INVESTOX-Forum

Hallo Loros

Schön, mal wieder von Dir zu hören!

VPN ist ein Oberbegriff wie z.B. "Getränk". Also, es gibt Limonade, Bier, Milch, Wasser, Whisky usw. Die Frage, ob es eine bessere Lösung für die Datensicherheit gibt als VPN, ist für mich vergleichbar mit der Frage, ob es eine bessere Möglichkeit gibt, seinen Durst zu löschen, als durch ein Getränk

VPNs gibt es als SSL-VPN, VPN mit IPsec, Passphrase gesicherte VPNs, zertifikatsbasierte Lösungen usw. Dann gibt es solche, bei denen man die PHYSISCHE Kontrolle hat über beide Endgeräte (also über das mobile Gerät (was man sich auch nicht klauen lässt) UND über die Gegenstelle. Oder solche Lösungen, wo man selbst einen man-in-the-middle beauftragt, um die Abwicklung zwischen den beiden Endgeräten zu vereinfachen, weil man selbst nicht über das ultimative KnowHow verfügt. Usw.

Also, man kann nicht über "Getränk" mit jemand diskutieren, ohne zu wissen, ob man über Whisky fachsimpelt - oder über die Unterschiede von Milch.

So ist es auch bei "VPN": was möchtest Du machen? Oder, wie machst Du es bisher? Dann kann man diskutieren, welche Schwachstellen es bei der aktuellen Lösung gibt, bzw. welche Lösung die sicherste für eine angedachte zukünftige Anwendung ist.

Und natürlich wird es Mischformen geben, denn mobil greift man ja überall hin!, der Zugriff auf den Broker wird dabei sicher anders zu bewerten sein (und durch eine andere VPN-Art gesichert), als jener auf Deine Maschinen, und wo die stehen, natürlich (wegen dem physischen Zugriff).

Übrigens, dass unterwegs mehr oder weniger ungesicherte Starbucks & Co. WLANs liegen, spielt für die Sicherheit die kleinste Rolle; allenfalls gibt es spezielle Exploits für gewisse VPN-Arten, für die es aber erhebliches KnowHow braucht - und gegen die man sich weitgehend schützen kann. Die meisten Unsicherheitsfaktoren sind dagegen "hausgemacht", wie EHEC im Gemüsesaft Getränk aus eigener Züchtung.

Ich fange mal mit 2) an. Eigentlich besteht gar kein Unterschied, ob man aus dem Ausland zugreift, ob direkt über den eigenen Provider oder über ein (ungesichertes) WLAN.

Der Grund ist, dass auf jedem dieser Wege eine Anzahl von Zwischen-Stationen (sog. Hops) vorhanden sind, und jeder könnte mit dem berüchtigsten Hacker des Jahrhunderts besetzt sein. Die Tatsache, dass Du im einen Fall einen Vertrag hast mit einem Provider und im anderen nicht, kann nicht darüber hinweg täuschen, dass der Feind überall lauern könnte. Und beweiss Deinem Provider im Zweifel mal, dass Du Schaden erlitten hast, weil einer seiner Mitarbeiter oder eine Drittfirma (sie lassen die Wartung meistens ja durch andere machen) in seinem Einflussbereich "Schuld" ist. Ich schätze, das kriegt man nicht hin, dem Provider da was anzuhängen.

Auch die Annahme, dass Menschen im Ausland einem eher böse wollen, als die Mitbürger im Inland, ist zumindest fraglich ...

Ergo: es bleibt nur die Variante, einfach immer auf Sicherheit bedacht zu sein. Dazu später mehr.

Zitat von »Loros«

1) Auf was soll zugegriffern werden? Einerseits auf das Konto beim
Broker

Hier gibt's nicht viel zu tun. Man muss nehmen, was der Broker an Verschlüsselung anbietet, meist SSL via Web Browser. An der Stelle kann man nur darauf achten, dass man die neueste Software-Updates auf dem mobilen Gerät hat und dass man sich keinen Virus, Trojaner oder Keylogger eingefangen hat (*). Dazu regelmässig die Presse verfolgen (z.B. auf heise security), ob neue Sicherheitsrisiken in der eigenen verwendeten Software oder jener des Brokers bekannt geworden sind.

Und ganz wichtig: mobil ist beim Zugriff auf den Broker eher nicht das VPN die Schwachstelle, sondern dass man beobachtet wird. Es könnte die Eingabe von User-ID und Passwort beobachtet oder gar gefilmt werden, und damit ganz leicht fremder Zugriff erfolgen. Oder man könnte sich je nach geografischer Lokation als Trader zu erkennen geben und sich so erpressbar machen (da muss ja Cash auf dem Konto sein). Umsicht ist also angebracht, wegen der SSL Verschlüsselung würde ich hier zuletzt Bedenken haben.

(*): am interessantesten sind ja für potentielle Angreifer nicht die Daten-Streams auf einer verschlüsselten Verbindung; um die in Echtzeit zu decodieren oder gar darauf Einfluss zu nehmen, braucht es sehr schnelle Rechner, die meist ausserhalb der Möglichkeiten eines Gelegenheits-Hackers liegen. Interessant sind aber User-IDs und Passwörter, und die lassen sich vor dem VPN abfangen oder danach. Da sind m.E. die eigentlichen Schwachstellen!

(Fortsetzung folgt)

Zitat von »Loros«

andererseits auf dem Server im Rechenzentrum (mit dem Handelssxstem
und der offenen TWS darauf),

Hier kommt es jetzt drauf an. Hast Du genug Rackspace in Reserve gemietet und kannst zu Deinem Server auch eigene Hardware reinstellen, wie z.B. eine Hardware Firewall mit qualifiziertem VPN Endpunkt? Oder hast Du nur einen Vertrag, bei dem vom RZ vorgegebene Server laufen können - aber ein dedizierter Server ist es wohl wenigstens hoffentlich? Wirst Du die Zeit in die Hand nehmen, Hard- und oder Software selber zu konfigurieren, oder wird das jemand für Dich machen müssen (=weitere potentielle Sicherheitslücke). Ist durch den jemand das Paket schon vorgegeben, oder hast Du freie Wahl?, usw.

Hier kommen wir wieder zur Getränke-Karte: was darf's denn sein? Danach können wir darüber reden, welche Möglichkeiten unter den gegebenen Umständen bleiben.