Haben Sie eine Richtlinie zur akzeptablen Nutzung für Ihr VPN?

Druckfreundlich, PDF & E-Mail

Remote Work ist nichts Neues, aber niemand kann leugnen, dass sie in den letzten Monaten erheblich an Bedeutung gewonnen hat. Eine Umfrage von „CNBC/Change Research“ vom April ergab, dass 42 Prozent der Amerikaner vollständig von zu Hause aus arbeiten, wobei das für 19 Prozent zum ersten Mal der Fall ist.

Dieselbe Umfrage ergab auch, dass 44 Prozent der Angestellten zu Hause bleiben möchten oder sich nicht sicher sind, ob sie ins Büro zurückkehren wollen. Twitter hat bereits angekündigt, dass seine Belegschaft nicht ins Büro zurückkehren muss, und eine am 30. März durchgeführte Gartner-Umfrage unter Führungskräften der Wirtschaft ergab, dass die meisten Unternehmen davon ausgehen, dass mindestens 5 Prozent ihrer vor der Pandemie beschäftigten Büroangestellten dauerhaft von zu Hause aus arbeiten werden.

Es war ein mühsames Unterfangen, die Mitarbeiter aus dem Büro in ihre Wohnungen zu beordern. Geschäftskontinuität und das Wohlergehen der Mitarbeiter waren die Prioritäten, und die IT-Abteilungen drängten darauf, Geräte zu beschaffen und einen sicheren Fernzugriff zu konfigurieren. Wenn dies das erste Mal ist, dass Ihr Unternehmen einen Fernzugriff per VPN implementiert oder eine umfangreiche Nutzung des Fernzugriffs erlaubt hat, sollten Sie vielleicht Ihre VPN-Nutzungsrichtlinie („Acceptable Use Policy“, AUP) überprüfen.

Warum eine Richtlinie für akzeptable Nutzung des VPN?

Ein VPN, oder Virtual Private Network, verbindet einen externen Benutzer über eine verschlüsselte Verbindung mit dem Unternehmensnetzwerk. Im Idealfall bietet dies dem Benutzer Zugang zu den erforderlichen Ressourcen, wobei das Prinzip der geringstmöglichen Zugriffsrechte befolgt wird. Ein ordnungsgemäß eingerichtetes VPN ermöglicht es dem externen Benutzer, wie vor Ort im lokalen Netzwerk des Unternehmens zu arbeiten.

Die AUP des Unternehmens kann ausreichend sein, um die Nutzung des VPN abzudecken, oder möglicherweise möchten Sie es als separate Richtlinie verwalten.

Was sollte enthalten sein?

Es gibt keine spezifische Dokumentation, die für eine VPN-AUP erforderlich ist. Online gibt es mehrere Beispiele für akzeptable VPN-Nutzungsrichtlinien, darunter sowohl echte Richtlinien, die in Gebrauch sind, als auch anpassbare Vorlagen, die Ihnen den Einstieg erleichtern können. Sie sollten Ihr Dokument so verfassen, dass es Ihren speziellen Bedürfnissen entspricht, einschließlich der Abschnitte und der Sprache, die Ihr Unternehmen am besten schützen.

Zweck der Richtlinie zur akzeptablen VPN-Nutzung: Dieser Abschnitt erklärt, warum das Unternehmen diese Richtlinie benötigt. Dies kann Verweise auf staatliche und bundesstaatliche Datenschutz- und Sicherheitsgesetze, Vorschriften wie HIPAA und alle Gesetze zur Regelung des Online-Verhaltens enthalten.

Geltungsbereich/Anwendbarkeit/Ausnahmen/Verbindliche Datenschutzerklärung: Dieser Abschnitt soll das Wer, Was und Was-wäre-wenn der Richtlinie definieren. In diesem Abschnitt werden einige häufig gestellte Fragen behandelt:

  • Für wen gilt diese Richtlinie? Möglicherweise möchten Sie angeben, ob diese Richtlinie für Angestellte, Vertragsarbeiter usw. oder einfach „alle genehmigten Benutzer“ gilt.
  • Erlauben Sie im Rahmen dieser Richtlinie Ausnahmen für Einzelpositionen? Dies ist keine Best Practice, aber wenn Sie sie zulassen, definieren Sie sie in diesem Abschnitt.
  • Welche Systeme und Netzwerke werden von der Richtlinie abgedeckt? Handelt es sich um ein Site-to-Site oder ein VPN mit Fernzugriff?
  • Welche Strafen werden bei Nichteinhaltung der Richtlinie verhängt? Sie können dies mit einer Aussage wie „Disziplinarmaßnahmen bis hin zur Kündigung“ einfach halten.

Es gibt keine spezifischen Regeln für die Abschnitte zu Zweck und Anwendungsbereich. Die Richtlinie für akzeptable Nutzung des VPN der NC State zum Beispiel hält es einfach:

  1. Zweck

Zweck dieser Richtlinie ist es, Richtlinien für VPN-Verbindungen (Remote Access Virtual Private Network) zum Netzwerk der NC State University zu erstellen.

III. Geltungsbereich

Diese Richtlinie gilt für alle NC State Fakultäten, Mitarbeiter und Studenten, die ein VPN für den Zugriff auf das NC-State-Netzwerk verwenden. Diese Richtlinie gilt für Implementierungen von VPNs, die den direkten Zugriff auf das Netzwerk der NC State ermöglichen.

Die Northeastern University fasst Zweck und Geltungsbereich in einem Abschnitt zusammen:

  1. Zweck und Geltungsbereich

Die Informationssysteme der Northeastern University sind für die Nutzung durch autorisierte Mitglieder der Gemeinschaft bei der Durchführung ihrer akademischen und administrativen Arbeit vorgesehen. Die Informationssysteme der Northeastern bestehen aus allen Netzwerk-, Computer- und Telekommunikationskabeln, Geräten, Netzwerken, Sicherheitsvorrichtungen, Passwörtern, Servern, Computersystemen, Computern, Computerlaborausrüstung, Arbeitsstationen, Internetanschlüssen, Kabelfernsehanlagen, universitätseigenen mobilen Kommunikationsgeräten und allen anderen intermediären Geräten, Diensten und Einrichtungen. Diese Vermögenswerte sind Eigentum der Universität. Diese Richtlinie beschreibt die Nutzungsbedingungen für die Informationssysteme der Northeastern.

Diese Richtlinie gilt für alle Benutzer dieser Ressourcen, sowohl autorisierte als auch nicht autorisierte.

Zweck von VPN und/oder Fernzugriff: Dies kann so einfach formuliert sein wie „der ausschließliche Zweck der Erfüllung von Aufgaben“. Beachten Sie, dass dies unabhängig vom Zweck der Richtlinie selbst betrachtet werden muss, der oben definiert ist.

Definitionen/Akronyme/Fachbegriffe: Dieser Abschnitt hilft dem Benutzer, Begriffe zu verstehen, die möglicherweise nicht allgemein gängig sind. Wenn Sie Branchenbegriffe in das Dokument aufnehmen, sollten Sie diesen Abschnitt der Klarheit halber hinzufügen. Die SANS-Vorlage setzt diesen Abschnitt an das Ende des Dokuments und verwendet ihn als Link zum SANS-Glossar. Einige Beispiele platzieren ihn zu Beginn des Dokuments vor dem Anwendungsbereich.

Richtlinie zur Nutzung: Dieser Abschnitt beschreibt die akzeptable Nutzung des VPN, und es gibt hier mehrere Unterthemen. Hier ist es empfehlenswert, bestimmte Dinge speziell anzusprechen:

  • Der Benutzer ist dafür verantwortlich, die unberechtigte Nutzung des VPN zu verhindern. Einige Firmen gehen darauf im Detail ein und schließen Richtlinien zu Passwörtern und Hardware-Sicherheit ein.
  • Firmeneigene Computer sind für die Verbindung erforderlich, oder es sind sowohl Firmen- als auch Personalcomputer erlaubt.
  • Wenn persönliche Computer erlaubt sind, sollte die Konfiguration den vom IT-Team festgelegten Spezifikationen entsprechen.
  • Alle Computer müssen den VPN- und Netzwerk-Richtlinien des Unternehmens entsprechen.
  • Nur genehmigte VPN-Clients können für den Zugriff auf das VPN verwendet werden.
  • Nur genehmigte VPN-Benutzer können auf das VPN zugreifen und müssen den VPN- und Netzwerkrichtlinien des Unternehmens entsprechen.

Vergessen Sie nicht, besondere Sicherheitsüberlegungen einzubeziehen, die eventuell wichtig sind. Zum Beispiel möchten Sie vielleicht Split-Tunneling verbieten oder Fernzugriffsgeräte zur Verwendung von End-to-End-Verschlüsselung vorschreiben. Die Truman University fügt detaillierte Informationen über die Konnektivität zum Netzwerk hinzu:

Benutzer dürfen das VPN nicht zum Surfen im Internet verwenden, wenn dies nicht anderweitig für einen solchen Zugriff erforderlich ist. Mit anderen Worten, wenn der Benutzer den Zugriff auf das TRUMAN-Intranet abgeschlossen hat, muss er die VPN-Sitzung vor dem normalen Web-Zugriff beenden.

VPN-Benutzer werden nach dreißig Minuten Inaktivität automatisch vom TRUMAN-Netzwerk getrennt. Der Benutzer muss sich dann erneut anmelden, um sich wieder mit dem Netzwerk zu verbinden. Pings oder andere künstliche Netzwerkprozesse dürfen nicht verwendet werden, um die Verbindung offen zu halten.

Implementierungs-/Verbindungsverfahren: Einige Unternehmen verwenden diesen Abschnitt, um zu beschreiben, wer für den Internetdienst verantwortlich ist, wie die VPN-Authentifizierung funktioniert und wo Benutzer technischen Support erhalten können. Die Richtlinie der NC State University enthält all dies sowie Links zu anderen verwandten Richtliniendokumenten. Die Vorlage der National Cybersecurity Society hat hier 11 Aufzählungspunkte, die für eine kürzere Nutzungsrichtlinie sprechen.

Durchsetzung/Compliance: Vielleicht möchten Sie erklären, wie das Unternehmen die Richtlinie für akzeptable Nutzung des VPN durchsetzt. Die Calvin University verwendet folgenden Satz, um zu erklären, wie sie die Compliance kontrolliert:

„verschiedene Methoden, einschließlich, aber nicht beschränkt auf, periodische Walk-Thrus, Firewall-Berichte, interne und externe Audits und Inspektion durch verschiedene Sicherheitswerkzeuge“.

Dies ist ein gebräuchlicher Ausdruck, der von vielen Vorlagen und veröffentlichten Richtlinien verwendet wird.

Wenn Sie dies noch nicht erwähnt haben, sollten Sie hier auch die Strafen für die Nichteinhaltung einbeziehen.

Verwandte Richtlinien: Wenn Sie andere Richtlinien besitzen, die für die VPN-Nutzung relevant sind, fügen Sie sie hier ein. Dabei kann es sich um die Kennwortrichtlinie, die Richtlinie zur zulässigen Verwendung, die Richtlinie zur Informationssicherheit usw. handeln. Sie können es auch einfach halten und einen Link zu einer Liste aller IT-Richtlinien einfügen.

Das Schöne an den Richtlinien für zulässige Nutzung ist, dass Sie diese perfekt auf Ihr Unternehmen zuschneiden können. Es gibt viele Beispiele, aus denen man schöpfen kann, darunter die kostenlosen Vorlagen von SANS und der National Cybersecurity Society. Sie könnten Ihre VPN-Richtlinie sogar zu Ihrer bestehenden Richtlinie für akzeptable Nutzung hinzufügen, ohne ein separates Dokument zu erstellen. Wichtig ist, dass Sie über eine Richtlinie verfügen, die den VPN-Zugriff abdeckt. Eine Verbindung über VPN ist eine Erweiterung Ihres Netzwerks, und sie hat ein paar mehr Elemente als Ihr LAN. Eine klare Richtlinie für akzeptable Nutzung des VPN macht Ihr Unternehmen sicherer und trägt dazu bei, Ihre Mitarbeiter vor Missverständnissen zu schützen, die sie in Schwierigkeiten bringen könnten.

Weitere Artikel wie diesen finden Sie in unserem Abschnitt über Fernarbeit.

Nach oben scrollen
Twittern
Teilen
Teilen