Datenschutz und VPN – Sicherheit durch den Tunnel?

Datenschutz und Datensicherheit (auch Informationssicherheit) liegen gemeinsam im Interesse des Unternehmens. Bei der mobilen Arbeit, bei der Arbeit im Homeoffice oder bei der Vernetzung verschiedener Unternehmensstandorte ist auf den Einsatz geeigneter Technologien für die Übermittlung von Daten zu achten. Die VPN-Technologie bietet bei korrektem Einsatz die Möglichkeit, Daten vor der unbefugten Einsicht von Dritten weitestgehend zu schützen.

Ihr externer Datenschutzbeauftragter informiert über die Grundlagen der VPN-Technologie, deren Einsatzmöglichkeiten und Bedeutung für den Datenschutz.

Wie funktioniert die VPN-Technologie?

Mit dem Einsatz von VPN (Virtual Private Network) wird ein bestehendes Netzwerk „getunnelt“, d.h. eine vorhandene offene Infrastruktur (wie die Internetverbindung) wird genutzt, um eine geschlossene Zwischenstrecke (Tunnel) einzubauen. Voraussetzung für den Aufbau eines Tunnels ist der Einsatz einer VPN-Software, die durch den Austausch der erforderlichen Protokolle die „private“ Verbindung zwischen zwei Punkten herstellt. Diese Punkte können sowohl in einem Endgerät (Laptop des Mitarbeiters) als auch in einem separaten Netzwerk (lokales Firmennetzwerk) bestehen. Je nach Konstellation der Verbindung wird das virtuelle private Netzwerk als End-to-Site-VPN (Remote-Access-VPN bzw. mobiler Zugriff des Mitarbeiters auf das lokale Firmennetzwerk), als Site-to-Site-VPN (Gateway-to-Gateway-VPN bzw. Verknüpfung verschiedener lokaler Firmennetzwerke z. B. von Außenstellen mit der Zentrale) oder als End-to-End-VPN (Remote-Desktop-VPN bzw. Direktzugriff auf ein Endgerät zur Fernwartung) bezeichnet.

Wesentlich für die korrekte Funktionsweise der VPN-Technologie ist die Authentifizierung und Autorisierung der VPN-Partner, also der beiden Parteien, die mittels VPN-Verbindung miteinander kommunizieren möchten. Ziel der Authentifizierung ist, dass die VPN-Verbindung nur von den tatsächlich Berechtigten genutzt werden kann. Dabei erfolgt die Authentifizierung der VPN-Partner entweder über den vorhergehenden Austausch eines Schlüssels (z.B. Passwort), wobei die Sicherheit dieses Verfahrens von der Stärke des Schlüssels abhängt (sog. Pre-Shared Key – PSK-Verfahren). Oder die Authentifizierung der VPN-Parteien wird über den gegenseitigen Austausch von geprüften Zertifikaten, die die Identität des Teilnehmers garantieren, gewährleistet.

Eine weitere grundlegende Funktion der VPN-Verbindung ist die Verschlüsselung der aufgebauten Verbindung, sodass die transportierten Daten nicht ausgelesen werden können. Die Verschlüsselung erfolgt dabei, je nachdem, welche VPN-Software verwendet wird, bzw. wie diese konfiguriert ist, nach unterschiedlichen kryptografischen Verfahren.

Erst durch den Einsatz der nötigen Authentifizierungs- und Verschlüsselungsverfahren kann sichergestellt werden, dass Daten über ein offenes Netzwerk ausschließlich dem berechtigten Empfänger übermittelt werden können, ohne dabei abgefangen, manipuliert oder mitgelesen zu werden.

Wie verhält sich VPN zum Datenschutz?

Eine geschlossene Verbindung zwischen zwei Parteien in einem Netzwerk dient der Authentizität und der Integrität der übermittelten Daten. Aus Sicht des Datenschutzes ist der Einsatz von VPN-Technologie daher sehr zu begrüßen. Denn der Schutz personenbezogener Daten geht immer auch mit der Sicherheit und der Unveränderbarkeit der entsprechenden Daten einher.

Abgesehen davon, dass die VPN-Technologie den Zugriff auf Daten aus dem internen Firmennetzwerk ermöglicht, bietet sie auch einen (relativ) sicheren Weg der Datenübertragung. Greift beispielsweise ein HR-Mitarbeiter, der sich auf Dienstreise befindet, in einem dringlichen Fall über einen öffentlichen Hotspot auf unternehmensinterne personenbezogene Daten (bspw.: Personaldaten) zu, um diese einzusehen oder zu bearbeiten, so können diese verhältnismäßig einfach abgefangen, mitgeschnitten oder gar manipuliert werden. Durch die Verwendung einer VPN-Verbindung mit dem firmeninternen Netzwerk wird diese Risiko erheblich gemindert. VPN-Technologie ist daher durchaus ein geeignetes Mittel, um die Ziele von Datenschutz und Datensicherheit zu befördern.

Was ist bei der Nutzung der VPN-Technologie zu beachten?

Der Einsatz von VPN bedeutet keine 100 prozentige Sicherheit und bringt zudem auch potentielle Nachteile und Herausforderungen mit sich:

Je aufwendiger die verwendete Verschlüsselung der Verbindung, desto sicherer ist die Datenübertragung vor ungewollten Eingriffen. Allerdings nimmt mit der Komplexität der Verschlüsselung auch die Übertragungsgeschwindigkeit deutlich ab, was besonders im Hinblick auf die zunehmende Nutzung von Software aus der Cloud Probleme mit sich bringt.

Darüber hinaus erfordert die Konfiguration eines VPN, das auf komplexen Sicherheits-Protokollen (z.B.: IPsec) basiert, weitreichende Kenntnisse, da durch fehlerhafte Einstellungen der Software schnell unfreiwillig Schwachstellen offengelegt werden können. Hinzu kommt, dass die Konfiguration der Firewall(s) je nach VPN-Verbindungsart angepasst werden muss. Werden in einem Unternehmen VPN-Zugriffe auf das Firmennetzwerk für unterschiedliche Personengruppen mit unterschiedlichen Berechtigungen bereitgestellt (etwa für 1.: Mitarbeiter auf Dienstreisen und 2.: Externe Dienstleister, die jeweils nur einen bestimmten Teil des Firmennetzwerks nutzen sollen), ergeben sich regelmäßig einige Herausforderungen hinsichtlich der Einrichtung der Firewall, die einen uneingeschränkten Zugriff auf Inhalte verhindern soll. Zudem müssen Berechtigungskonzepte sorgfältig dokumentiert und umgesetzt werden. Blicken wir in die Unternehmens- und Behördenpraxis, so lässt sich schnell erkennen, dass einiger Handlungsbedarf an geeigneten Dokumentationen besteht.

Einen Unsicherheitsfaktor im Zusammenhang mit VPN bildet stets der VPN-Partner des Unternehmens. Dies gilt sowohl für die eigenen Mitarbeiter als auch insbesondere für externe Dienstleister, die auf das Firmennetzwerk zugreifen. Bei beiden Kommunikationspartnern kann das Sicherheitsniveau nicht zweifelsfrei festgestellt werden. Es ist also nicht ausgeschlossen, dass Authentifizierungszertifikat und kryptographischer Schlüssel von dem Rechner eines VPN-Partners unbemerkt „abgegriffen“ wurden und sich nun in den Händen Unberechtigter befinden.

Bei der Auswahl der geeigneten Software-Lösung sollten Sie auf einige wichtige Faktoren, wie die Einrichtung und Betreuung der Konfiguration durch den Anbieter, die verwendete Verschlüsselungs- und Authentifizierungstechnik sowie nicht zuletzt die Vertrauenswürdigkeit des Anbieters, achten. Ein bestellter Datenschutzbeauftragter und – sofern vorhanden – IT-Sicherheitsbeauftragter sollten daher frühzeitig vor der Auswahl eingebunden werden.

Datenschutz und VPN – Fazit

Die Verwendung von VPN-Technologie ist für Unternehmen überaus sinnvoll. Eine VPN-Verbindung ermöglicht den externen Zugriff auf das Firmennetzwerk und stellt eine weitestgehend sichere und effiziente Form der Datenübertragung dar. Richtig implementiert, dient der Einsatz auch dem Datenschutz und der Datensicherheit im Unternehmen. Eine 100 prozentige Sicherheit verspricht jedoch auch die VPN-Technologie nicht. Bei der Auswahl und der teilweise komplexen Konfiguration der entsprechenden Software müssen einige Faktoren berücksichtigt werden. Ihr externer Datenschutzbeauftragter berät Sie gerne näher zu den Einsatzmöglichkeiten und Voraussetzungen von VPN in Ihrem Unternehmen.

Sofern Sie weitere Fragen zu Datenschutz und VPN, sonstigem Einsatz verschlüsselter Datenübertragung oder anderen datenschutzrechtlichen Bereichen haben, holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.