Ein VPN (Virtual Private Network) erstellt einen verschlüsselten Tunnel zwischen zwei Endpunkten über ein unsicheres Netzwerk wie das Internet. Typische Einsatzszenarien sind der Remote-Zugriff auf das Unternehmensnetz und die Standortvernetzung (Site-to-Site). Im ISMS ist VPN eine zentrale Maßnahme für den Schutz der Vertraulichkeit und Integrität bei der Fernarbeit. Gängige Protokolle sind IPsec und WireGuard. Die Zugangskontrolle zum VPN sollte durch Mehrfaktor-Authentifizierung abgesichert werden.
VPN (Virtual Private Network)
Hier verwendet
ISO-27001-Kontrollen 19
- A.5.10 — Akzeptable Nutzung von Informationswerten
- A.5.11 — Rückgabe von Vermögenswerten
- A.5.14 — Informationsübertragung
- A.5.15 — Zugriffskontrolle
- A.5.17 — Authentifizierungsinformationen
- A.5.29 — IS während einer Störung
- A.5.37 — Dokumentierte Betriebsverfahren
- A.6.5 — Pflichten nach Beschäftigungsende
- A.6.7 — Telearbeit
- A.7.13 — Ausrüstungswartung
- A.7.9 — Sicherheit von Vermögenswerten außerhalb des Firmengeländes
- A.8.16 — Überwachungsaktivitäten
- A.8.19 — Installation von Software auf Betriebssystemen
- A.8.20 — Netzwerksicherheit
- A.8.21 — Sicherheit von Netzwerkdiensten
- A.8.23 — Web-Filterung
- A.8.24 — Verwendung von Kryptographie
- A.8.32 — Änderungsmanagement
- A.8.5 — Sichere Authentifizierung
Bedrohungen 11
- G 0.14 — Ausspähen von Informationen (Spionage)
- G 0.15 — Abhören
- G 0.17 — Verlust von Geräten, Datenträgern oder Dokumenten
- G 0.23 — Unbefugtes Eindringen in IT-Systeme
- G 0.28 — Software-Schwachstellen oder -Fehler
- G 0.30 — Unberechtigte Nutzung oder Administration von Geräten und Systemen
- G 0.35 — Nötigung, Erpressung oder Korruption
- G 0.36 — Identitätsdiebstahl
- G 0.39 — Schadprogramme
- G 0.43 — Einspielen von Nachrichten
- G 0.9 — Ausfall oder Störung von Kommunikationsnetzen