Unsichere VPNs: Unternehmen sorgen sich um Sicherheit
Zscaler, Anbieter von Cloud-Sicherheit, veröffentlicht die Ergebnisse seines jährlichen VPN Risk Reports. Daraus geht hervor, dass eine überwältigende Anzahl von Unternehmen aufgrund der von VPNs ausgehenden Risiken große Bedenken hinsichtlich ihrer Netzwerksicherheit äußert – Zero Trust.
Der Bericht basiert auf einer Umfrage unter 382 IT- und Cybersecurity-Fachleuten aus verschiedenen Branchen und untersucht deren Herausforderungen in Bezug auf IT-Sicherheit und Anwendererfahrung. Die Ergebnisse legen nahe, dass Unternehmen ihre „Security Posture“ aufgrund der zunehmenden Bedrohung durch Cyberkriminelle, die Schwachstellen in VPNs ausnutzen, neu bewerten müssen.
„92 Prozent der Befragten ist sich der Bedeutung einer Zero Trust-Architektur im Kampf gegen Cyberkriminalität bewusst. Besorgniserregend ist, dass dennoch viele Unternehmen nach wie vor VPNs für den Remote-Zugriff von Mitarbeitenden und Drittanbietern verwenden und damit unbeabsichtigt eine Angriffsfläche für Bedrohungsakteure bieten“, sagt Deepen Desai, Global CISO und Head of Security Research bei Zscaler. „Um sich vor den wandelnden Ransomware-Angriffen zu schützen, ist es für Unternehmen von entscheidender Bedeutung, die Verwendung von VPNs zu eliminieren, die Segmentierung von Usern zu Anwendungen zu priorisieren und eine kontextbezogene Data Loss Prevention Engine mit vollständiger TLS-Inspektion zu implementieren.“
VPN-Schwachstellen unterstreichen die Notwendigkeit einer Zero Trust-Architektur
88 Prozent der Unternehmen sind sehr besorgt über potenzielle Sicherheitsverletzungen aufgrund von VPN-Schwachstellen. Dabei bieten insbesondere Phishing-Attacken (49 Prozent) und Ransomware-Angriffe (40 Prozent) als Folge der regelmäßigen VPN-Nutzung Anlass zur Sorge.
Fast die Hälfte der Unternehmen verzeichnete Cyberangriffe über eine VPN-Schwachstelle wie veraltete Protokolle oder Datenlecks. Jedes fünfte Unternehmen gab an, im letzten Jahr von einem solchen Angriff betroffen gewesen zu sein. Insbesondere Ransomware hat sich zu einer großen Gefahr entwickelt: 33 Prozent der Befragten wurden im vergangenen Jahr Opfer von Ransomware-Angriffen, die auf VPNs abzielen.
User von Drittparteien bieten Grund zur Sorge
90 Prozent der Unternehmen sind trotz Sicherheitsvorkehrungen sehr besorgt darüber, dass Drittanbieter von Angreifern kompromittiert werden und sich Cyberkriminelle über diese Hintertür Zugang zu ihren Netzwerken verschaffen. Externe User wie Kontraktoren und Lieferanten stellen aufgrund unterschiedlicher Sicherheitsstandards, mangelnder Transparenz ihrer Sicherheitspraktiken und der Komplexität der Verwaltung des externen Zugriffs ein potenzielles Risiko dar.
Herkömmliche Netzwerk- und Sicherheitsarchitekturen erlauben den Zugriff auf interne Anwendungen durch direkten Zugriff auf das Netzwerk. Sie vertrauen darauf, dass die Benutzer ihre Anmeldedaten am Zugriffspunkt bestätigen können. Das stellt ein Problem dar, sobald diese Anmeldedaten gestohlen wurden. Bei einem Zero Trust-Ansatz verbinden sich die User direkt mit den benötigten Anwendungen und Ressourcen, und nicht mit den Netzwerken. Verbindungen vom User zur Anwendung und von Anwendung zu Anwendung eliminieren das Risiko von lateralen Bewegungen, wodurch verhindert wird, dass kompromittierte Geräte andere Ressourcen infizieren. Außerdem sind User und Anwendungen im Internet unsichtbar, sodass sie weder entdeckt noch angegriffen werden können.
Schlechtes Anwendererlebnis kann zu Sicherheitsproblemen führen
Zusätzlich zu den Sicherheitsbedenken sind 72 Prozent der User aufgrund langsamer und unzuverlässiger Verbindungen unzufrieden mit ihrer derzeitigen VPN-Erfahrung. Ein Viertel (25 Prozent) ist wegen der langsamen Anwendungsgeschwindigkeit frustriert, während 21 Prozent mit häufigen Verbindungsunterbrechungen zu kämpfen haben.
Eine unzuverlässige Internetverbindung trägt zu einer schlechten Anwendererfahrung bei, was zu Frustration und geringerem Engagement führt. Darüber hinaus können die Komplexität der Authentifizierung und Reibungsverluste zu Produktivitätseinbußen, Umsatzeinbußen und einem erhöhten Risiko von Datenverlusten durch User führen, die ineffiziente VPN-Services unterlaufen.
Wechsel auf Zero Trust
Unternehmen, die sich der Sicherheits- und Anwendererfahrungsprobleme von VPNs bewusst sind, wechseln zu Zero Trust-Architekturen. Immerhin erkennen 92 Prozent der Befragten die Bedeutung eines Zero Trust-Ansatzes für den Schutz ihrer Assets und Daten – ein Anstieg von 12 Prozent im Vergleich zum Vorjahr. 69 Prozent planen bereits, ihre aktuellen VPN-Lösungen durch Zero Trust Network Access zu ersetzen. Der Bericht empfiehlt Unternehmen, eine Zero Trust-Architektur zu implementieren, um die mit VPN-Schwachstellen verbundenen Risiken wirksam zu bekämpfen und ihre sensiblen Daten und Anwendungen vor Cyberangriffen zu schützen.
Methodik: Der Zscaler VPN-Report 2023 basiert auf einer Umfrage unter 382 IT-Fachleuten und Cybersecurity-Experten und untersucht deren vielschichtigen Herausforderungen in Bezug auf Sicherheit und Anwenderfreundlichkeit. Der VPN Risk Report 2023 zeigt die Komplexität der heutigen VPN-Verwaltung, Probleme bei der User Experience, Schwachstellen, die von Cyberangriffen ausgenutzt werden und ihr Potenzial, die allgemeine Sicherheitslage von Unternehmen zu beeinträchtigen.