Aufgaben – Verschlüsselung in der Praxis
Diese Aufgaben orientieren sich am Format und Anforderungsniveau der IHK-Abschlussprüfung für Fachinformatiker. Jede Aufgabe beschreibt eine realistische Arbeitssituation und enthält mehrere Teilaufgaben mit unterschiedlichen Aufgabentypen (Erklären, Auswählen, Planen, Bewerten).
Aufgabe 3 – VPN-Konzept für zwei Unternehmensstandorte (14 Punkte)
Handlungssituation: Die Techwerk GmbH hat neben dem Hauptsitz in München einen weiteren Standort in Hamburg eröffnet. Beide Standorte müssen dauerhaft auf gemeinsame Dateiserver und interne Anwendungen zugreifen können. Zusätzlich sollen 20 Außendienstmitarbeiter von unterwegs auf das interne Netz zugreifen können. Ihr sollt ein VPN-Konzept erstellen.
Teilaufgabe 3a (4 Punkte)
Ordnet jedem Szenario den passenden VPN-Typ zu und begründet eure Wahl jeweils in einem Satz:
| Szenario | VPN-Typ | Begründung |
|---|---|---|
| Dauerhafte Verbindung Hauptsitz München ↔ Standort Hamburg | ??? | |
| Außendienstmitarbeiter verbindet sich von einem Hotel-WLAN mit dem Firmennetz | ??? |
Teilaufgabe 3b (4 Punkte)
Der Netzwerkadministrator diskutiert, ob für das Site-to-Site-VPN IPsec oder WireGuard eingesetzt werden soll.
Nennt je zwei Argumente für IPsec und zwei Argumente für WireGuard in einer Unternehmensumgebung.
Teilaufgabe 3c (2 Punkte)
Ein Außendienstmitarbeiter fragt, ob er für private Webseiten (z. B. Nachrichtenportale) den VPN-Tunnel nutzen muss.
Erläutert den Begriff Split-Tunnel und erklärt, welche Sicherheitsabwägung dabei zu berücksichtigen ist.
Teilaufgabe 3d (4 Punkte)
Beim WireGuard-Rollout für die Außendienstmitarbeiter tritt folgendes Problem auf: Die VPN-Verbindung baut sich auf (wg show zeigt einen erfolgreichen Handshake), aber interne Server sind nicht erreichbar.
Nennt drei mögliche Ursachen für dieses Verhalten und jeweils den passenden Diagnoseschritt.
Musterlösungen
Aufgabe 3a: Site-to-Site VPN für München ↔ Hamburg (permanente Netzwerkverbindung, Endgeräte merken nichts vom Tunnel). Client-to-Site VPN für Außendienstmitarbeiter (jeder Mitarbeiter baut individuell eine Verbindung zum Firmennetz auf).
Aufgabe 3b: IPsec: Weit verbreitet und interoperabel mit Hardware-Firewalls verschiedener Hersteller; etablierter Standard in Unternehmensumgebungen mit zertifizierten Implementierungen. WireGuard: Deutlich einfachere Konfiguration, modernes Kryptografie-Design (Curve25519, ChaCha20), sehr gute Performance auch auf schwacher Hardware.
Aufgabe 3c: Split-Tunnel bedeutet, dass nur Datenverkehr für interne Firmenadressen durch den VPN-Tunnel geleitet wird – privater Traffic geht direkt ins Internet. Vorteil: Weniger Last auf dem VPN-Gateway. Sicherheitsrisiko: Kompromittiertes Gerät kann gleichzeitig im internen Netz und im Internet aktiv sein; Malware kann über den nicht-getunnelten Pfad kommunizieren.
Aufgabe 3d: Mögliche Ursachen: (1)
AllowedIPsin der WireGuard-Konfiguration enthält nicht die internen Ziel-Netzwerke →ip route showprüfen. (2) Firewall auf dem VPN-Server lässt Pakete an interne Ziele nicht weiter →iptables/nftables-Regeln prüfen. (3) IP-Forwarding ist auf dem VPN-Server nicht aktiviert →sysctl net.ipv4.ip_forwardprüfen.