Ein Anstieg der VPN-Nutzung könnte für Unternehmen riskant sein: So reagieren Sie

Von Phil Muncaster • 11 September 2025

Der Online Safety Act (OSA) ist eines der umfangreichsten und komplexesten Gesetze Großbritanniens. Er ist auch eines der umstrittensten. Er enthält Bestimmungen, die Online-Plattformen zwingen sollen, Inhalte zu überwachen, private Gespräche zu überwachen und das Alter ihrer Nutzer zu überprüfen. Letzteres löste bei seinem Inkrafttreten am 25. Juli Empörung aus.

Obwohl das OSA verspricht, das Internet sicherer zu machen, insbesondere für Kinder, könnte es für Unternehmen sogar gefährlicher werden, wenn es zu einem dauerhaften Anstieg der VPN-Nutzung führt. Zumindest müssen Unternehmen ihre Sicherheitskontrollen und Nutzungsrichtlinien an die neue Situation anpassen.

Unbeabsichtigte Konsequenzen

Das OSA verlangt von allen Websites mit pornografischen Inhalten strenge Altersüberprüfungen, die „technisch korrekt, robust, zuverlässig und fair“ sind. Auch andere Websites mit Inhalten für Erwachsene – wie X (ehemals Twitter), Reddit, Discord, Telegram Bluesky und Grindr – haben sich zu Altersüberprüfungen verpflichtet. Angesichts von Geldstrafen von bis zu 18 Millionen Pfund oder 10 Prozent des weltweiten Umsatzes gehen viele Plattformen mit nutzergenerierten Inhalten lieber zu vorsichtig vor.

Für viele Nutzer stellt dies ein Problem dar. Für die Altersüberprüfung müssen sie beispielsweise eine E-Mail-Adresse, Telefonnummer, einen Scan eines Ausweisdokuments, Kreditkartendaten oder ein Foto/Video ihres Gesichts eingeben. Zu den ausgewählten Anbietern für die Verarbeitung dieser Informationen gehören das US-Unternehmen Persona und das zyprische Unternehmen AgeID. Nutzer haben keine Wahl. Sie müssen den Anbieter verwenden, der von der Website/Plattform ausgewählt wurde, auf die sie zugreifen möchten.

Verständlicherweise sind Internetnutzer skeptisch, wenn es darum geht, hochsensible persönliche und biometrische Daten an Anbieter weiterzugeben, die diese im Ausland speichern. Deshalb entscheiden sich viele für die Investition in ein VPN – zu ihren eigenen Bedingungen.

Der Aufstieg des VPN

Verschiedene Statistiken erzählen die Geschichte dessen, was in den Tagen nach dem 25. Juli passierte. VPN-Anbieter Proton gemeldete Anmeldungen aus Großbritannien stammend, stiegen an diesem Tag um mehr als 1,400 %. „Im Gegensatz zu früheren Anstiegen ist dieser anhaltend und deutlich höher als damals, als Frankreich den Zugang zu Inhalten für Erwachsene verlor“, hieß es.

Unterdessen Google-Suche Innerhalb des Landes für „virtuelles privates Netzwerk“ erreichte „Höhepunkt Popularität“ am 26. Juli. Laut vpnMentor, fünf VPN-Anbieter ist in die Top 10 der am häufigsten heruntergeladenen Apps im App Store von Apple eingestiegen.

Aus Sicherheitssicht besteht die Herausforderung darin, dass nicht alle VPNs so sicher und datenschutzbewusst sind, wie sie vorgeben. Sie können:

Daten mit feindlichen Nationen teilen
Verwenden Sie veraltete oder schwache Verschlüsselung, die Verbindungen anfällig für Man-in-the-Middle-Angriffe macht
Verkaufen Sie Benutzerdaten an Dritte
Softwarepaket mit Schadcode
Enthalten Schwachstellen, die ausgenutzt werden könnten
Stellen ein Risiko für Datenlecks/Datenverletzungen dar, wenn der Anbieter kompromittiert ist

Kurz gesagt: Wenn ein Mitarbeiter ein VPN für Privatkunden auf einen Arbeitslaptop, einen privaten Laptop für die Arbeit oder ein BYOD-Gerät herunterlädt, kann dies ein erhebliches Schatten-IT-Risiko darstellen und die Datenverwaltung und -sicherheit beeinträchtigen. Ganz abgesehen von den potenziellen Risiken des Besuchs von Websites für Erwachsene, die möglicherweise Malware enthalten.

Was macht man als nächstes?

Mark Weir, Regionaldirektor für Großbritannien und Irland bei Check Point Software, behauptet, dass die meisten Organisationen die Nutzung persönlicher VPN-Tools sowohl auf BYOD- als auch auf Unternehmensgeräten bereits verbieten. Angesichts der jüngsten Zunahme der Nutzung rät er Sicherheitsteams jedoch, die Richtlinien zu aktualisieren und zu überprüfen, ob sie fehlen.

„Unternehmen sollten Tools einsetzen, die Schatten-IT-Systeme erkennen und die entsprechenden Nutzer identifizieren können. Wo solche Tools bereits vorhanden sind, sollte neben anderen potenziellen Sicherheits- und Compliance-Risiken besonderes Augenmerk auf die Überwachung der persönlichen VPN-Nutzung gelegt werden“, erklärt er gegenüber ISMS.online.

„Es ist außerdem wichtig, eine Aufklärungskampagne zu starten, um die Endnutzer für diese Richtlinien zu sensibilisieren. Zusammengenommen kann dieser dreigleisige Ansatz aus Richtliniendurchsetzung, Technologieakzeptanz und Nutzerschulung dazu beitragen, dem Anstieg der privaten VPN-Nutzung effektiv entgegenzuwirken.“

Chad Cragle, CISO von Deepwatch, argumentiert, dass Unternehmen ihre Informationssicherheits-Managementsysteme (ISMS) auch in drei Bereichen aktualisieren müssen: Asset-Management (Verfolgung von VPNs), Asset-Kontrolle (MFA und bedingter Zugriff) und Richtlinien zur akzeptablen Nutzung (um festzulegen, dass nicht verwaltete VPNs nicht auf vertrauliche Daten zugreifen können).

„Die Verwaltung muss Datenschutz-Tools als Teil der IT-Landschaft betrachten, nicht als Schlupflöcher. Die Aufgabe besteht darin, die Leitplanken auch dann durchzusetzen, wenn der Datenverkehr abgeschaltet werden soll. Das bedeutet: Datenresidenz und Geofencing, um den Datenverkehr innerhalb der genehmigten Zuständigkeitsbereiche zu halten. Die Sicherung des Prüfpfads durch Endpunktüberwachung und DLP, auch bei getunneltem Datenverkehr. Und eine Politikangleichung, bei der Datenschutz und Compliance keine konkurrierenden Werte, sondern zwei Seiten derselben Medaille sind“, erklärt er gegenüber ISMS.online.

„Stellen Sie sich das wie die Flugsicherung vor: Passagiere legen Wert auf ihre Privatsphäre, aber Flugzeuge erfassen weiterhin Flugpläne. Die Verwaltung muss Bewegungsfreiheit mit vollständiger Transparenz in Einklang bringen – sonst fliegen Sie blind.“

Brandon Tarbet, IT- und Sicherheitsdirektor von Menlo Security, möchte die Benutzeridentität von den Plattforminteraktionen trennen.

„Die Lösung besteht nicht darin, Datenschutz-Tools einzuschränken, sondern Sicherheitsarchitekturen zu implementieren, die Compliance und Datenschutz gewährleisten, ohne die Privatsphäre der Nutzer zu gefährden“, erklärt er gegenüber ISMS.online. „Das bedeutet, Sicherheits- und Datenschutzkontrollen näher an den Inhalt selbst zu bringen, mithilfe von Techniken wie Remote Rendering und isolierten Ausführungsumgebungen. Unternehmen können sowohl die Einhaltung gesetzlicher Vorschriften als auch den Schutz der Nutzerdaten gewährleisten, indem sie sicherstellen, dass Sicherheitsentscheidungen auf der Grundlage bereinigter, risikobewerteter Inhalte und nicht auf der Grundlage des reinen Nutzerdatenverkehrs getroffen werden.“

Letztendlich muss jede Art von Governance-Update die veränderte Art und Weise berücksichtigen, wie Mitarbeiter heutzutage auf vertrauliche Informationen zugreifen, argumentiert Krishna Vishnubhotla, Vizepräsident für Produktstrategie bei Zimperium.

„Governance muss sich von der alten Fokussierung auf Netzwerke und Desktops lösen. Die wahren Risiken liegen auf mobilen Geräten und den Apps, die die Menschen täglich nutzen“, erklärt er gegenüber ISMS.online. „Ein VPN mag den Datenverkehr verbergen, aber es kann keine App reparieren, die Daten verliert oder schwache Verschlüsselung verwendet. Die Antwort ist einfach: Überprüfen Sie die Apps auf Sicherheitslücken und schützen Sie sie auf dem Gerät. So wird die Privatsphäre gewahrt und die Compliance nicht verloren.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Ein Anstieg der VPN-Nutzung könnte für Unternehmen riskant sein: So reagieren Sie

Unbeabsichtigte Konsequenzen

Der Aufstieg des VPN

Was macht man als nächstes?

Phil Muncaster

In Verbindung stehende Artikel

Von der Perimetersicherheit zur Identitätssicherung

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Lesen Sie mehr von Phil Muncaster

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben