In einer Zeit in der breitbandige DSL Verbindungen so gut wie überall verfügbar sind möchten natürlich viele PC Nutzer auch von überall auf das heimische Netzwerk zugreifen. Sei es um Email zu lesen, mit der Warenwirtschaft zu arbeiten, oder um im Unternehmensinternen Dokumentenmanagement System zu arbeiten. Diese Möglichkeiten erschließen sich aus der Öffnung der Unternehmens-IT. Dieses aber bedeutet, dass man unter Umständen Informationen preis gibt, da das Internet, über welches Informationen transportiert werden, keineswegs eine „Verschlusssache“ ist, sondern von jedem, der Zugang zu einem entsprechenden Knoten hat, einsehbar ist. Je nach dem wie der Provider sein Rechenzentrum aufbaut, kann jeder, der in diesem Rechenzentrum einen Server betreibt, Informationen mitlesen, welche zu vielen anderen Systemen im gleichen Netzwerk transportiert oder durchgeschleust werden. Aus diesem Grund müssen Informationen, welche durch unsichere Netzwerke transportiert werden verschlüsselt werden. Unsicher sind per se alle Netzwerke, welche man nicht selbst betreibt, da sich hier Naturgemäß der Einfluss auf den Aufbau in engen Grenzen hält.

Wie wird verschlüsselt?

Verschlüsselt wird immer zwischen zwei definierten Punkten, welche auch als Security Associations bezeichnet werden. Das können zwei VPN Gateways sein oder auch ein PC mit entsprechender Software und ein VPN Endgerät. Als Verschlüsselungsverfahren kommen zum einen sogenannte Pre Shared Key Verfahren und zum anderen Public Key Verfahren zum Einsatz.

Preshared Key Verfahren benutzen im Vorfeld festgelegte Schlüssel um die Nutzlast zu verschlüsseln und am Ende wieder zu entschlüsseln. Wenn der Schlüssel nicht bekannt ist lässt sich verständlicherweise auch nicht entschlüsseln. Allerdings lassen sich bei den Pre Shared Key Verfahren mittels Wörterbuchattacken und ausreichend Zeit und Bandbreite Kennwörter durch „probieren“ herausfinden, dieses ist ein Mangel auf Grund dessen Banken, Versicherungen und andere Institutionen, welche auf ein gesteigertes Maß an Sicherheit Wert legen, zu anderen Mechanismen greifen.

Pubic Key Cryptography beschreibt allgemein Verfahren, welche auf ein System bestehend aus einem öffentlichen und einem privaten Schlüssel zurückgreifen. Man macht sich hierbei Mathematische Verfahren zu Nutze, welche jeweils mit dem einen Schlüssel verschlüsseln (dem öffentlichen des Empfängers), und mit dem anderen entschlüsseln. Das führt dazu, dass zu keiner Zeit Schlüssel über ein potenziell unsicheres  Medium übertragen werden müssen. Der zum Entschlüsseln benötigte private Schlüssel wird zu keiner Zeit aus der Hand gegeben. Auf Grund der Mathematischen Gesetzmäßigkeiten der eingesetzten Algorithmen ist es nicht möglich die verschlüsselten Daten ohne Besitz des privaten Schlüssels zu entschlüsseln. Der zeitliche Aufwand der hier getrieben werden müsste ist so groß, das man davon ausgeht, dass die Verfahren sicher sind.

Authentifizierung

Zusätzlich zur Verschlüsselung kann die Authentifizierung sicherer gestaltet werden. Dem regulären Einloggen in das Firmennetz mit Login und Passwort fehlt in der Regel eine Instanz, die sicherstellt, dass die Person, die Zugang zum Netz haben will, auch tatsächlich diejenige Person ist. In der Realität existiert in vielen Unternehmungen ein Pförtner, der in geeigneter Weise die Identität einer Person sicherstellt (zum Beispiel durch die Überprüfung des Betriebsausweises). Auch der Zugang zum Firmennetzwerk kann über ein solches Verfahren abgesichert werden. Hierbei kommen dann Token zum Einsatz. Das Verfahren wird dann als Zwei-Faktor-Authentifizierung bezeichnet. Zwei-Faktor-Authentifizierung deshalb, da zum Besitz (Token, mit Einmal-Passwort oder Zertifikat) noch zusätzlich Wissen (eine PIN) notwendig ist. Somit ist sichergestellt, dass auch bei Verlust des Tokens und Kenntnis des Logins kein Zugang zum Firmennetzwerk gewährt wird, da für einen erfolgreichen Zugriff auf das Netz die PIN notwendig ist. Vergleichbar ist dies in etwa mit dem Abheben von Geld mittels der EC-Karte. Es geht nicht ohne Karte und nicht ohne PIN.

Verschlüsselung und Authentifizierungsmechanismen bieten einige Hersteller. Wir verwenden für beides Geräte unseres Partners Juniper, die zuverlässige Dienste leisten. Sicherheit wie bei den Großen für kleines Geld.