Organisation
Die falschen Versprechen der VPN — für Verbraucher und Unternehmen
Das Consumer-VPN macht Sie nicht anonym. Der VPN-Konzentrator im Unternehmen, der am Internetrand steht, ist heute eines der meistangegriffenen Geräte überhaupt. Eine Klarstellung zu zwei verbreiteten Missverständnissen.
Zuletzt überprüft:
Ein VPN beseitigt das Risiko nicht. Es entscheidet nur, wem Sie es anvertrauen.
Das VPNVerschlüsselter Tunnel zwischen Ihrem Gerät und einem Server, der Ihre IP und Ihren Datenverkehr vor Ihrem ISP verbirgt. wird als universelle Sicherheitslösung verkauft. In Wirklichkeit sind es zwei sehr unterschiedliche Produkte unter demselben Namen, und beide beruhen auf einem Missverständnis. Auf der Verbraucherseite wird Ihnen Anonymität verkauft, die die Technologie nicht liefern kann. Auf der Unternehmensseite wurde seit zwanzig Jahren eine Hochprivileg-Box am Internetrand platziert — und sie gehört heute zu den meistangegriffenen Geräten überhaupt.
Was ein Consumer-VPN tut, und was nicht
„Militärische Verschlüsselung.” Die Formel taucht in jeder Werbung auf. Gemeint ist AES-256 — ein öffentlicher, kostenloser, fünfundzwanzig Jahre alter Standard, den Ihre Bank und Ihr Messenger bereits nutzen. Das ist kein Fehler, das ist gute Verschlüsselung. Aber als Verkaufsargument bedeutet der Ausdruck nichts. Ihr vernetzter Toaster könnte dasselbe behaupten.
Was ein VPN wirklich tut: Es verschlüsselt den Datenweg zwischen Ihrem Gerät und dem Server des Anbieters und verbirgt Ihre IP-Adresse vor Ihrem Internetanbieter. Nützlich in öffentlichen WLANs, zum Umgehen geografischer Beschränkungen oder um Ihren Datenverkehr vor Ihrem ISP zu schützen.
Was es nicht tut: Sie anonym machen. Cookies, Browser-FingerprintingIdentifizierung eines Geräts anhand der einzigartigen Merkmale seines Browsers und Systems. und Ihre angemeldeten Konten verfolgen Sie weiterhin. Und der VPN-Anbieter selbst sieht Ihre echte IP-Adresse und Ihren Datenverkehr. Sie haben den Zeugen Ihres Surfens nicht beseitigt — Sie haben ihn von Ihrem ISP, dem Sie ausgeliefert sind, zu einem Unternehmen verschoben, das Sie ohne Möglichkeit zur Überprüfung gewählt haben.
„Keine Verbindungsprotokolle” ist ein Versprechen, kein Beweis. Was zählt, ist ein unabhängig veröffentlichtes Audit oder ein Gerichtsbeschluss, der bestätigt, dass tatsächlich nichts zu übergeben war. Mehrere Anbieter, die schworen, nichts zu speichern, wurden beim Protokollieren erwischt. Markeneigentum trägt zur Verwirrung bei: Dutzende scheinbar konkurrierender VPNs teilen dieselbe Muttergesellschaft — manchmal dieselbe, die hinter der Vergleichsseite steckt, die sie empfiehlt.
Der VPN-Konzentrator — das am stärksten exponierte Gerät im Unternehmen
Das Unternehmens-VPN ist ein anderes Tier. Ein SSL-VPNEine dauerhaft im Internet exponierte Fernzugangs-Appliance — privilegierter Einzeleinstiegspunkt ins Netzwerk.-Konzentrator, wie die Geräte von Fortinet, ist ein Gerät am Internetrand. Es exponiert einen permanent lauschenden Dienst, den alle Scanner der Welt kennen: Shodan indexiert exponierte FortiGate-Geräte laufend. Es beendet TLS, hält Anmeldedaten und Sitzungstoken im Speicher, und nach der Authentifizierung öffnet es oft den Zugang zu einem flachen Netzwerk.
Das ist das ideale Zielprofil: exponiert, hochprivilegiert, ein einziger Durchgangspunkt. Fortinet ist das meistangegriffene, weil es am häufigsten eingesetzt wird — nicht weil es allein schuldig wäre. Citrix und Ivanti haben exakt dasselbe Problem bei ihren eigenen Gateways.
Die Dokumentation reicht über Jahre. 2020 leak-te die Massenausbeutung der Schwachstelle CVE-2018-13379 die VPN-Zugangsdaten von rund 50.000 Fortinet-Geräten. Darauf folgten eine Reihe kritischer Sicherheitslücken für Remote-Code-Ausführung im SSL-VPN von FortiOS — CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 — alle aktiv ausgenutzt und im CISA-Katalog bekannter ausgenutzter Schwachstellen gelistet. Diese Lücken bleiben nicht theoretisch: Echte Einbrüche beginnen auf dem VPN-Gerät und breiten sich über laterale BewegungProgression eines Angreifers von einem kompromittierten Einstiegspunkt zu weiteren Systemen im selben Netzwerk. im Netzwerk aus. Das Muster wiederholte sich Anfang 2026 mit einem großangelegten Fortinet-Zugangsdaten-Leak und gemeinsamen CISA/NCSC-Warnungen.
Sie haben das Risiko nicht beseitigt. Sie haben es auf eine Box verschoben, die die ganze Welt erreichen kann.
Was das Risiko wirklich reduziert
Auf der Verbraucherseite wählen Sie nach nachprüfbaren Kriterien: ein veröffentlichtes unabhängiges Audit, eine klare Rechtsordnung, transparentes Eigentum und ein offenes Protokoll wie WireGuard oder OpenVPN. Nicht nach einem Slogan. Und denken Sie daran, was ein VPN nicht tut: Im öffentlichen WLAN schützt das weit verbreitete HTTPS bereits den Großteil Ihres Datenverkehrs.
Auf der Unternehmensseite beginnt die Lösung zunächst mit Disziplin, dann mit Architektur. Die Verwaltungsschnittstelle eines Randgeräts hat nichts im Internet zu suchen. Multi-Faktor-Authentifizierung ist überall. Exponierte Geräte werden im Rhythmus des CISA-Katalogs gepatcht, nicht quartalsweise. Und da Zugangsdaten möglicherweise bereits lautlos geleakt sind, behandeln Sie sie als kompromittiert und rotieren Sie sie.
Das Grundmodell — ein Login öffnet das gesamte Netzwerk — hat ausgedient. Die Richtung ist der anwendungsbasierte Zugriff, bei dem jede Ressource anhand von Identität und Gerätestatus erreichbar ist, ohne einen einzigen Lauscher am Rand, den der erste Scanner findet.
Angle de lecture
Das VPN, das Sie für „Anonymität” bezahlt haben, verlagert vor allem Ihr Vertrauen von Ihrem ISP zu einem Unternehmen, dessen Versprechen Sie nicht überprüfen können. Legitime Anwendungen gibt es: öffentliches WLAN, Umgehen geografischer Beschränkungen, Diskretion gegenüber Ihrem ISP. Anonymität gehört nicht dazu. Wählen Sie nach einem veröffentlichten unabhängigen Audit und transparentem Eigentum — niemals nach „militärischer” Verschlüsselung.
Ihr VPN-Konzentrator ist Ihr am stärksten exponiertes und privilegiertes Gerät. Inventarisieren Sie alle VPN- und Verwaltungsschnittstellen, die vom Internet erreichbar sind, entfernen Sie die Verwaltung aus der öffentlichen Seite, erzwingen Sie MFA und patchen Sie im Takt des CISA KEV. Gehen Sie davon aus, dass Zugangsdaten bereits geleakt sind, und rotieren Sie sie. Leiten Sie parallel den Übergang von flachem Netzwerkzugang zu anwendungsbasiertem Zugang ein.
„Wir haben ein VPN” ist keine Antwort auf „Sind wir geschützt?” Das Gerät, das jeder erreichen kann, ist ein Single Point of Failure am Rand Ihres Netzwerks. Die zwei Fragen, die zählen: Wie schnell patchen Sie dieses Gerät, und öffnet ein einziger Login noch das gesamte Netzwerk? Alles andere ist eine Architekturfrage, die Sie mandatieren und finanzieren müssen — nicht der Hoffnung überlassen können.
Umzusetzen
- N1 Keine Verwaltungsschnittstelle eines VPN-Geräts ist vom Internet erreichbar.
- N1 Multi-Faktor-Authentifizierung deckt alle VPN- und Verwaltungszugänge ab.
- N1 Randgeräte werden im Takt des CISA KEV-Katalogs gepatcht, nicht quartalsweise.
- N2 VPN- und Verwaltungszugangsdaten werden als potenziell geleakt behandelt und regelmäßig rotiert.
- N2 Der Übergang von flachem Netzwerkzugang zu anwendungsbasiertem Zugang ist beschlossen und budgetiert.
- N3 Die Wahl eines Consumer-VPN basiert auf einem veröffentlichten unabhängigen Audit, nicht auf einem Werbeslogan.
Quellen
- Consumer Reports, zu übertriebenen VPN-Versprechen und „militärischer” Verschlüsselung (opens in a new tab)
- TechRadar, „es gibt keine militärische Verschlüsselung” (opens in a new tab)
- Engadget, was ein VPN trotz Werbung nicht kann (opens in a new tab)
- CISA, aktiv ausgenutzte FortiOS SSL-VPN-Schwachstellen (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762) (opens in a new tab)
- Darktrace, ein realer Einbruch ausgehend von einem Fortinet SSL-VPN bis zur lateralen Bewegung (opens in a new tab)