Wenn die Firma spioniert: VPN-Verbindung ins Internet

Voraussetzung für die Nutzung eines VPNs-Zugangs ins Internet am Arbeitsplatz ist, dass der VPN-Zugang nicht durch den Administrator geblockt wird und dass man auf seinem Arbeitsplatzrechner die nötigen Rechte besitzt, eigene VPN-Verbindungen aufzubauen. Das kann beispielsweise durch die Group-Policy in Windows verhindert werden.

Wenn die Group-Policy das Anlegen virtueller IP-Interfaces verbietet, hilft auch keine Third-Party-Software. Das ist aber nur in den wenigsten Firmennetzen der Fall, da für Notebookbenutzer in diesem Fall keine VPN-Verbindung ins eigene Intranet mehr möglich wäre.

Bei snafu kostet ein solcher VPN-Zugang ins Internet 7,50 Euro pro Monat, sofern man dort keine anderen Produkte abonniert hat. Das ist relativ viel Geld, um sich vor den Schnüffeleien in der eigenen Firma zu schützen.

Dennoch gibt es Firmen, die ein solches VPN sogar bezahlen. Das machen vor allem Unternehmen, deren Mitarbeiter häufig bei anderen Firmen vor Ort sitzen, beispielsweise Consulting- und Beratungsunternehmen. Da diese Unternehmen ihren Kunden nicht trauen, investieren sie in Sicherheitstechnologie, um ihre Mitarbeiter vor Fremdfirmen zu schützen.

Inter.net und snafu verwenden ein PPTP-VPN, um einen vollwertigen Zugang ins Internet zu schaffen. PPTP hat den Ruf, unsicher zu sein, da Bruce Schneier 1998 ernsthafte Schwachstellen entdeckt hat. Diese sind jedoch seit vielen Jahren behoben.

Allerdings bleibt der Kritikpunkt, dass die Verschlüsselungsstärke von der Länge des Passworts abhängt. Wer ein kurzes Passwort verwendet, muss damit rechnen, dass seine Verschlüsselung mittels Brute-Force gebrochen werden kann. Bei PPTP sollte man ein sicheres Passwort mit mindestens 12 Zeichen einsetzen.

PPTP bietet vor allem die Vorteile, dass es auf jedem Betriebssystem verfügbar ist und einen einfachen TCP-Tunnel verwendet, der in den meisten NAT-Umgebungen problemlos eingesetzt werden kann. Außerdem sind die verfügbaren Implementierungen der verschiedenen Hersteller miteinander kompatibel.

Grundsätzlich kann jede Site-to-End-VPN-Technologie eingesetzt werden, mit der man sich normalerweise in ein Firmennetz verbindet. Der einzige Unterschied ist, dass der VPN-Router ins Internet statt ins Intranet verbindet.

Wer einen gehosteten Server in einem Rechenzentrum oder einen Breitbandanschluss mit mehreren öffentlichen IP-Adressen besitzt, kann eine solche Lösung auch selbst implementieren. Das hat sogar den Vorteil, dass man das VPN auf spezielle Gegebenheiten anpassen kann. Wenn ein Firmenadministrator etwa alle TCP-Ports außer 80 und 443 sperrt, lässt sich der eigene VPN-Server notfalls auf Port 80 betreiben.