Hallo Vinzenz,

Die von Dir verwendete VPN-Software beherrscht Split-Tunneling, steht zumindest
im Datenblatt (siehe Dein eigener Link). Ich kann jedoch verstehen, wenn dieser
Modus gemäß den VPN-Sicherheitsrichtlinien Deines Auftraggebers deaktiviert ist.

Ich halte diese Sicherheitsargumente für Augenwischerei. Diese Angriffe gehen nämlich davon aus, dass entweder die Software auf dem Rechner nicht vertrauenswürdig ist (d.h. Malware darauf ist oder Software mit Sicherheitslücken, über die man Malware einschleusen kann) oder der Benutzer vor dem Rechner nicht vertrauenswürdig ist und somit irgend etwas explizit öffnet. Und zu "Sicherheitslücken" zähle ich auch aktiviertes IP Forwarding - das braucht man auf einem Client nämlich grundsätzlich nicht.

Klar, ein "Live-Zugriff" wird durch Abschottungsmaßnahmen verhindert, aber wenn der Benutzer nicht vertrauenswürdig ist, dann hat man sowieso verloren und wenn auf dem Rechner auf irgend eine Weise Malware gelangen kann, dann kann diese z.B. auch VPN-Zugangsdaten ausspähen oder andere lustige Dinge machen, die es zwar einem Angreifer leicht erschweren, irgend etwas zu tun, aber eine wirklich große Hürde ist das nun auch wieder nicht (eine fernsteuerbare Malware könnte sich ja über die Internetverbindung [1] innerhalb des VPN mit einem IRC-Channel verbinden und dort auf Befehle warten).

Viele Grüße,
Christian

[1] Die ja zumindest in diesem Fall zweifelsohne vorhanden ist. HTTP-Proxies machen die Aufgabe lediglich etwas schwieriger, nicht unmöglich, zudem kann man auch über DNS tunneln, was in internen Netzen oft direkt aktiviert ist, selbst wenn da ein Proxy dazwischen ist etc.