VPN legt Daten für 1 Million Nutzer offen, hat das VPN noch eine Zukunft

Experten warnen davor, dass virtuelle private Netzwerke zunehmend anfällig für Lecks und Angriffe werden.

Durch eine letztens bekannt gewordene Schwachstelle im kostenlose VPN-Dienst (Virtual Private Network) Quickfox, wurden die Benutzerinformationen von über einer Million Benutzern offengelegt. Quickfox wird häufig genutzt, um Zugriff auf chinesische Websites von ausserhalb des Landes zu ermöglichen.

Dieser Vorfall sorgt dafür, dass sich einige Sicherheitsexperten die Frage stellen, ob VPN eine veraltete Technologie ist.

Forscher von WizCase entdeckten, dass Quickfox die Stack-Sicherheit von Elasticsearch, Logstash und Kibana des VPN-Dienstes falsch konfiguriert hatte. Diese drei Teile helfen bei der Verwaltung von Suchen, erklärte der Bericht von WizCase.

„Quickfox hatte Zugriffsbeschränkungen von Kibana eingerichtet, aber nicht dieselben Sicherheitsmassnahmen auch für seinen Elasticsearch-Server eingerichtet“, heisst es in dem Bericht. Weiter wird folgendes gesagt, „Das bedeutet, dass jeder mit einem Browser und einer Internetverbindung auf Quickfox-Protokolle zugreifen und sensible Informationen über Quickfox-Benutzer extrahieren kann.“

Betroffen waren Quickfox-Benutzer in Indonesien, Japan, Kasachstan und den USA, fanden die Forscher heraus und fügten hinzu, dass insgesamt 500 Millionen Datensätze und 100 GB Daten offengelegt wurden.

Die durchgesickerten Daten fielen in eine von zwei Kategorien, zum einen E-Mails und Telefonnummern und zum anderen aber auch Informationen über Software auf den Geräten der Quickfox-Benutzern.

„Daten aus dem Leck legen die Namen anderer Software offen, die auf den Geräten der Benutzer installiert ist, sowie den Dateispeicherort, das Installationsdatum und die Versionsnummer. Es ist unklar, warum das VPN diese Daten sammelt, da dies für den Betrieb unnötig ist und das bei anderen VPN-Diensten auch nicht üblich ist“, so die Forscher in dem Bericht.

VPNs sind immer anfälliger, aber ist Zero-Trust die Lösung

Seit der Pandemie ist die VPN-Nutzung durch Unternehmen explodiert, um Remote-Mitarbeitern den Zugriff auf die Systeme zu erleichtern, die für die Ausführung ihrer Aufgaben erforderlich sind.

Aber nach groben VPN-Sicherheitsfehlern wie dem Fall bei Colonial Pipeline hat die US-Regierung beschlossen, sich mit der Härtung von VPNs zu befassen.

Die Einführung eines Zero-Trust-Sicherheitsmodells ist eine Lösung, um sich auf VPNs zu verlassen, aber das ist sowohl teuer als auch schwer zu implementieren.

„Zero-Trust-Modelle mögen zwar in der Tat eine sicherere Lösung sein, ihre Einführung wird jedoch zu höheren logistischen und finanziellen Kosten führen. Viele Unternehmen werden die fortgesetzte Nutzung eines VPN wahrscheinlich als eine pragmatischere kurzfristige Lösung empfinden“, sagte Chris Morgan, Analyst bei Digital Shadows.

Benutzerverhalten als grosser Treiber

Das Benutzerverhalten der Mitarbeiter ist ein weiterer wichtiger Aspekt. In Zukunft sollen die menschlichen Elemente mehr berücksichtigt werden. Die Informationssicherheitsexperten stehen vor der Herausforderung, ihre Mitarbeiter dazu zu bringen, die Technologie effektiver zu nutzen. Wenn das VPN schwierig zu verwenden ist oder Systeme gar verlangsamt, wird der Mitarbeiter es ablehnen oder versuchen zu deaktivieren. Die Herausforderung besteht nun darin, eine VPN-Lösung zu finden, die schnell und zuverlässig ist, damit die Mitarbeiter damit arbeiten können, wie wenn diese gar nicht vorhanden ist.

Ebenfalls ist es an der Zeit von den Mitarbeitern zu verlangen, sich mehr mit diesen Risiken auseinander zu setzen.

Neben den VPNs ist es ein guter Ansatz für die Mitarbeiter, vermehrt Zugänge zu erstellen, welche über 2FA (Zwei-Faktor-Authentifizierung) verfügen. Dadurch wird der Zugriff bereits um eine Stufe sicherer und die Verwendung der 2FA-Verfahren befinden sich im Rahmen dessen, was den Mitarbeitern regelmässig zugemutet werden kann. Es gilt nach wie vor ein gutes Mass zwischen Sicherheit und der Anwendung dessen zu finden.

Welche Erfahrungen hast Du mit diesem Thema gemacht? Sind VPNs Schnee von gestern oder siehst Du darin nach wie vor eine Zukunft?

Für mich sind VPN noch immer ein gutes Mittel zur sicheren Verbindung. Nicht in jedem Fall ist eine 2FA-Lösung zielführend oder gar einfach umsetzbar. Doch bei VPNs muss extrem auf die Anwendung und die Sicherheit der Software geachtet werden.

Idealerweise sollten keine VPNs gebaut werden, welche rein auf Benutzername und Passwort für die Authentisierung basieren.

Willst Du nicht der Mitarbeiter sein, welche sich hier Gedanken macht, wie die Sicherheit der Mitarbeiter in Zukunft für Dein Unternehmen aussehen wird? Solche Fragen werden in Zukunft immer mehr gestellt und es wird unbedingt mehr Experten dafür brauchen. Mit meinem Coaching biete ich Dir die Chance, dass auch Du bei solche spannenden Themen mitreden kannst und erst noch federführend daran beteiligt bist. Nutze Deine Chance und melde Dich bei mir für ein erstes Gespräch, wo wir über Deine Möglichkeiten sprechen.

Quelle: WizCase