartung. Zudem erhöht sich die Komplexität der Verwaltung erheblich, wenn mehrere Systeme koordiniert werden müssen.
Mangelnde Transparenz als unterschätztes Risiko
Ein weiterer häufig übersehener Schwachpunkt von VPN-Lösungen ist die begrenzte Transparenz. Sicherheitsverantwortliche sehen zwar aggregierte Nutzer-Daten, aber granulare Einblicke in individuelle Nutzeraktivitäten fehlen weitgehend. Durch die Verschlüsselung des VPN-Tunnels ist kaum nachzuvollziehen, welche Anwendungen ein bestimmter Nutzer tatsächlich verwendet und welche Daten übertragen werden. Diese eingeschränkten Einblicke erschweren nicht nur die Fehlersuche und Performance-Optimierung, sondern auch die Erkennung von Sicherheitsvorfällen. Verdächtige Aktivitäten oder Datenexfiltrationen können so kaum identifiziert werden.
Zeit für einen Paradigmenwechsel
Das Zero-Trust-Prinzip kehrt die Logik traditioneller Netzwerksicherheit um: Statt Nutzern nach erfolgreicher Authentifizierung pauschal zu vertrauen, wird jede Zugriffsanfrage kontinuierlich überprüft. Die Maxime lautet dabei „Never trust, always verify“.
Zero-Trust-Network-Access (ZTNA)-Lösungen setzen diesen Ansatz durch verschiedene Mechanismen um. So erfolgt zunächst eine umfassende Verifizierung des Nutzers und des Endgeräts. Geprüft werden nicht nur Anmeldedaten, sondern auch der Security-Status des Geräts: Welches Betriebssystem ist installiert? Ist eine aktuelle Endpoint-Detection-and-Response-Software vorhanden? Von welchem geografischen Standort erfolgt der Zugriff? Welcher Browser wird verwendet?
Nach erfolgreicher Authentifizierung greift das Prinzip der minimalen Rechtevergabe. Ein Vertriebsmitarbeiter, der lediglich auf das CRM-System zugreifen muss, erhält ausschließlich Zugang zu dieser einen Anwendung – nicht zum gesamten Unternehmensnetzwerk. Diese Mikrosegmentierung verhindert laterale Bewegungen von Bedrohungen effektiv.
Der vielleicht wichtigste Unterschied zu VPN liegt in der kontinuierlichen Überwachung. Während eine VPN-Verbindung nach einmaliger Authentifizierung bestehen bleibt, evaluiert ZTNA die Sicherheitslage permanent. Ändert sich der Kontext wie beispielsweise den Wechsel der geografischen Position, kann der Zugriff sofort widerrufen oder eingeschränkt werden. Diese dynamische Zugriffskontrolle ermöglicht auch eine kontextabhängige Berechtigung. Ein Mitarbeiter, der vom Firmennetzwerk aus arbeitet, kann über erweiterte Rechte verfügen, während dieselbe Person von einem Café aus nur eingeschränkten Zugriff erhält.
SASE: ZTNA als Teil einer umfassenden Architektur
Zero Trust Network Access entwickelt sein volles Potenzial als Bestandteil einer Secure Access Service Edge (SASE)-Plattform. SASE konvergiert Netzwerk- und Sicherheitsfunktionen in einer einzigen Architektur und ergänzt den Fernzugriff um zusätzliche Schutzebenen wie Next-Generation Firewalls mit zustandsorientierter Inspektion, DDoS-Schutz, Secure Web Gateways (SWG), Cloud Access Security Broker (CASB) und Data Loss Prevention (DLP).
Zudem ermöglichen moderne SASE-Lösungen auch intelligentes Traffic-Routing. Statt alle Nutzer durch ein zentrales Gateway zu schleusen, verteilt das System die Verbindungen dynamisch über ein globales Netzwerk von Points of Presence (PoPs). Dabei wird jedoch nicht einfach das geografisch nächste Gateway gewählt, sondern die gesamte Route zur Zielanwendung optimiert. Faktoren wie Latenz, verfügbare Bandbreite und aktuelle Auslastung fließen in die Entscheidung ein. Diese Optimierung verbessert die Nutzererfahrung erheblich und verhindert Performance-Engpässe.
Die Schwächen traditioneller VPN-Lösungen werden in der modernen, hybriden Arbeitswelt immer offensichtlicher. Zu weit gefasster Netzwerkzugang, Performance-Probleme, mangelnde Sichtbarkeit und hohe Betriebskosten sprechen eine klare Sprache. Zero Trust Network Access als Teil einer SASE-Architektur adressiert diese Herausforderungen durch ein grundlegend anderes Sicherheitsmodell. Die granulare Sichtbarkeit ermöglicht bessere Compliance-Nachweise und erleichtert forensische Untersuchungen bei Sicherheitsvorfällen. Sicherheitsverantwortliche sehen exakt, wer wann auf welche Ressourcen zugegriffen hat – eine Transparenz, die mit VPN nicht erreichbar war. Und genau diese tiefe Transparenz bildet auch die Grundlage für eine erhöhte Cyber-Resilienz.

