Spätestens seit der Homeoffice-Welle hat sich eines gezeigt: Mitarbeiter müssen von überall sicher auf Unternehmensdaten zugreifen können — ob vom Heimarbeitsplatz in Freiburg, vom Kundenbesuch in Offenburg oder von der Zweigniederlassung in Lörrach. Ein Virtual Private Network (VPN) schafft dafür einen verschlüsselten Tunnel zwischen dem Endgerät und dem Firmennetzwerk. Doch VPN ist nicht gleich VPN: Falsches Protokoll, fehlende Authentifizierung oder eine schlechte Konfiguration machen aus dem Sicherheitswerkzeug ein Einfallstor. In diesem Artikel erfahren Sie, welche VPN-Typen und Protokolle es gibt, worauf Sie bei der Einrichtung achten müssen und warum Zero Trust Network Access die Zukunft sein könnte.
Warum VPN im Homeoffice-Zeitalter Pflicht ist
Die Arbeitswelt hat sich grundlegend verändert. Laut Bitkom arbeiten über 50 Prozent der Beschäftigten in Deutschland zumindest teilweise im Homeoffice. Für mittelständische Unternehmen in Südbaden bedeutet das: Ihre IT-Infrastruktur muss Fernzugriffe sicher ermöglichen — und zwar nicht als Notlösung, sondern als fester Bestandteil der IT-Strategie. Ohne VPN greifen Mitarbeiter über ungeschützte Internetverbindungen auf interne Systeme zu. Jede Anmeldung am ERP-System, jeder Zugriff auf den Fileserver und jede E-Mail wird dann potenziell für Dritte sichtbar.
- Mitarbeiter nutzen öffentliches WLAN (Hotel, Café, Zug) ohne Verschlüsselung — Angreifer können den gesamten Datenverkehr mitlesen
- RDP-Ports (Remote Desktop) werden direkt ins Internet geöffnet — Brute-Force-Angriffe sind eine Frage der Zeit, nicht des Ob
- Passwörter werden unverschlüsselt übertragen, wenn kein VPN oder TLS zum Einsatz kommt
- Kompliance-Verstöße: Die DSGVO verlangt technische Schutzmaßnahmen bei der Übertragung personenbezogener Daten
- Ohne zentralen Fernzugriff entstehen Schatten-IT-Lösungen — Mitarbeiter nutzen private Cloud-Dienste und USB-Sticks
- Cyberversicherungen setzen zunehmend einen gesicherten Fernzugriff als Mindeststandard voraus
Immer wieder sehen wir bei Kunden, dass der Remote-Desktop-Port (TCP 3389) direkt aus dem Internet erreichbar ist. Das ist so, als würden Sie den Schlüssel zu Ihrem Büro an die Eingangstür kleben. Automatisierte Scanner finden offene RDP-Ports innerhalb von Minuten. Der richtige Weg: RDP nur über einen VPN-Tunnel erreichbar machen und zusätzlich mit Multi-Faktor-Authentifizierung absichern.
VPN-Typen im Überblick: Welcher Tunnel passt zu Ihrem Unternehmen?
Nicht jedes VPN ist für jedes Szenario geeignet. Je nachdem, ob einzelne Mitarbeiter von unterwegs zugreifen, zwei Standorte dauerhaft verbunden werden sollen oder ein flexibler Browser-Zugang benötigt wird, kommen unterschiedliche VPN-Typen zum Einsatz.
Site-to-Site VPN
Verbindet zwei oder mehr Standorte dauerhaft über einen verschlüsselten Tunnel. Ideal für Unternehmen mit Zweigniederlassungen — etwa Hauptsitz in Freiburg und Produktionsstätte im Markgräflerland. Die Verbindung steht permanent, Mitarbeiter bemerken keinen Unterschied zum lokalen Netzwerk.
Client-to-Site VPN (Remote Access)
Einzelne Endgeräte (Laptop, Smartphone) verbinden sich über eine VPN-Software mit dem Firmennetzwerk. Der Standardfall für Homeoffice und Außendienst. Jeder Mitarbeiter erhält einen individuellen Zugang mit eigenen Zugriffsrechten.
SSL-VPN (Clientless VPN)
Der Zugriff erfolgt direkt über den Webbrowser, ohne Installation einer VPN-Software. Praktisch für externe Partner, temporäre Mitarbeiter oder Geräte, auf denen keine Software installiert werden kann. Bietet meist eingeschränkten Zugriff auf bestimmte Webanwendungen.
Die meisten KMU benötigen eine Kombination: Client-to-Site VPN für die Homeoffice-Mitarbeiter und Site-to-Site VPN, falls mehrere Standorte existieren. SSL-VPN eignet sich hervorragend als Ergänzung für externe Dienstleister, die nur auf bestimmte Systeme zugreifen müssen.
VPN-Protokolle im Vergleich: IPsec, OpenVPN und WireGuard
Das VPN-Protokoll bestimmt, wie die Verschlüsselung funktioniert, wie schnell die Verbindung ist und wie kompatibel sie mit verschiedenen Geräten und Firewalls ist. Drei Protokolle dominieren heute den Unternehmenseinsatz — jedes mit eigenen Stärken.
| Eigenschaft | IPsec (IKEv2) | OpenVPN | WireGuard |
|---|---|---|---|
| Verschlüsselung | AES-256, sehr stark | AES-256 (konfigurierbar) | ChaCha20, modern und schnell |
| Performance | Hoch (Hardware-Offloading möglich) | Mittel (Software-basiert, mehr Overhead) | Sehr hoch (minimaler Code, geringer Overhead) |
| Stabilität | Sehr ausgereift, jahrzehntelang erprobt | Ausgereift, große Community | Jung aber stabil, seit 2020 im Linux-Kernel |
| NAT-Durchquerung | Mit NAT-T (UDP 4500) | Einfach über TCP 443 oder UDP | Einfach über UDP |
| Einrichtung | Komplex, viele Parameter | Mittel, gute Dokumentation | Einfach, minimale Konfiguration |
| Client-Verfügbarkeit | Nativ in Windows, macOS, iOS, Android | Clients für alle Plattformen verfügbar | Clients für alle Plattformen verfügbar |
| Firewall-Kompatibilität | Von allen Enterprise-Firewalls unterstützt | Sehr verbreitet, auch auf pfSense/OPNsense | Zunehmend unterstützt (Sophos, pfSense, FortiGate) |
| Ideal für | Site-to-Site, Enterprise-Umgebungen | Flexibler Remote Access, heterogene Umgebungen | Performance-kritische Verbindungen, moderne Setups |
⚠️ Wichtig: Finger weg von veralteten Protokollen: PPTP gilt seit Jahren als gebrochen und bietet keinen echten Schutz. Auch L2TP ohne IPsec ist unsicher. Wenn diese Protokolle in Ihrer Umgebung noch im Einsatz sind, sollten Sie umgehend migrieren.
Split-Tunneling vs. Full-Tunneling: Was durch den Tunnel geht
Eine der wichtigsten Entscheidungen bei der VPN-Konfiguration betrifft die Frage, welcher Datenverkehr durch den Tunnel geleitet wird. Hier gibt es zwei grundsätzliche Ansätze — und beide haben ihre Berechtigung.
| Aspekt | Full-Tunneling | Split-Tunneling |
|---|---|---|
| Funktionsweise | Gesamter Datenverkehr läuft über den VPN-Tunnel | Nur Firmendaten gehen durch den Tunnel, Internet-Traffic geht direkt |
| Sicherheit | Höher — alles wird über die Unternehmens-Firewall gefiltert | Niedriger — Internet-Traffic umgeht die Firmen-Firewall |
| Performance | Langsamer — auch YouTube und Windows-Updates belasten den Tunnel | Schneller — nur relevanter Traffic belastet die VPN-Verbindung |
| Bandbreite (zentral) | Hohe Belastung der Unternehmens-Internetleitung | Geringere Belastung, da Internet-Traffic lokal bleibt |
| Anwendungsfall | Hochsicherheitsumgebungen, Compliance-Anforderungen | Standard-Homeoffice, wenn Internet-Filtering am Endpoint erfolgt |
Für die meisten KMU empfehlen wir Split-Tunneling mit DNS-Filterung am Endpoint. So bleibt der VPN-Tunnel performant, und die Mitarbeiter können Video-Calls und Internet-Recherche ohne Umweg nutzen. Der Firmendatenverkehr (ERP, Fileserver, Intranet) wird dennoch sicher über den Tunnel geleitet. Voraussetzung: Ein Endpoint-Security-Agent, der auch außerhalb des VPN-Tunnels schützt.
VPN-Lösungen für den Mittelstand: Sophos, FortiGate, pfSense und Co.
Die VPN-Funktionalität ist bei den meisten modernen Firewalls und UTM-Appliances bereits integriert. Sie müssen also in der Regel kein separates VPN-Produkt kaufen — entscheidend ist die richtige Konfiguration der vorhandenen Lösung.
| Lösung | VPN-Protokolle | Stärken | Besonderheiten |
|---|---|---|---|
| FortiGate (Fortinet) | IPsec, SSL-VPN, WireGuard | Hervorragende Performance dank Hardware-Beschleunigung (ASIC-Chips), FortiClient mit ZTNA-Integration, FortiToken für MFA | ZTNA direkt in der Lizenz enthalten, SD-WAN integriert, ideal für Multi-Standort-Szenarien |
| Sophos XGS | IPsec, SSL-VPN, WireGuard (ab SFOS 21) | Einfache Einrichtung über Sophos Connect Client, gutes Portal für SSL-VPN | Synchronized Security: VPN-Verbindung wird getrennt, wenn Endpoint kompromittiert ist |
| pfSense / OPNsense | IPsec, OpenVPN, WireGuard | Keine Lizenzkosten, maximale Flexibilität, starke Community | Ideal für Unternehmen mit eigenem IT-Know-how oder externer Betreuung |
| Windows Server RRAS | IKEv2, SSTP, L2TP/IPsec | Kein zusätzliches Gerät nötig, wenn Windows Server vorhanden ist | Für kleine Umgebungen brauchbar, aber kein Ersatz für eine dedizierte Firewall-Lösung |
Für KMU mit 10 bis 100 Mitarbeitern setzen wir am häufigsten auf FortiGate. Die Hardware-Beschleunigung liefert hervorragenden VPN-Durchsatz, die Konfiguration über FortiClient ist durchdacht, und mit FortiToken ist MFA direkt integriert. Für Unternehmen mit mehreren Standorten ist die FortiGate dank SD-WAN und ZTNA-Integration besonders stark. pfSense/OPNsense empfehlen wir, wenn maximale Flexibilität ohne Lizenzkosten gefragt ist.
Multi-Faktor-Authentifizierung: VPN ohne MFA ist fahrlässig
Ein VPN mit Benutzername und Passwort allein ist wie eine gepanzerte Tür mit einem Schlüssel unter der Fußmatte. Werden die Zugangsdaten durch Phishing gestohlen — und das passiert häufiger als man denkt — hat der Angreifer vollen Zugriff auf Ihr Firmennetzwerk. Multi-Faktor-Authentifizierung (MFA) fügt einen zweiten Faktor hinzu: etwas, das der Benutzer besitzt (Smartphone, Hardware-Token) oder ist (Fingerabdruck).
- TOTP-Apps (z. B. Microsoft Authenticator, Google Authenticator) — kostenlos, einfach einzurichten, für die meisten KMU ausreichend
- Hardware-Token (z. B. YubiKey) — höchste Sicherheit, ideal für Administratoren und Geschäftsführung
- Push-Benachrichtigungen (z. B. über Sophos Authenticator oder FortiToken Mobile) — komfortabel, ein Tippen reicht zur Bestätigung
- Zertifikatsbasierte Authentifizierung — das Gerät selbst wird als zweiter Faktor verwendet, ideal in Kombination mit einem der anderen Verfahren
Zero Trust Network Access: Die Zukunft des Fernzugriffs
VPN verbindet ein Gerät mit dem gesamten Netzwerk. Das bedeutet: Ein Mitarbeiter im Homeoffice hat nach dem VPN-Aufbau prinzipiell Zugriff auf alle Ressourcen im Netzwerk — auch auf solche, die er für seine Arbeit gar nicht braucht. Zero Trust Network Access (ZTNA) verfolgt einen anderen Ansatz: Statt Netzwerkzugang zu gewähren, wird der Zugriff pro Anwendung freigegeben. Jede Anfrage wird einzeln geprüft — unabhängig davon, ob der Benutzer im Büro sitzt oder im Homeoffice.
| Merkmal | Klassisches VPN | Zero Trust (ZTNA) |
|---|---|---|
| Zugriffsprinzip | Netzwerkweiter Zugang nach Authentifizierung | Zugriff nur auf einzelne Anwendungen |
| Vertrauensmodell | Vertrauen nach Authentifizierung (Trust but verify) | Kein implizites Vertrauen (Never trust, always verify) |
| Angriffsfläche | Groß — gesamtes Netzwerk erreichbar | Klein — nur freigegebene Anwendungen sichtbar |
| Geräteprüfung | Optional | Standard — Gerätezustand wird bei jedem Zugriff geprüft |
| Skalierbarkeit | Bandbreite der Zentrale als Flaschenhals | Cloud-basiert, keine zentrale Engstelle |
| Komplexität | Etabliert, bewährt | Neuer Ansatz, erfordert Umdenken |
ZTNA ist kein Ersatz für VPN von heute auf morgen. Für die meisten KMU empfehlen wir einen schrittweisen Ansatz: Zunächst das bestehende VPN mit MFA und Gerätezertifikaten härten. Im zweiten Schritt einzelne Anwendungen über ZTNA bereitstellen (z. B. das ERP-System oder die Zeiterfassung). Langfristig kann das klassische VPN dann Stück für Stück abgelöst werden.
Performance und Bandbreite: Damit der VPN-Tunnel nicht zum Nadelöhr wird
Einer der häufigsten Beschwerden im Homeoffice: «Das VPN ist so langsam.» Oft liegt das nicht am VPN selbst, sondern an einer falschen Konfiguration oder unterdimensionierten Infrastruktur. Die folgenden Faktoren bestimmen die VPN-Performance.
- Internet-Upload am Unternehmensstandort: VPN-Clients laden Daten herunter, was die Upload-Bandbreite der Firma belastet. Asymmetrische Leitungen (z. B. VDSL mit 40 Mbit/s Upload) stoßen bei 20+ gleichzeitigen VPN-Nutzern schnell an Grenzen
- Firewall-Durchsatz: Jedes VPN-Paket muss ver- und entschlüsselt werden. Eine unterdimensionierte Firewall wird zum Flaschenhals. Achten Sie auf den IPsec- oder VPN-Durchsatz in den Datenblättern — nicht auf den Firewall-Durchsatz
- Protokollwahl: WireGuard bietet bis zu 3-4x höheren Durchsatz als OpenVPN bei gleicher Hardware, da der Code deutlich schlanker ist
- Full-Tunneling vs. Split-Tunneling: Mit Full-Tunneling fließt auch der gesamte Internet-Traffic durch den Tunnel. Umstellung auf Split-Tunneling kann die gefühlte Geschwindigkeit sofort verdoppeln
- MTU-Probleme: Falsch konfigurierte MTU-Werte führen zu Paketfragmentierung und spürbaren Verzögerungen. Die optimale MTU für VPN liegt meist bei 1400-1420 Bytes statt dem Standard von 1500
Häufige Fehler und Sicherheitsrisiken bei VPN-Installationen
Ein VPN ist nur so sicher wie seine Konfiguration. In der Praxis sehen wir bei Kunden regelmäßig Fehler, die den gesamten Sicherheitsgewinn zunichtemachen. Hier sind die fünf kritischsten Schwachstellen.
Kein MFA — nur Benutzername und Passwort
Wird das Passwort durch Phishing, Credential Stuffing oder einen Datenleak kompromittiert, hat der Angreifer sofort vollen Netzwerkzugang. MFA ist der wichtigste einzelne Schritt zur Absicherung eines VPN.
Veraltete VPN-Firmware und ungepatchte Schwachstellen
Kritische Sicherheitslücken in VPN-Appliances (z. B. CVEs in Fortinet SSL-VPN oder Sophos) werden aktiv ausgenutzt. Patches müssen zeitnah eingespielt werden — nicht erst beim nächsten Wartungsfenster in drei Monaten.
Zu breite Zugriffsrechte nach VPN-Aufbau
Der Vertriebsmitarbeiter braucht Zugriff auf das CRM, nicht auf den Backup-Server. Ohne Netzwerksegmentierung und granulare Firewall-Regeln kann jeder VPN-Benutzer auf alles zugreifen. Setzen Sie das Least-Privilege-Prinzip konsequent um.
Keine Trennung bei kompromittierten Geräten
Wenn ein Laptop mit Malware infiziert ist und sich per VPN verbindet, bringt er die Malware direkt ins Firmennetzwerk. Moderne Lösungen (z. B. FortiClient mit Compliance-Check oder Sophos Synchronized Security) prüfen den Gerätezustand und sperren kompromittierte Geräte automatisch.
Keine Protokollierung und kein Monitoring
Ohne VPN-Logs wissen Sie nicht, wer sich wann von wo verbunden hat. Im Ernstfall fehlt die Grundlage für eine forensische Analyse. Protokollieren Sie alle VPN-Verbindungen und richten Sie Alerts für verdächtige Muster ein (z. B. Logins aus ungewöhnlichen Ländern oder zur ungewöhnlichen Uhrzeit).
VPN einrichten: Schritt für Schritt zum sicheren Fernzugriff
Die folgende Anleitung gibt Ihnen einen Überblick über die wesentlichen Schritte bei der Einrichtung einer professionellen VPN-Lösung für Ihr Unternehmen. Die konkreten Menüpunkte variieren je nach Hersteller — die Grundprinzipien gelten universell.
Anforderungen definieren
Wie viele Mitarbeiter sollen gleichzeitig per VPN zugreifen? Welche Systeme müssen erreichbar sein? Benötigen Sie Site-to-Site, Client-to-Site oder beides? Diese Fragen bestimmen die Wahl von Hardware, Protokoll und Lizenzierung.
Firewall/VPN-Gateway dimensionieren
Prüfen Sie den VPN-Durchsatz Ihrer Firewall. Für 30 gleichzeitige IPsec-Verbindungen mit AES-256 benötigen Sie eine Appliance, die mindestens 300-500 Mbit/s VPN-Durchsatz liefert. Planen Sie Wachstum mit ein.
VPN-Protokoll wählen
Für Client-to-Site empfehlen wir WireGuard (beste Performance) oder IKEv2/IPsec (maximale Kompatibilität). Für Site-to-Site ist IPsec der Standard. Vermeiden Sie PPTP und L2TP ohne IPsec.
Zertifikate und Authentifizierung einrichten
Erstellen Sie eine interne Zertifikatsinfrastruktur (CA) oder nutzen Sie die integrierte CA Ihrer Firewall. Konfigurieren Sie MFA — mindestens TOTP, besser Push-Benachrichtigung oder Hardware-Token für Administratoren.
Benutzer und Zugriffsrechte konfigurieren
Legen Sie VPN-Benutzergruppen an und definieren Sie, welche Netzwerksegmente und Dienste jede Gruppe erreichen darf. Der Vertrieb braucht CRM und E-Mail, die Buchhaltung braucht DATEV und Fileserver — nicht mehr.
Split-Tunneling konfigurieren
Legen Sie fest, welcher Traffic durch den Tunnel geroutet wird. Tragen Sie die IP-Bereiche Ihres Firmennetzwerks als VPN-Routen ein. Internet-Traffic bleibt lokal — sofern ein Endpoint-Security-Agent installiert ist.
Clients verteilen und testen
Installieren Sie den VPN-Client auf allen Endgeräten. Testen Sie die Verbindung aus verschiedenen Netzwerken (Heimnetzwerk, Mobilfunk, Hotel-WLAN). Prüfen Sie, ob alle benötigten Systeme erreichbar sind und die Performance stimmt.
Monitoring und Logging aktivieren
Aktivieren Sie die Protokollierung aller VPN-Verbindungen. Richten Sie Alerts ein für fehlgeschlagene Anmeldeversuche, Verbindungen aus ungewöhnlichen Regionen und ungewöhnlich hohen Datenverkehr.
VPN-Checkliste für Ihr Unternehmen
Prüfen Sie anhand dieser Checkliste, ob Ihr VPN-Fernzugriff den aktuellen Sicherheitsstandards entspricht. Jeder fehlende Punkt ist ein konkretes Risiko.
VPN-Sicherheits-Checkliste
- Aktuelles VPN-Protokoll im Einsatz (WireGuard, IKEv2/IPsec oder OpenVPN — kein PPTP oder L2TP)
- Multi-Faktor-Authentifizierung für alle VPN-Benutzer aktiviert
- VPN-Firmware und Sicherheitspatches sind auf dem aktuellen Stand (letztes Update < 30 Tage)
- Granulare Zugriffsrechte: Benutzer erreichen nur die Systeme, die sie tatsächlich benötigen
- Split-Tunneling konfiguriert und Endpoint-Security auf allen Geräten aktiv
- VPN-Logging aktiviert und Logs werden regelmäßig ausgewertet
- Alerts für fehlgeschlagene Anmeldeversuche und verdächtige Muster eingerichtet
- Bandbreite am Unternehmensstandort ist für die Anzahl gleichzeitiger VPN-Nutzer ausreichend
- Notfallprozess definiert: Was passiert, wenn das VPN ausfällt oder kompromittiert wird?
- Regelmäßige Überprüfung der VPN-Konfiguration (mindestens halbjährlich)
Fazit: VPN ist Pflicht — aber richtig konfiguriert
Ein VPN gehört heute zur Grundausstattung jedes Unternehmens, das Mitarbeitern Fernzugriff ermöglicht — und das betrifft im Jahr 2026 praktisch jedes KMU. Doch die reine Existenz eines VPN-Tunnels reicht nicht aus. Erst die Kombination aus modernem Protokoll, Multi-Faktor-Authentifizierung, granularen Zugriffsrechten und laufendem Monitoring macht aus einem VPN einen wirklich sicheren Fernzugriff.
Prüfen Sie Ihre bestehende VPN-Lösung anhand der Checkliste in diesem Artikel. Wenn mehr als zwei Punkte offen sind, besteht akuter Handlungsbedarf. Und werfen Sie einen Blick auf Zero Trust Network Access — nicht als sofortigen Ersatz, sondern als strategische Richtung, in die sich der sichere Fernzugriff in den nächsten Jahren entwickeln wird.