Split Tunneling & Sicherheitsbetrachtung

Wenn ein Mitarbeiter im Homeoffice über VPN verbunden ist und gleichzeitig auf YouTube schaut, stellt sich eine grundsätzliche Frage: Soll der YouTube-Traffic ebenfalls durch den VPN-Tunnel (über die Firmenbandbreite) fließen – oder direkt über seinen Heimanschluss? Diese Entscheidung heißt Split Tunneling, und sie ist nicht trivial: Sie hat Auswirkungen auf Performance, Sicherheit, Datenschutz und Compliance.

Split Tunneling beschreibt die Konfiguration, bei der ein VPN-Client seinen Traffic aufteilt: Unternehmens-relevanter Traffic geht durch den verschlüsselten Tunnel, normaler Internettraffic geht direkt. Im Gegensatz dazu leitet Full Tunneling (kein Split Tunnel) den gesamten Traffic des Clients durch das VPN. Beide Ansätze haben berechtigt Vor- und Nachteile – die richtige Wahl hängt vom Sicherheitskonzept des Unternehmens ab.

1) Traffic-Fluss im Vergleich

Die folgende Übersicht zeigt, welcher Traffic bei Full Tunnel vs. Split Tunnel wohin fließt. Der Unterschied beeinflusst nicht nur Performance, sondern auch welche Sicherheitssysteme des Unternehmens greifen können.

Traffic-Routing – Full Tunnel vs. Split Tunnel

WireGuard AllowedIPs steuert Split Tunneling: 0.0.0.0/0 = Full Tunnel (alles durch VPN). Für Split Tunnel nur interne Subnetze: 192.168.0.0/24, 10.0.0.0/8. Bei OpenVPN: push "redirect-gateway def1" = Full Tunnel; ohne diese Option = Split Tunnel basierend auf konfigurierten Routen.

2) Sicherheitsrisiken beim Split Tunneling

Split Tunneling ist bequem und entlastet die Firmenbandbreite – aber es schafft Sicherheitslücken, die sorgfältig abgewogen werden müssen. Klicke auf ein Risiko für Details und Gegenmaßnahmen.

Sicherheitsrisiken – Split Tunneling

Firewall-Bypass

Web-Filter greift nicht für direkten Traffic

Netzwerk-Pivoting

Kompromittiertes Heimnetz als Sprungbrett

DNS-Leak

DNS-Anfragen außerhalb des Tunnels

Datenverlust / Exfiltration

Sensible Daten könnten direkt abfließen

3) Weitere VPN-Sicherheitsbetrachtungen

Neben Split Tunneling gibt es weitere sicherheitsrelevante Aspekte bei VPN-Implementierungen, die im Betrieb berücksichtigt werden müssen.

Wichtige Sicherheitsmaßnahmen beim VPN-Betrieb

MFA für alle VPN-Zugänge: Ein gestohlenes VPN-Passwort allein darf keinen Zugang gewähren. MFA ist heute Pflicht für Remote-Access VPN – besonders nach NIST SP 800-207 (Zero Trust) und BSI-Empfehlungen.

Least Privilege für VPN-Zugänge: Nicht jeder VPN-Nutzer braucht Zugriff auf alle internen Ressourcen. VPN-ACLs oder Firewall-Regeln schränken ein, welche Systeme ein Remote-Nutzer nach dem Tunnel-Aufbau erreichen kann. Zero Trust Network Access (ZTNA) geht noch weiter.

Endpoint-Compliance prüfen: Bevor ein VPN-Tunnel aufgebaut wird, sollte der Client-Zustand geprüft werden (Posture Assessment): aktuelles OS, laufender Virenscanner, keine bekannten Schwachstellen. Cisco AnyConnect und Palo Alto GlobalProtect bieten solche Checks.

VPN-Gateway regelmäßig patchen: VPN-Gateways sind exponierte Systeme – sie sind per Definition aus dem Internet erreichbar. Bekannte Schwachstellen in Pulse Secure, Fortinet FortiGate und Citrix ADC wurden aktiv ausgenutzt. Patch-Management für VPN-Gateways hat höchste Priorität.

Always-On VPN für Firmengeräte: Für MDM-verwaltete Unternehmensgeräte ist Always-On VPN (automatischer Verbindungsaufbau ohne Nutzeraktion) die sicherste Variante: Das Gerät ist immer durch die Unternehmens-Firewall geschützt, unabhängig vom genutzten Netz.

Logging und Monitoring: Alle VPN-Verbindungen protokollieren: wer, wann, von welcher IP, wie lange. Anomalien erkennen: Login aus ungewöhnlichem Land, ungewöhnliche Verbindungszeiten, ungewöhnlich viele gleichzeitige Sessions. Logs ins SIEM integrieren.

Zusammenfassung

	Full Tunnel	Split Tunnel
Traffic-Routing	Alles durch VPN	Nur interner Traffic durch VPN
Sicherheit	Höher (Firmen-Firewall überall)	Geringer (direkter Traffic unkontrolliert)
Performance	Geringer (Firmenbandbreite)	Besser (direktes Internet)
DNS-Leak-Risiko	Gering	Vorhanden (ohne DNS-Override)
Compliance	Einfacher nachweisbar	Mehr Konfigurationsaufwand
Empfehlung	Für sensible Umgebungen	Für weniger sensible + Performance-Anforderungen

Split Tunneling & Sicherheitsbetrachtung

1) Traffic-Fluss im Vergleich

2) Sicherheitsrisiken beim Split Tunneling

3) Weitere VPN-Sicherheitsbetrachtungen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title