Neuer Report zu VPN-Risiken: 56 % der Unternehmen werden über VPN-Schwachstellen angegriffen

Über virtuelle private Netzwerke (VPNs) können Unternehmen schon seit langem remote auf ihr Netzwerk zugreifen. Allerdings kam es im vergangenen Jahr zu zahlreichen öffentlichkeitswirksamen Exploits schwerwiegender und Zero-Day-Schwachstellen in VPNs – darunter auch solche, die eine Notfallanordnung der CISA zur Trennung der VPN-Services erforderten. Daher überdenken Unternehmen momentan ihre Strategien. Viele stellen die Konnektivitätsstrategien für ihre Mitarbeiter in Frage und wechseln zu einer Zero-Trust-Architektur als sichere Alternative zu VPNs.

Tatsächlich befürchten 91 % der Unternehmen, dass VPNs ihre Sicherheit gefährden.

Der heute veröffentlichte Report zu VPN-Risiken 2024 von Zscaler ThreatLabz beleuchtet kritische VPN-Trends und analysiert Lösungen zum Schutz von Remote-Usern. Cybersecurity Insiders und Zscaler befragten 647 IT- und Cybersicherheitsexperten zu den sich verändernden Herausforderungen in den Bereichen Sicherheit, Management und User Experience von VPN-Technologien. Dazu gehören die Risiken, die VPNs für den Sicherheitsstatus eines Unternehmens in Bezug auf laterale Bewegungen, Zugriff durch externe User und Anfälligkeit für Angriffe wie Ransomware darstellen können.

Insgesamt sind die Ergebnisse der Studie eindeutig. In den Unternehmen herrschen große Bedenken hinsichtlich der Sicherheitsrisiken von VPN-Lösungen, auch wenn sie sich mittlerweile weitgehend einig sind, dass Zero-Trust-Strategien eine gute Alternative darstellen und konkrete Pläne zur Einführung von Zero Trust Network Access (ZTNA) vorliegen. Die Unternehmen sind außerdem der Meinung, dass das Hosten der VPN-Infrastruktur in der Cloud gegen die Prinzipien von Zero Trust verstößt und nicht das gleiche Sicherheitsniveau oder eine gleichwertige User Experience bietet wie ZTNA.

Laden Sie den Report zu VPN-Risiken 2024 von Zscaler ThreatLabz herunter und erfahren Sie mehr über die Perspektiven der Unternehmen und Empfehlungen von Experten zu den Risiken von VPN.

Haupterkenntnisse

• VPN-Angriffe nehmen zu. 56 % der Organisationen wurden im letzten Jahr Opfer eines oder mehrerer VPN-bezogener Cyberangriffe – im Jahr davor waren es nur 45 %. Dies verdeutlicht die zunehmende Häufigkeit und Raffinesse von Angriffen auf VPNs.
• Die überwiegende Mehrheit wechselt zu Zero Trust. 78 % der Organisationen planen, in den nächsten 12 Monaten Zero-Trust-Strategien umzusetzen. Gleichzeitig stimmen 62 % der Unternehmen zu, dass VPNs den Zero-Trust-Prinzipien widersprechen.
• Die Mehrheit hat Zweifel an der Sicherheit von VPNs. 91 % der Befragten äußerten Bedenken, dass VPNs ihre IT-Sicherheitsumgebung gefährden könnten. Die jüngsten Sicherheitsverstöße verdeutlichten dabei die Risiken, die mit dem Festhalten an veralteten oder ungepatchten VPN-Infrastrukturen verbunden sind.
• VPNs sind Ransomware, Malware und DDoS-Angriffen nicht gewachsen. Die Befragten identifizierten Ransomware (42 %), Malware 
(35 %) und DDoS-Angriffe (30 %) als größte Bedrohungen, die sich VPN-Schwachstellen zunutze machen. Dies unterstreicht die Bandbreite der Risiken, denen Organisationen aufgrund der inhärenten Schwächen herkömmlicher VPN-Architekturen ausgesetzt sind.
• Das Risiko lateraler Ausbreitung darf nicht unterschätzt werden. 53 % der Unternehmen, die über eine VPN-Schwachstelle kompromittiert wurden, geben an, dass sich die Angreifer lateral durch das Netzwerk bewegt haben. Dies zeigt, dass die Abwehr der Bedrohung am ersten Angriffspunkt gescheitert ist und unterstreicht die Risiken herkömmlicher, flacher Netzwerke.
• Fast jedes Unternehmen äußert Bedenken hinsichtlich des Risikos durch externe User. Da VPNs uneingeschränkten Netzwerkzugriff ermöglichen, sind 92 % der Befragten besorgt, dass externe User mit VPN- Zugriff als potenzielle Backdoors in ihre Netzwerke fungieren könnten.

Anstieg der VPN-Angriffe, CVEs und Bedenken der Unternehmen

Insgesamt gaben 56 % der Unternehmen an, im letzten Jahr von Cyberangriffen betroffen gewesen zu sein, bei denen VPN-Schwachstellen ausgenutzt wurden, was einen deutlichen Anstieg gegenüber dem Vorjahr (45 %) darstellt. Noch besorgniserregender ist, dass 41 % der Unternehmen von zwei oder mehr VPN-bezogenen Angriffen berichteten, was auf gravierende Sicherheitslücken hinweist, die dringend behoben werden müssen.

Abbildung 1: Unternehmen, die im letzten Jahr von einem Angriff auf VPN- Schwachstellen betroffen waren

Dieser Anstieg VPN-bezogener Angriffe sollte nicht ohne Kontext betrachtet werden. Im vergangenen Jahr wurden eine Reihe von Zero-Day- und schwerwiegenden VPN-Schwachstellen entdeckt. Diese Entwicklung hat verdeutlicht, dass VPN-basierte Netzwerke aus architektonischer Sicht schon durch einen einzigen Schwachpunkt gefährdet sind. So können Bedrohungsakteuren ins Netzwerk eindringen, sich lateral bewegen, die wichtigsten Anwendungen entdecken und sensible Daten stehlen.

Tatsächlich gaben die meisten Umfrageteilnehmer, die von VPN-bezogenen Sicherheitsverletzungen betroffen waren, an, dass sich Angreifer lateral in ihren Netzwerken bewegten.

Abbildung 2: Eine Reihe von bekannten CVEs mit Auswirkungen auf VPNs im letzten Jahr

Unternehmen vertrauen kaum noch auf die Sicherheit von VPNs. Insgesamt befürchten 91 % der Unternehmen, dass VPNs die Sicherheit ihrer Umgebungen gefährden könnten.

Abbildung 3: Bedenken der Unternehmen, dass VPNs die Sicherheit ihrer Umgebung gefährden könnten

Zunehmende Einführung von Zero Trust

Die Bedenken der Unternehmen bezüglich der Sicherheit von VPNs gehen einher mit der Einführung von Zero-Trust-Strategien für sichere Konnektivität. 62 % der Unternehmen sind der Meinung, dass die VPN-Technologien nicht mit Zero-Trust-Strategien vereinbar sind.

Abbildung 4: Ansichten von Unternehmen über die Kompatibilität von VPNs mit Zero-Trust-Strategien

Während das Interesse an VPNs nachlässt, setzen Unternehmen aktiv Zero-Trust-Strategien ein. Insgesamt planen 78 % der Unternehmen, innerhalb der nächsten zwölf Monate Zero-Trust-Strategien einzuführen, während 31 % bereits heute aktiv an der Umsetzung arbeiten.

Abbildung 5: Einführung von Zero-Trust-Strategien in Unternehmen.

Da die Zahl schwerwiegender Sicherheitslücken im Zusammenhang mit VPNs weiter zunimmt, sollten Unternehmen mit einer entsprechenden Steigerung der VPN-bezogenen Sicherheitsvorfälle rechnen. Infolgedessen betrachten Unternehmen ZTNA zunehmend als Ersatz für VPN und als eine Möglichkeit, ihren Sicherheitsstatus grundlegend zu verbessern.

Unsere ZTNA-Lösung Zscaler Private Access (ZPA) bietet umfassende standort- sowie geräteunabhängige Sicherheit für User, die sich mit privaten Anwendungen verbinden. Mit ZPA werden Anwendungen vor dem Internet verborgen, sodass es für Cyberkriminelle schwierig ist, sie zu finden und anzugreifen. Unsere Inline-Traffic-Überprüfung erkennt schädliche Aktivitäten, um Kompromittierung und Datenexfiltration zu verhindern. ZPA ist in der Lage, den Aktionsradius eines Angriffs mit KI-gestützter User-to-App-Segmentierung und integrierter Deception-Technologie zu begrenzen. 

Die vollständigen Ergebnisse des Reports, einschließlich Best Practices zur Minimierung von VPN-Risiken und Prognosen für 2024 und darüber hinaus, finden Sie im Report zu VPN-Risiken 2024 von Zscaler ThreatLabz mit Cybersecurity Insiders, den Sie noch heute herunterladen können.