VPN-Gateways als Einfallstor: Warum Firewalls und Fernzugänge besondere Pflege brauchen
Ein VPN-Zugang ist praktisch. Mitarbeitende können von zuhause arbeiten, Dienstleister kommen auf Systeme, die Geschäftsleitung kann unterwegs auf Daten zugreifen. Technisch ist das sinnvoll. Sicherheitstechnisch ist es aber einer der sensibelsten Punkte im gesamten Netzwerk.
Denn ein VPN-Gateway steht dort, wo Angreifer zuerst anklopfen: direkt am Internet.
Wenn dort eine Schwachstelle existiert, geht es nicht um einen einzelnen Arbeitsplatzrechner. Es geht um den kontrollierten Eingang ins interne Netz. Genau deshalb werden Firewalls, VPN-Appliances und Remote-Zugänge so häufig Ziel automatisierter Scans und gezielter Angriffe.
Warum Fernzugänge besonders kritisch sind
Ein normaler Client im Büro ist hinter Firewall, NAT, Netzwerksegmentierung und Benutzerrechten versteckt. Ein VPN-Gateway dagegen muss erreichbar sein. Sonst könnte niemand von außen arbeiten.
Diese Erreichbarkeit macht es attraktiv:
- Angreifer können weltweit nach verwundbaren Systemen suchen
- Schwachstellen lassen sich oft automatisiert testen
- Ein erfolgreicher Angriff kann direkten Netzwerkzugriff ermöglichen
- Zugangsdaten und Sessions sind besonders wertvoll
Bei vielen Vorfällen beginnt der Angriff nicht mit einer Phishing-Mail, sondern mit einem schlecht gepflegten externen Dienst.
Firewall heißt nicht automatisch sicher
Der Begriff Firewall klingt nach Schutz. Das stimmt grundsätzlich, aber eine Firewall ist selbst ein komplexes System: Betriebssystem, Weboberfläche, VPN-Dienst, Authentifizierung, Zertifikate, Protokolle, Erweiterungen.
Auch Firewalls brauchen:
- Firmware-Updates
- Regelmäßige Konfigurationsprüfung
- Backup der Konfiguration
- Sichere Admin-Zugänge
- Protokollierung
- Deaktivierung ungenutzter Dienste
Eine Firewall, deren Management-Oberfläche aus dem Internet erreichbar ist, wird selbst zum Risiko. Gleiches gilt für veraltete VPN-Dienste oder Standard-Konfigurationen, die nie angepasst wurden.
Typische Schwachstellen in der Praxis
In kleinen Unternehmen sehe ich immer wieder ähnliche Muster:
Veraltete Firmware
Die Firewall wurde einmal eingerichtet und läuft seitdem. Updates werden selten installiert, weil niemand den Ausfall riskieren möchte.
Admin-Interface von außen erreichbar
Aus Bequemlichkeit ist die Verwaltungsoberfläche über das Internet erreichbar. Manchmal zusätzlich nur mit Passwort geschützt, ohne MFA oder Quell-IP-Einschränkung.
Zu breite VPN-Rechte
Wer sich per VPN verbindet, landet direkt im gesamten internen Netz. Keine Trennung nach Rollen, keine Einschränkung auf notwendige Systeme.
Alte Benutzerkonten
Ehemalige Mitarbeitende, Dienstleister oder temporäre Zugänge bleiben aktiv. Niemand prüft regelmäßig, wer noch VPN-Berechtigungen hat.
Keine Logs oder niemand schaut hinein
Die Firewall protokolliert zwar, aber niemand wertet fehlgeschlagene Logins, ungewöhnliche Länder oder neue Verbindungen aus.
MFA ist Pflicht, nicht Komfortfunktion
Ein VPN ohne Multi-Faktor-Authentifizierung ist heute kaum noch vertretbar. Zugangsdaten geraten zu leicht in Umlauf: Phishing, Passwort-Wiederverwendung, Malware, Datenlecks.
MFA schützt nicht gegen jede Angriffsklasse, aber sie verhindert viele einfache Kontoübernahmen. Noch besser sind phishing-resistente Verfahren wie FIDO2-Security-Keys oder Passkeys, sofern das eingesetzte VPN-System sie unterstützt.
Für die Praxis gilt:
- VPN-Zugänge immer mit MFA absichern
- Admin-Zugänge separat und besonders stark schützen
- Dienstleister-Zugänge zeitlich begrenzen
- Keine geteilten VPN-Konten verwenden
Geteilte Konten sind bequem, aber im Ernstfall nicht nachvollziehbar.
Netzwerkzugriff nach dem VPN begrenzen
Ein häufiger Fehler: Nach erfolgreicher VPN-Anmeldung darf der Nutzer alles erreichen.
Besser ist ein rollenbasiertes Modell:
- Mitarbeitende erreichen nur benötigte Server und Dienste
- Dienstleister erreichen nur die Systeme, für die sie zuständig sind
- Admin-Zugänge laufen über separate Konten
- Kritische Netze bleiben zusätzlich segmentiert
VPN ist kein Freifahrtschein ins gesamte Netzwerk. Es ist nur der Transportweg. Die eigentliche Zugriffskontrolle muss danach weitergehen.
Updates und Wartungsfenster
Firewalls und VPN-Systeme sollten nicht „nebenbei“ aktualisiert werden. Sie brauchen geplante Wartungsfenster.
Vor einem Update:
- Aktuelle Konfiguration sichern
- Release Notes lesen
- Prüfen, ob bekannte Probleme mit der eigenen Version existieren
- Wartungsfenster kommunizieren
- Rückweg planen
Nach dem Update:
- VPN-Verbindung testen
- Internetzugang prüfen
- Portfreigaben und Regeln stichprobenartig prüfen
- Logs auf Fehler prüfen
- Backup-Job oder Monitoring bestätigen
Bei aktiv ausgenutzten Schwachstellen kann ein normales Monatsfenster zu langsam sein. Dann braucht es einen Notfallprozess.
Monitoring: kleine Signale ernst nehmen
Nicht jeder Angriff beginnt spektakulär. Häufig gibt es vorher Hinweise:
- Viele fehlgeschlagene VPN-Logins
- Anmeldungen aus ungewöhnlichen Ländern
- Login-Versuche auf nicht mehr genutzte Konten
- Verbindungen außerhalb üblicher Zeiten
- Neue Geräte oder Zertifikate
- Änderungen an Firewall-Regeln
Diese Signale müssen nicht permanent manuell überwacht werden. Aber sie sollten irgendwo sichtbar sein: per Mail-Alarm, Monitoring, SIEM-Light oder regelmäßiger Logprüfung.
Fazit
VPN-Gateways und Firewalls sind keine Geräte, die man einmal einrichtet und dann vergisst. Sie sind aktive Sicherheitskomponenten und gleichzeitig attraktive Angriffsziele.
Wer Fernzugänge betreibt, braucht regelmäßige Updates, MFA, klare Berechtigungen, eingeschränkte Admin-Zugänge und eine Grundüberwachung der Logs.
Wenn Sie Ihren Fernzugang prüfen oder eine sicherere VPN-Struktur aufbauen möchten, sprechen Sie mich gerne an.