Remote-Arbeit ist im Mittelstand längst Normalität. Ob Homeoffice in Freiburg, Kundentermin in Offenburg oder Außendienst im Markgräflerland — Mitarbeiter greifen täglich von außen auf Unternehmensdaten zu. Viele KMU verlassen sich dabei auf ein VPN als einzige Schutzmaßnahme. Doch 2026 reicht das nicht mehr. Angreifer haben sich weiterentwickelt: Gestohlene Zugangsdaten, kompromittierte Endgeräte und offene RDP-Sessions machen selbst verschlüsselte VPN-Tunnel zum Einfallstor. Dieses Artikels zeigt Ihnen das Gesamtkonzept für sichere Remote-Arbeit — mit fünf konkreten Bausteinen, die zusammenwirken müssen.
⚠️ Wichtig: Dieser Artikel ergänzt unsere VPN-Grundlagenartikel. Während wir dort VPN-Technologie und Einrichtung im Detail behandeln, geht es hier um die vollständige Sicherheitsarchitektur rund um Remote-Arbeit. VPN ist nur ein Baustein von fünf.
Die 5 Bausteine sicherer Remote-Arbeit
Sicherer Fernzugriff ist kein einzelnes Produkt, sondern ein Zusammenspiel mehrerer Schutzschichten. Fällt eine Schicht aus — etwa weil ein Passwort gestohlen wurde — fangen die anderen Schichten den Angriff ab. Dieses Prinzip heißt Defense in Depth und bildet die Grundlage jeder modernen Remote-Arbeit-Strategie.
Zero Trust Architektur
Kein Nutzer und kein Gerät wird automatisch vertraut — jeder Zugriff wird geprüft. Das Firmennetzwerk ist nicht mehr per se sicher, nur weil jemand eine VPN-Verbindung hat.
Multi-Faktor-Authentifizierung (MFA)
Passwort allein reicht nicht. Jeder Remote-Zugriff erfordert einen zweiten Faktor — ob Authenticator-App, Hardware-Key oder biometrische Bestätigung.
Endpoint Security
Nur verwaltete, aktuelle und geschützte Geräte dürfen auf Firmendaten zugreifen. Antivirus, Festplattenverschlüsselung und Patch-Management sind Pflicht.
Sicherer Fernzugriff (VPN/ZTNA)
Der verschlüsselte Tunnel ins Firmennetzwerk — aber richtig konfiguriert, mit MFA gesichert und auf das Nötigste beschränkt.
Conditional Access & Compliance
Zugriffsregeln, die automatisch prüfen: Ist das Gerät compliant? Kommt der Zugriff aus einem bekannten Netzwerk? Ist das Verhalten typisch?
Zero Trust: Vertraue niemandem — auch nicht dem eigenen Netzwerk
Das klassische Sicherheitsmodell funktioniert wie eine Burgmauer: Wer drinnen ist, wird vertraut. Wer draußen ist, wird blockiert. Das VPN war der Burggraben — einmal verbunden, hatte der Nutzer oft vollen Zugriff auf das gesamte Firmennetzwerk. Dieses Modell ist gescheitert. Zero Trust dreht das Prinzip um: Kein Nutzer, kein Gerät und keine Anwendung wird automatisch vertraut — unabhängig davon, ob der Zugriff aus dem Büro, über VPN oder vom Homeoffice kommt.
Für mittelständische Unternehmen bedeutet Zero Trust konkret drei Dinge:
Identität prüfen
Jeder Zugriff wird authentifiziert — nicht nur beim Login, sondern kontinuierlich. Wer auf sensible Daten zugreift, muss sich erneut bestätigen.
Gerätezustand bewerten
Nur Geräte, die aktuell, verschlüsselt und mit Endpoint-Schutz ausgestattet sind, erhalten Zugriff. Ein privater Laptop mit veraltetem Windows wird blockiert.
Zugriff minimieren
Jeder Nutzer bekommt nur Zugriff auf die Ressourcen, die er für seine Arbeit braucht (Least Privilege). Der Vertrieb muss nicht auf die Buchhaltungsserver zugreifen können.
Sie können Zero Trust nicht kaufen und installieren. Es ist eine Architektur-Entscheidung, die sich durch alle IT-Bereiche zieht. Microsoft Entra ID (ehemals Azure AD) mit Conditional Access ist für KMU mit Microsoft 365 der einfachste Einstieg. Auch Sophos ZTNA bietet eine mittelstandsfreundliche Lösung ohne Microsoft-Abhängigkeit.
MFA richtig einsetzen: Der wichtigste einzelne Schutzfaktor
Multi-Faktor-Authentifizierung (MFA) ist die wirksamste Einzelmaßnahme gegen kompromittierte Zugangsdaten. Microsoft beziffert die Wirksamkeit auf über 99 % gegen automatisierte Angriffe. Trotzdem setzen viele KMU MFA für VPN und Remote-Zugriff nicht konsequent ein — oft aus Bequemlichkeit oder weil die Einrichtung als zu kompliziert gilt.
Welche MFA-Methoden gibt es?
| Methode | Sicherheit | Komfort | Empfehlung |
|---|---|---|---|
| SMS-Code | Niedrig — anfällig für SIM-Swapping und Abfangen | Hoch — jeder hat ein Handy | Nur als Fallback, nicht als Hauptmethode |
| Authenticator-App (TOTP) | Mittel — zeitbasierte Codes, funktioniert offline | Hoch — Microsoft Authenticator, Google Authenticator | Guter Standard für die meisten Mitarbeiter |
| Push-Benachrichtigung | Mittel-Hoch — mit Number Matching gegen MFA-Fatigue | Sehr hoch — ein Tipp zur Bestätigung | Empfohlen mit Number Matching (Microsoft Authenticator) |
| Hardware-Key (FIDO2) | Sehr hoch — phishing-resistent, physischer Besitz nötig | Mittel — Key muss mitgeführt werden | Ideal für Admins und privilegierte Zugänge |
| Biometrie (Windows Hello) | Hoch — Fingerabdruck/Gesicht + Gerätebindung | Sehr hoch — schnell und natürlich | Hervorragend als ergänzender Faktor auf Firmen-Laptops |
MFA für VPN und Remote-Zugriff einrichten
MFA für VPN und Remote-Zugriff ist der entscheidende Schutzfaktor, damit ein gestohlenes Passwort allein nicht ausreicht, um ins Firmennetzwerk zu gelangen. Je nach VPN-Lösung gibt es unterschiedliche Wege:
Microsoft 365 / Entra ID
Conditional-Access-Richtlinie erstellen, die MFA für alle Remote-Zugriffe erzwingt. Azure VPN Gateway unterstützt Entra-Authentifizierung nativ. Kosten: Ab Microsoft 365 Business Premium enthalten.
Sophos Firewall VPN
Sophos unterstützt MFA über den integrierten OTP-Service (One-Time-Password). Im Firewall-Portal unter Authentifizierung > MFA aktivieren. Alternativ: Anbindung an Microsoft Entra oder DUO Security.
Cisco DUO Security
Universelle MFA-Lösung, die vor praktisch jede VPN-Lösung geschaltet werden kann — FortiGate, pfSense, OpenVPN, Cisco AnyConnect. DUO fungiert als RADIUS-Proxy und erzwingt MFA bei jeder Anmeldung.
YubiKey für Administratoren
FIDO2-Hardware-Keys von Yubico als zweiter Faktor für alle Admin-Zugänge — VPN, RDP, Serverzugriff. Phishing-resistent und ohne Smartphone nutzbar. Ab ca. 50 € pro Key.
⚠️ Wichtig: MFA-Fatigue-Angriffe sind real: Angreifer bombardieren Nutzer mit Push-Benachrichtigungen, bis jemand entnervt auf Bestätigen tippt. Aktivieren Sie deshalb unbedingt Number Matching in Microsoft Authenticator — der Nutzer muss eine angezeigte Zahl eingeben, statt nur zu bestätigen. SMS-Codes sollten Sie nur noch als Fallback verwenden.
RDP: Das unterschätzte Sicherheitsrisiko im Homeoffice
Remote Desktop Protocol (RDP) ist für viele Unternehmen der einfachste Weg, Mitarbeitern Zugriff auf ihren Büro-Arbeitsplatz zu geben. Doch RDP ist auch einer der meistgenutzten Angriffsvektoren weltweit. Das BSI warnt seit Jahren vor offenen RDP-Zugängen — und trotzdem finden Sicherheitsforscher allein in Deutschland tausende direkt aus dem Internet erreichbare RDP-Dienste.
- Offene RDP-Ports (TCP 3389) werden von automatisierten Scannern innerhalb von Minuten nach der Freischaltung gefunden
- Brute-Force-Angriffe auf RDP-Zugangsdaten laufen rund um die Uhr — mit gekaperten Botnets und Passwortlisten
- RDP-Sitzungen, die offen bleiben (offene Sessions), können von Angreifern übernommen werden, wenn die Verbindung nicht korrekt getrennt wird
- BlueKeep und ähnliche RDP-Schwachstellen ermöglichen in älteren Windows-Versionen die Codeausführung ohne Authentifizierung
- Keine native MFA-Unterstützung — Standard-RDP kennt nur Benutzername und Passwort
- Session-Hijacking: Bei offenen RDP-Sessions kann ein Angreifer mit lokalen Admin-Rechten die Sitzung eines anderen Nutzers übernehmen
RDP richtig absichern oder ersetzen
| Maßnahme | Beschreibung | Aufwand |
|---|---|---|
| RDP nur über VPN | RDP niemals direkt ins Internet freigeben — nur über einen gesicherten VPN-Tunnel erreichbar machen | Gering — Firewall-Regel anpassen |
| MFA vor RDP schalten | DUO Security oder Microsoft Entra als zusätzlichen Faktor bei jeder RDP-Anmeldung erzwingen | Mittel — DUO RDP-Gateway oder NPS-Extension |
| Network Level Authentication (NLA) | Authentifizierung VOR dem Sitzungsaufbau — blockiert unauthentifizierte Verbindungsversuche | Gering — Windows-Einstellung aktivieren |
| RDP-Gateway (Remote Desktop Gateway) | Zentraler Zugangspunkt mit TLS-Verschlüsselung, der den direkten RDP-Port nach außen überflüssig macht | Mittel — Windows Server Rolle konfigurieren |
| Alternative: Azure Virtual Desktop (AVD) | Vollständig cloudbasierter Desktop — kein offener Port, keine direkte Verbindung zum On-Premises-Netzwerk, MFA und Conditional Access nativ integriert | Höher — Lizenzierung und Einrichtung |
| Alternative: Bildschirmfreigabe über Teams | Für einfache Support-Fälle reicht die Remotesteuerung über Microsoft Teams — verschlüsselt und ohne offene Ports | Gering — bereits in M365 enthalten |
Endpoint Security: Was der Firmen-Laptop im Homeoffice braucht
Ein VPN-Tunnel nützt wenig, wenn das Gerät am anderen Ende bereits kompromittiert ist. Endpoint Security stellt sicher, dass nur geschützte, verwaltete und aktuelle Geräte auf Firmendaten zugreifen. Im Homeoffice ist das besonders kritisch, weil das Gerät nicht mehr durch die Unternehmens-Firewall geschützt wird.
Endpoint-Security-Mindeststandard für Remote-Geräte
- Festplattenverschlüsselung aktiv (BitLocker unter Windows, FileVault unter macOS)
- Endpoint Detection & Response (EDR) installiert — z. B. Microsoft Defender for Business, Sophos Intercept X
- Automatische Windows-Updates aktiviert und überwacht (WSUS oder Microsoft Intune)
- Lokale Admin-Rechte entzogen — Nutzer arbeiten mit Standardkonten
- Firewall auf dem Endgerät aktiv — auch im Homeoffice-WLAN
- Bildschirmsperre nach 5 Minuten Inaktivität konfiguriert
- USB-Portsicherheit: Keine unkontrollierten USB-Speichergeräte erlaubt
- VPN-Auto-Connect konfiguriert — der Tunnel wird automatisch aufgebaut, ohne dass der Nutzer aktiv werden muss
Die zentrale Frage lautet: Wer verwaltet die Geräte? Für KMU mit Microsoft 365 ist Microsoft Intune (enthalten ab Business Premium) die naheliegende Lösung. Intune ermöglicht die zentrale Verwaltung aller Firmengeräte — Sicherheitsrichtlinien ausrollen, Updates erzwingen, bei Verlust fernlöschen. Alternativ bietet Sophos Central ein plattformübergreifendes Management ohne Microsoft-Bindung.
Wenn Mitarbeiter eigene Geräte nutzen, können Sie über Microsoft Entra App Protection Policies Firmendaten in geschützten Apps kapseln — ohne das gesamte Gerät zu verwalten. Outlook, Teams und OneDrive laufen dann in einem verschlüsselten Container. Bei Austritt des Mitarbeiters werden nur die Firmendaten gelöscht, nicht die privaten Fotos.
Conditional Access & Geräte-Compliance: Zugriff nur unter Bedingungen
Conditional Access (bedingter Zugriff) ist das Bindeglied zwischen Identität, Gerät und Zugriff. Es prüft bei jedem Login automatisch eine Reihe von Bedingungen und entscheidet, ob der Zugriff erlaubt, eingeschränkt oder blockiert wird. Für KMU mit Microsoft 365 Business Premium oder Entra ID P1 sind Conditional-Access-Richtlinien bereits enthalten.
MFA erzwingen bei externem Zugriff
Zugriff aus dem Büronetzwerk: Single Sign-On ohne MFA. Zugriff von extern (Homeoffice, unterwegs): MFA wird automatisch verlangt.
Nur compliant Geräte zulassen
Das Gerät muss in Intune registriert sein, BitLocker aktiv haben und die aktuellen Sicherheitsupdates installiert haben. Andernfalls: Zugriff blockiert oder nur auf Web-Apps beschränkt.
Riskante Anmeldungen blockieren
Entra ID Identity Protection erkennt verdächtige Anmeldemuster — z. B. Login aus einem Land, in dem kein Mitarbeiter ist, oder unmögliche Reisegeschwindigkeiten (Impossible Travel).
App-basierten Zugriff einschränken
Nur genehmigte Apps (Outlook, Teams, OneDrive) dürfen auf Firmendaten zugreifen. Der Download auf private Speicher-Apps wird blockiert.
Session-Limits setzen
Browser-Sitzungen laufen nach 8 Stunden automatisch ab. Für sensible Anwendungen (z. B. HR-Software, Finanzsysteme) können kürzere Limits gelten.
Architektur-Beispiel: So sieht sichere Remote-Arbeit im Mittelstand aus
Theorie ist wichtig — aber wie sieht ein komplettes Setup für ein mittelständisches Unternehmen mit 20 bis 80 Mitarbeitern konkret aus? Hier ein praxiserprobtes Architektur-Beispiel, wie wir es bei Kunden in Südbaden umsetzen:
Identität: Microsoft Entra ID (Azure AD)
Alle Benutzerkonten werden zentral in Entra ID verwaltet. Single Sign-On für alle Anwendungen. Conditional-Access-Richtlinien erzwingen MFA und Geräte-Compliance.
MFA: Microsoft Authenticator + YubiKey
Standardmitarbeiter nutzen die Microsoft Authenticator App mit Push und Number Matching. IT-Administratoren und Geschäftsführung erhalten zusätzlich YubiKey 5 NFC als phishing-resistenten Faktor.
VPN: Sophos Firewall mit SSL-VPN
Der Sophos SSL-VPN-Client verbindet Homeoffice-Laptops verschlüsselt mit dem Firmennetzwerk. MFA ist über Sophos OTP oder Entra ID integriert. Split-Tunneling für Microsoft 365 Traffic.
Endpoint: Microsoft Intune + Defender for Business
Alle Firmen-Laptops sind in Intune registriert. Compliance-Richtlinien prüfen BitLocker, Windows-Update-Stand und Defender-Status. Nicht-compliant Geräte werden automatisch vom Zugriff ausgeschlossen.
Remote Desktop: RDP über VPN + NLA + DUO
RDP ist nur über den VPN-Tunnel erreichbar. Network Level Authentication ist aktiv. DUO Security erzwingt MFA bei jeder RDP-Anmeldung. Session-Timeout: 30 Minuten Inaktivität.
Daten: OneDrive/SharePoint mit Sensitivity Labels
Firmendaten liegen in SharePoint und OneDrive statt auf lokalen Fileservern. Sensitivity Labels klassifizieren Dokumente und verhindern unkontrolliertes Teilen.
| Komponente | Produkt | Kosten (ca. pro Monat/Nutzer) |
|---|---|---|
| Identität + Conditional Access | Microsoft Entra ID P1 (in M365 Business Premium) | In M365 BP enthalten (ab 20,60 €) |
| MFA | Microsoft Authenticator (kostenlos) + YubiKey 5 (einmalig 50 €) | 0 € laufend |
| VPN + Firewall | Sophos XGS Firewall mit SSL-VPN | Ab 80 €/Monat (Gerätemiete + Lizenz) |
| Endpoint Management | Microsoft Intune (in M365 Business Premium) | In M365 BP enthalten |
| Endpoint Protection | Microsoft Defender for Business (in M365 BP) | In M365 BP enthalten |
| RDP-MFA | DUO Security (Essentials) | Ab 3 $ pro Nutzer/Monat |
| Gesamt (bei 30 Mitarbeitern) | Microsoft 365 Business Premium + Sophos + DUO | Ca. 25–28 € pro Nutzer/Monat |
Die häufigsten Schwachstellen bei Remote-Arbeit
Bei IT-Sicherheitsaudits und Erstberatungen für KMU in Südbaden stoßen wir immer wieder auf dieselben Schwachstellen. Viele davon lassen sich mit überschaubarem Aufwand beheben — man muss nur wissen, wo man suchen muss.
- VPN ohne MFA: Ein gestohlenes Passwort genügt, um ins Firmennetzwerk zu gelangen — der VPN-Tunnel verschlüsselt zwar die Verbindung, prüft aber nicht, wer sich wirklich anmeldet
- RDP direkt aus dem Internet erreichbar: Offene RDP-Ports (TCP 3389) sind das Äquivalent einer offenen Haustür — Angreifer testen automatisiert tausende Zugangsdaten pro Stunde
- Offene RDP-Sessions ohne Timeout: Mitarbeiter melden sich nicht ab, sondern klappen den Laptop zu — die Session bleibt stunden- oder tagelang aktiv und kann übernommen werden
- Keine Geräte-Compliance-Prüfung: Jedes Gerät darf auf Firmendaten zugreifen — ob aktueller Firmen-Laptop oder fünf Jahre alter privater PC ohne Virenscanner
- Identische Passwörter für VPN und andere Dienste: Wird ein Passwort bei einem Datenleck kompromittiert, funktioniert es auch am VPN-Zugang
- Fehlende Netzwerk-Segmentierung: Wer über VPN ins Netzwerk kommt, sieht alles — Server, Drucker, Kameras, andere Clients
- Kein zentrales Logging: Wer sich wann von wo angemeldet hat, lässt sich nicht nachvollziehen — im Ernstfall fehlt jede Forensik-Grundlage
- Administratoren ohne separate Admin-Konten: IT-Admins nutzen ihr normales Konto mit Admin-Rechten — ein Phishing-Angriff kompromittiert sofort die gesamte IT
Checkliste: Sichere Remote-Arbeit für Ihr Unternehmen
Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre eigene Bewertung. Jeder nicht abgehakte Punkt ist eine potenzielle Schwachstelle, die Angreifer ausnutzen können.
Remote-Arbeit Sicherheits-Checkliste
- MFA ist für alle VPN-Zugänge aktiviert — nicht nur für Administratoren
- MFA ist für alle Cloud-Dienste (Microsoft 365, ERP, CRM) aktiviert
- RDP ist nicht direkt aus dem Internet erreichbar (Port 3389 geschlossen)
- RDP-Sessions haben ein automatisches Timeout bei Inaktivität (max. 30 Min.)
- Alle Remote-Geräte sind zentral verwaltet (Intune, Sophos Central o. ä.)
- Festplattenverschlüsselung (BitLocker) ist auf allen Firmengeräten aktiv
- Endpoint Detection & Response (EDR) ist auf allen Geräten installiert
- Conditional-Access-Richtlinien sind konfiguriert und aktiv
- Nur compliant Geräte dürfen auf Firmendaten zugreifen
- VPN nutzt ein aktuelles Protokoll (WireGuard, IKEv2 oder OpenVPN)
- Split-Tunneling ist bewusst konfiguriert (nicht unbeabsichtigt aktiv)
- Administratoren haben separate Admin-Konten mit FIDO2-Keys
- Passwortrichtlinie erzwingt mindestens 14 Zeichen, keine regelmäßigen Wechsel
- Alle Remote-Zugriffe werden zentral protokolliert (SIEM oder zumindest Log-Sammlung)
- Mitarbeiter sind zu Phishing und MFA-Fatigue-Angriffen geschult
- Notfallplan existiert: Was passiert bei Verdacht auf kompromittierten VPN-Zugang?
Fazit: Sicherheit ist ein Gesamtkonzept
Ein VPN allein macht Remote-Arbeit nicht sicher — es ist nur der verschlüsselte Tunnel. Was fehlt, sind die Kontrolle der Identität (MFA, Zero Trust), die Absicherung der Endgeräte (Endpoint Security, Compliance) und intelligente Zugriffsregeln (Conditional Access). Erst wenn alle fünf Bausteine zusammenwirken, entsteht ein gesicherter Fernzugriff, der auch gegen moderne Angriffsmethoden standhält.
Die gute Nachricht für den Mittelstand: Mit Microsoft 365 Business Premium haben Sie die wichtigsten Werkzeuge bereits in der Lizenz — Entra ID, Intune, Defender for Business und Conditional Access. In Kombination mit einer ordentlich konfigurierten Firewall (z. B. Sophos) und konsequenter MFA-Umsetzung erreichen Sie ein Sicherheitsniveau, das vor wenigen Jahren nur Konzernen vorbehalten war. Und das zu Kosten von unter 30 Euro pro Nutzer und Monat.
Ob Ihr aktuelles Remote-Arbeit-Setup sicher ist, lässt sich in einem IT-Sicherheitscheck schnell feststellen. Wir prüfen VPN-Konfiguration, MFA-Status, RDP-Erreichbarkeit, Endpoint-Compliance und Conditional-Access-Richtlinien — und zeigen Ihnen konkret, wo Handlungsbedarf besteht.