Barracuda full logo

Haben Sie eine Richtlinie zur akzeptablen Nutzung für Ihr VPN?

Themen: COVID-19
28. Mai. 2020
|
Christine Barry

Externes Arbeiten ist nichts Neues, aber niemand kann leugnen, dass es in den letzten Monaten erheblich an Bedeutung gewonnen hat. Eine Umfrage von CNBC/Change Research im April ergab, dass 42 Prozent der Amerikaner vollständig von zu Hause aus arbeiten, davon arbeiten 19 Prozent zum ersten Mal von zu Hause aus.

Dieselbe Umfrage ergab außerdem, dass 44 Prozent der Angestellten zu Hause bleiben möchten oder sich nicht sicher sind, ob sie ins Büro zurückkehren wollen. Twitter hat bereits angekündigt, dass seine Arbeitskräfte nicht mehr ins Büro zurückkehren müssen und eine Gartner-Umfrage vom 30. März unter Geschäftsführern ergab, dass die meisten Unternehmen erwarten, dass mindestens 5 Prozent ihrer vor der Pandemie im Büro beschäftigten Mitarbeitenden ständig von zu Hause aus arbeiten werden.

Es war ein mühsames Unterfangen, Mitarbeitende aus dem Büro in in ihr Zuhause zu beordern. Geschäftskontinuität und das Wohlbefinden der Mitarbeitenden waren die Prioritäten und die IT-Abteilungen beeilten sich, Geräte zu besorgen und einen sicheren Fernzugriff zu konfigurieren. Wenn dies das erste Mal ist, dass Ihr Unternehmen den Fernzugriff über VPN in großem Umfang bereitstellt oder zulässt, sollten Sie Ihre VPN-Richtlinine zur zulässigen Nutzung (AUP) überprüfen.

Warum eine Richtlinie für akzeptable Nutzung des VPN?

Ein VPN, oder Virtual Private Network, verbindet einen externen Benutzer über eine verschlüsselte Verbindung mit dem Unternehmensnetzwerk. Im Idealfall gibt dies dem Benutzer Zugriff auf die erforderlichen Ressourcen und folgt dabei dem Prinzip der geringsten Berechtigung. Ein ordnungsgemäß eingerichtetes VPN ermöglicht es dem externen Benutzer, im lokalen Netzwerk des Unternehmens wie vor Ort zu arbeiten.

Die Nutzungsbedingungen des Unternehmens können ausreichend sein, um die Nutzung des VPN abzudecken, oder vielleicht möchten Sie diese als separate Richtlinie verwalten.

Was sollte enthalten sein?


Es gibt keine spezifische Dokumentation, die für eine VPN-AUP erforderlich ist. Online gibt es mehrere Beispiele für zulässige VPN-Nutzungsrichtlinien, darunter sowohl echte Richtlinien, die verwendet werden, als auch anpassbare Vorlagen, die Ihnen den Einstieg erleichtern können. Sie sollten Ihr Dokument so verfassen, dass es Ihren speziellen Bedürfnissen entspricht, einschließlich der Abschnitte und der Sprache, die Ihr Unternehmen am besten schützen.

Zweck der VPN-Richtlinie zur zulässigen Nutzung: In diesem Abschnitt wird erläutert, warum das Unternehmen diese Richtlinie benötigt. Diese kann Verweise auf staatliche und bundesstaatliche Datenschutz- und Security-Gesetze, Vorschriften wie HIPAA und alle Gesetze zur Regelung des Online-Verhaltens enthalten.

Geltungsbereich/Anwendbarkeit/Ausnahmen/Verbindliche Datenschutzerklärung: Dieser Abschnitt soll das Wer, Was und Was-wäre-wenn der Richtlinie definieren. In diesem Abschnitt werden einige häufig gestellte Fragen behandelt:

  • Für wen gilt diese Richtlinie? Möglicherweise möchten Sie angeben, ob diese Richtlinie für Mitarbeitende, Vertragsarbeitnehmer usw. oder einfach für „alle zugelassenen Benutzer“ gilt.

  • Erlauben Sie im Rahmen dieser Richtlinie Ausnahmen für Einzelpositionen? Dies ist keine Best Practice, aber wenn Sie sie zulassen, definieren Sie sie in diesem Abschnitt.

  • Welche Systeme und Netzwerke werden von der Richtlinie abgedeckt? Handelt es sich um ein Site-to-Site oder ein VPN mit Fernzugriff?

  • Was sind die Strafen für die Nichtbeachtung der Richtlinie? Sie können dies einfach halten mit einer Erklärung wie „Disziplinarmaßnahmen bis hin zur Kündigung“.


Es gibt keine spezifischen Regeln für die Abschnitte zu Zweck und Geltungsbereich. Zum Beispiel sind die VPN-Nutzungsbedingungen der NC State einfach:


  1. Zweck




Zweck dieser Richtlinie ist es, Vorgaben für Remote Access Virtual Private Network (VPN)-Verbindungen zum Netzwerk der NC State University zu erstellen.


III. Geltungsbereich


Diese Richtlinie gilt für alle NC State-Fakultäten, Mitarbeitenden und Studenten, die ein VPN für den Zugriff auf das NC State-Netzwerk verwenden. Diese Richtlinie gilt für Implementierungen von VPN, die den direkten Zugriff auf das Netzwerk der NC State ermöglichen.

Die Northeastern University vereint Zweck und Geltungsbereich in einem Abschnitt:


  1. Zweck und Geltungsbereich




Die Informationssysteme der Northeastern University sind für die Nutzung durch autorisierte Mitglieder der Gemeinschaft bei der Durchführung ihrer akademischen und administrativen Arbeit vorgesehen. Die Informationssysteme der Northeastern bestehen aus allen Netzwerk-, Computer- und Telekommunikationskabeln, Geräten, Netzwerken, Sicherheitsvorrichtungen, Passwörtern, Servern, Computersystemen, Computern, Computerlaborausrüstung, Workstations, Internetanschlüssen, Kabelfernsehanlagen, universitätseigenen mobilen Kommunikationsgeräten und allen anderen intermediären Geräten, Services und Einrichtungen. Diese Vermögenswerte sind Eigentum der Universität. Diese Richtlinie beschreibt die Nutzungsbedingungen für die Informationssysteme der Northeastern.

Diese Richtlinie gilt für alle Benutzer dieser Ressourcen, sowohl autorisierte als auch nicht autorisierte.

Zweck von VPN und/oder Fernzugriff: Dies kann so einfach sein wie „der ausschließliche Zweck der Erfüllung von Arbeitsaufgaben.“ Beachten Sie, dass dies unabhängig vom Zweck der Richtlinie selbst ist, der oben definiert ist.Definitionen / Akronyme / technische Begriffe: Dieser Abschnitt hilft dem Benutzer, Begriffe zu verstehen, die möglicherweise nicht allgemein bekannt sind. Wenn Sie Branchenbegriffe in das Dokument aufnehmen, sollten Sie diesen Abschnitt der Klarheit halber hinzufügen. Die SANS-Vorlage platziert diesen Abschnitt an das Ende des Dokuments und verwendet ihn als Link zum SANS-Glossar. Einige Beispiele platzieren ihn früher im Dokument vor dem Geltungsbereich.

Nutzungsrichtlinien: In diesem Abschnitt wird die zulässige Nutzung des VPN beschrieben und es gibt mehrere Unterthemen. Hier ist es empfehlenswert, bestimmte Dinge gezielt anzusprechen:

  • Der Benutzer ist dafür verantwortlich, die unberechtigte Nutzung des VPN zu verhindern. Einige Firmen gehen darauf im Detail ein und schließen Richtlinien zu Passwörtern und Hardware-Sicherheit ein.

  • Firmeneigene Computer sind für die Verbindung erforderlich, oder es sind sowohl Firmen- als auch Personalcomputer erlaubt.

  • Wenn persönliche Computer erlaubt sind, sollte die Konfiguration den vom IT-Team festgelegten Spezifikationen entsprechen.

  • Alle Computer müssen den VPN- und Netzwerk-Richtlinien des Unternehmens entsprechen.

  • Nur genehmigte VPN-Clients können für den Zugriff auf das VPN verwendet werden.

  • Nur genehmigte VPN-Benutzer können auf das VPN zugreifen und müssen den VPN- und Netzwerkrichtlinien des Unternehmens entsprechen.


Vergessen Sie nicht, spezielle Security-Überlegungen, die möglicherweise wichtig sind, mit einzubeziehen. Zum Beispiel möchten Sie vielleicht Split-Tunneling verbieten oder vorschreiben, dass Fernzugriff-Geräte durchgängige Verschlüsselung verwenden. Die Truman University fügt detaillierte Informationen über die Konnektivität zum Netzwerk hinzu:

Benutzer dürfen das VPN nicht zum Surfen im Internet verwenden, wenn dies nicht anderweitig für den Zugriff erforderlich ist. Mit anderen Worten, wenn der Benutzer den Zugriff auf das TRUMAN-Intranet abgeschlossen hat, muss er die VPN-Sitzung vor dem normalen Webzugriff beenden.



VPN-Benutzer werden nach 30 Minuten Inaktivität automatisch vom TRUMAN-Netzwerk getrennt. Der Benutzer muss sich dann erneut anmelden, um sich wieder mit dem Netzwerk zu verbinden. Pings oder andere künstliche Netzwerkprozesse dürfen nicht verwendet werden, um die Verbindung offen zu halten.

Verfahren zur Implementierung/Verbindung: Einige Unternehmen verwenden diesen Abschnitt, um zu beschreiben, wer für den Internet-Service verantwortlich ist, wie die VPN-Authentifizierung funktioniert und wo Benutzer technischen Support erhalten können. Die Richtlinie der NC State University enthält all dies und Links zu anderen verwandten Richtliniendokumenten. Die Vorlage der National Cybersecurity Society hat hier 11  Aufzählungspunkte zugunsten einer kürzeren Nutzungsrichtlinie.

Durchsetzung/Compliance: Vielleicht möchten Sie erklären, wie das Unternehmen die VPN-AUP durchsetzt. Die Calvin University verwendet diesen Satz, um zu erklären, wie sie die Compliance überwachen:

„Verschiedene Methoden, einschließlich, aber nicht beschränkt auf regelmäßige Walk-Thrus, Firewall-Berichte, interne und externe Audits und Inspektionen durch verschiedene Sicherheitstools.“

Dies ist eine gängige Formulierung, die in vielen Vorlagen und veröffentlichten Richtlinien verwendet wird.

Wenn Sie dies noch nicht erwähnt haben, sollten Sie hier auch die Strafen für Verstöße einbeziehen.

Verwandte Richtlinien:Wenn Sie andere Richtlinien haben, die für die VPN-Nutzung relevant sind, fügen Sie diese hier ein. Dabei kann es sich um die Passwortrichtlinie, die Richtlinie zur zulässigen Nutzung, die Richtlinie zur Informationssicherheit usw. handeln. Sie können es auch einfach halten und einen Link zu einer Liste aller IT-Richtlinien einfügen.

Das Schöne an den Richtlinien zur zulässige Nutzung ist, dass Sie diese perfekt an Ihr Unternehmen anpassen können. Es gibt viele Beispiele, aus denen Sie schöpfen können, einschließlich der kostenlosen SANS- und National Cybersecurity Society-Vorlagen. Sie könnten Ihre VPN-Richtlinie sogar zu Ihrer bestehenden Richtlinie zur zulässigen Nutzung hinzufügen, ohne ein separates Dokument zu erstellen. Wichtig ist, dass Sie über eine Richtlinie verfügen, die den VPN-Zugriff abdeckt. Eine Verbindung über VPN ist eine Erweiterung Ihres Netzwerks, und sie hat ein paar mehr Elemente als Ihr LAN. Eine klare VPN-Richtlinie zur zulässigen Nutzung macht Ihr Unternehmen sicherer und trägt dazu bei, Ihre Mitarbeitenden vor Missverständnissen zu schützen, die sie in Schwierigkeiten bringen könnten.

Weitere Artikel wie diesen finden Sie in unserem Abschnitt über externes Arbeiten.

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Partner im Rampenlicht: Innovative Lösungen für moderne Cyberbedrohungen
Partner im Rampenlicht: Innovative Lösungen für moderne Cyberbedrohungen
 Partner-Spotlight: Neugestaltung des Security-Mixes zur Erfüllung immer neuen Anforderungen
Partner-Spotlight: Neugestaltung des Security-Mixes zur Erfüllung immer neuen Anforderungen
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.