Anrufen
Homeoffice IT-Sicherheit für KMU — VPN und sichere Remotearbeit
IT-Sicherheit Juni 2026 9 Min. Lesezeit Steffen Huntscha

Homeoffice IT-Sicherheit: VPN, BYOD & sichere Remotearbeit für KMU

Das Heimnetz ist oft die schwächste Stelle im Unternehmensnetz. Welche Lücken wirklich gefährlich sind und wie KMU Homeoffice-Zugänge verlässlich absichern.

Inhaltsverzeichnis

Das Heimnetz als Achillesferse des Unternehmensnetzes

Homeoffice hat sich in den vergangenen Jahren vom Ausnahmemodell zum festen Bestandteil der Arbeitswelt entwickelt. Was für die Vereinbarkeit von Beruf und Familie ein Gewinn ist, schafft aus IT-Sicherheitsperspektive eine strukturelle Herausforderung: Das Unternehmensnetz endet heute nicht mehr am Patchpanel im Serverraum, sondern reicht bis in die Wohnzimmer und Kinderzimmer der Mitarbeiter — und damit in eine Umgebung, die das Unternehmen weder kontrolliert noch gestaltet hat.

Der Heimrouter, über den der Mitarbeiter auf das Firmensystem zugreift, ist typischerweise ein Consumer-Gerät mit Standard-Passwort, veralteter Firmware und keinerlei Sicherheitsmonitoring. Das heimische WLAN teilen sich vielleicht Tablet der Kinder, ein Smart-TV, eine Spielkonsole und das Laptop des Partners. Alle diese Geräte sind potenzielle Einfallstore: Wenn eines davon kompromittiert wird, ist der Angreifer im selben Netz wie das Firmengerät — und kann von dort aus den Unternehmensrechnern zu Leibe rücken.

Das ist kein theoretisches Risiko. Laut Erhebungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) haben sich Angriffe auf Remote-Zugänge seit der Ausweitung von Homeoffice-Modellen vervielfacht. Besonders betroffen: Mittelständische Unternehmen, die Homeoffice schnell eingeführt haben, ohne die Sicherheitsinfrastruktur entsprechend anzupassen. Ein zentrales Firmennetz lässt sich mit einer gut konfigurierten Firewall, Netzwerksegmentierung und Zugangskontrolle absichern. Dreißig verschiedene Heimnetzwerke lassen sich so nicht schützen.

Die gute Nachricht: Es gibt bewährte technische Maßnahmen, die dieses Risiko erheblich reduzieren. Sie erfordern kein großes Budget, aber klare Konzepte und konsequente Umsetzung. Dieser Artikel zeigt, wo die realen Lücken liegen und was KMU konkret tun können.

Die 5 häufigsten Sicherheitslücken im Homeoffice

1. Unsicherer Heimrouter und veraltete Firmware

Der erste und häufig ignorierte Risikofaktor ist der Router zu Hause. Consumer-Router werden mit Standardpasswörtern ausgeliefert — oft simplen Kombinationen wie "admin/admin" oder einem auf der Geräterückseite aufgedruckten WLAN-Schlüssel, der nie geändert wird. Die Verwaltungsoberfläche dieser Geräte ist in vielen Fällen aus dem lokalen Netz erreichbar; manche Modelle erlauben den Fernzugriff sogar ohne spezifische Konfiguration.

Noch problematischer ist die Firmware-Situation: Consumer-Router erhalten nach ein bis drei Jahren keine Sicherheitsupdates mehr. Viele Geräte, die heute im Einsatz sind, laufen auf Firmware-Versionen mit öffentlich bekannten Schwachstellen — die in einschlägigen Datenbanken dokumentiert und für Angreifer einfach auffindbar sind. Es ist keine Seltenheit, dass ein kompromittierter Heimrouter als Sprungbrett genutzt wird, um den dahinterliegenden Datenverkehr abzugreifen, bevor er das VPN erreicht.

Was Unternehmen tun können: Eine einfache Richtlinie, die Mindestanforderungen an Heimrouter definiert — aktuelles Gerät mit laufenden Firmware-Updates, geändertes Admin-Passwort, WLAN-Passwort nach aktuellem Standard — senkt das Risiko erheblich. Alternativ kann ein VPN-Client auf dem Gerät selbst so konfiguriert werden, dass er den Datenverkehr schon vor dem Router absichert.

2. Fehlender VPN-Einsatz und Direct-RDP ins Internet

Eine der gefährlichsten Konfigurationen, die wir in der Praxis regelmäßig antreffen: RDP (Remote Desktop Protocol) direkt über das Internet zugänglich, ohne VPN. RDP ist der Windows-Dienst für Fernzugriffe auf Desktop-Oberflächen. Es ist verständlich, wie diese Situation entsteht — der IT-Administrator öffnet in der Firewall Port 3389 für den Heimarbeiter, damit dieser von zuhause auf seinen Bürorechner zugreifen kann. Schnell, praktisch, funktioniert sofort.

Das Problem: Automatisierte Scanner im Internet suchen ununterbrochen nach offenen RDP-Ports. Wer Port 3389 ins Internet exponiert, erhält innerhalb von Minuten tausende automatisierter Login-Versuche. RDP hatte in der Vergangenheit gravierende Sicherheitslücken — manche davon ermöglichten Remote Code Execution ohne Login. Selbst wenn die aktuelle Firmware gepatcht ist: Ein schwaches Passwort, eine übersehene Sicherheitslücke oder ein abgefangenes Passwort reichen aus, um vollständigen Zugriff auf den Bürorechner zu erlangen.

Dasselbe gilt für andere Dienste, die ohne VPN direkt ans Internet exponiert werden: Dateifreigaben (SMB), Verwaltungsoberflächen, Intranet-Anwendungen. Keiner dieser Dienste ist für direkten Internetzugriff ausgelegt. Sie wurden für geschützte Netzwerkumgebungen entwickelt und sollten ausschließlich über ein VPN zugänglich sein.

3. Privatgeräte für Unternehmensaufgaben ohne BYOD-Richtlinie

BYOD — Bring Your Own Device — ist in vielen KMU gelebte Praxis, ohne dass es je explizit so beschlossen wurde. Der Mitarbeiter nutzt zuhause seinen Privatrechner für die Arbeit, weil das Firmengerät gerade in der Werkstatt ist, weil das Privatgerät leistungsfähiger ist, oder weil es schlicht bequemer ist. Niemand hat es verboten, also passiert es.

Die IT-Abteilung — falls es eine gibt — weiß in der Regel nichts davon. Das Privatgerät erhält vollen Zugriff auf die gleichen Ressourcen wie ein Firmengerät: Mails werden mit dem gleichen Client abgerufen, Dateien auf dem Firmenserver bearbeitet, VPN-Credentials auf dem Privatrechner gespeichert. Dabei gibt es keinerlei Kontrolle: Ist das Betriebssystem aktuell? Läuft Antivirensoftware? Ist die Festplatte verschlüsselt? Wer hat noch Zugriff auf das Gerät?

Besonders heikel: Wenn das Privatgerät am Ende seiner Nutzungszeit verkauft oder entsorgt wird, können darauf noch Unternehmensanmeldedaten, vertrauliche Dokumente und cached E-Mails liegen. Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen daran, wo und wie personenbezogene Daten verarbeitet werden dürfen — ein unkontrolliertes Privatgerät erfüllt diese Anforderungen mit hoher Wahrscheinlichkeit nicht.

4. Unverschlüsselte Datenübertragung und USB-Sticks

Im Büro laufen die Daten über das interne Firmennetz — der Datenverkehr verlässt nie das eigene Gebäude. Im Homeoffice ist das anders: Jede Verbindung zum Firmenserver geht über das Internet, und damit über eine potenziell feindliche Infrastruktur. Wenn diese Verbindung nicht verschlüsselt ist — also kein VPN genutzt wird und keine verschlüsselten Protokolle eingesetzt werden — ist der Datenverkehr für jeden abgreifbar, der sich auf dem Weg zwischen Homeoffice und Firmennetz befindet.

Das betrifft nicht nur Dateiübertragungen, sondern auch E-Mail-Clients, die per unverschlüsseltem IMAP verbinden, Web-Anwendungen ohne HTTPS, und interne Dienste, die nur für verschlüsselte lokale Netzwerke ausgelegt sind. Ein Man-in-the-Middle-Angriff in einem kompromittierten Heimnetzwerk oder einem öffentlichen WLAN kann solchen unverschlüsselten Datenverkehr vollständig mitlesen.

Ein verwandtes Problem sind USB-Sticks als Datenträger zwischen Homeoffice und Büro. Sticks können verloren gehen, gestohlen werden, oder — wenn sie von Mitarbeitern für private und berufliche Zwecke genutzt werden — Malware aus dem privaten Umfeld ins Firmennetz tragen. Unverschlüsselte USB-Sticks mit Kundendaten stellen dabei gleichzeitig ein DSGVO-Problem dar.

5. Fehlende Bildschirmsperren und physische Sicherheit

Physische Sicherheit wird im Homeoffice-Kontext oft vergessen, weil sie so selbstverständlich klingt — und dann doch so häufig vernachlässigt wird. Das Büro hat oft eine Zugangskontrolle: Gäste kommen nicht einfach an unbeaufsichtigte Rechner. Im Homeoffice sieht das anders aus: Kinder kommen ins Arbeitszimmer, Handwerker sind im Haus, Besucher warten im Wohnzimmer. Der Bildschirm ist dabei vielleicht nur in den Leerlauf gegangen, nicht gesperrt.

Eine fehlende automatische Bildschirmsperre nach wenigen Minuten Inaktivität ist eine der simpelsten, aber effektivsten Sicherheitslücken. Ohne Sperre kann jeder, der kurz an den Rechner tritt, auf offene Dokumente zugreifen, E-Mails lesen, oder Dateien kopieren — ohne Passwort, ohne Protokoll. Gruppenrichtlinien können diese Einstellung zentral erzwingen, werden aber im Homeoffice-Kontext oft nicht konsequent angewendet, wenn Mitarbeiter auf Privatgeräten arbeiten.

Dazu kommt die Frage des physischen Zugriffs auf Hardware: Ein gestohlenes Firmengerät ohne Festplattenverschlüsselung gibt dem Dieb vollen Zugriff auf alle gespeicherten Daten. BitLocker (Windows) oder FileVault (macOS) schützen davor — setzen aber eine konsequente Rollout-Richtlinie voraus, die auch für Homeoffice-Geräte gilt.

VPN richtig einrichten: Was gutes VPN ausmacht

Ein VPN (Virtual Private Network) verschlüsselt den Datenverkehr zwischen dem Homeoffice-Gerät und dem Firmennetz und leitet ihn durch einen gesicherten Tunnel. Für den Mitarbeiter sieht es so aus, als wäre er direkt im Büronetzwerk — alle internen Ressourcen sind erreichbar, der Datenverkehr ist gegen Abhören geschützt. Das ist das Grundprinzip. Aber nicht jede VPN-Implementierung ist gleich gut.

Split-Tunnel vs. Full-Tunnel

Bei einem Full-Tunnel-VPN wird der gesamte Internetverkehr des Mitarbeiters durch das Firmennetz geleitet — nicht nur der Firmendatenverkehr, sondern auch YouTube, Privatmails und alle anderen Webseiten. Das hat einen entscheidenden Sicherheitsvorteil: Alle Anfragen laufen durch den Unternehmens-DNS und die unternehmenseigene Firewall. Phishing-Seiten, bekannte Schadsoftware-Domains und unerwünschte Inhalte können zentral geblockt werden, egal von wo der Mitarbeiter arbeitet. Der Nachteil: Der VPN-Server des Unternehmens wird zum Flaschenhals für jeden Internetaufruf aller Homeoffice-Mitarbeiter.

Beim Split-Tunnel-VPN wird nur der Datenverkehr Richtung Firmennetz durch den Tunnel geleitet. Alles andere — normale Internetnutzung, Videostreaming, private Mails — geht direkt über das Heimnetz ohne VPN. Das entlastet die VPN-Infrastruktur erheblich und ist bandbreitenschonender. Der Nachteil: Der Mitarbeiter surft ohne Unternehmensschutz im Internet, und Malware, die sich über eine private Webseite installiert, landet direkt auf einem Gerät, das Zugriff auf Unternehmensressourcen hat.

Für KMU mit begrenzter IT-Infrastruktur ist ein gut konfigurierter Split-Tunnel oft pragmatischer. Entscheidend ist dann, dass das Endgerät selbst stark abgesichert ist: aktuelles Betriebssystem, Endpunkt-Schutzlösung, restriktive lokale Firewall. Wer die Infrastruktur hat und zusätzliche Kontrolle bevorzugt, fährt mit Full-Tunnel sicherer.

MFA für VPN-Zugänge ist nicht optional

Multi-Faktor-Authentifizierung (MFA) beim VPN-Login ist keine optionale Zusatzmaßnahme, sondern eine Grundvoraussetzung für jeden ernsthaften Homeoffice-Schutz. Ein VPN-Zugang, der nur durch Benutzername und Passwort geschützt ist, bietet keine ausreichende Sicherheit: Passwörter werden gestohlen — durch Phishing, durch Datenlecks auf anderen Plattformen, durch Keylogger. Wenn ein Angreifer die VPN-Credentials erbeutet hat, kommt er ins Firmennetz.

Mit MFA — also einem zweiten Faktor wie einer TOTP-App (Time-based One-Time Password), einem Hardware-Token oder einer Push-Notification auf das Mobiltelefon — reicht das gestohlene Passwort allein nicht aus. Der Angreifer bräuchte zusätzlich physischen Zugriff auf das zweite Gerät des Mitarbeiters. Das macht Remote-Angriffe, die auf gestohlenen Credentials basieren, in der überwältigenden Mehrheit der Fälle wirkungslos.

Die technische Integration von MFA in VPN-Lösungen ist heute unkompliziert und für gängige Protokolle (IKEv2, WireGuard, OpenVPN) und Authentifizierungsserver (RADIUS, LDAP/AD) gut dokumentiert. Es gibt keinen sachlichen Grund, einen Unternehmens-VPN-Zugang ohne MFA zu betreiben.

Welche VPN-Lösungen für KMU geeignet sind

Am Markt gibt es eine breite Palette an VPN-Lösungen, die für KMU geeignet sind — von Hardware-Appliances über softwarebasierte Lösungen bis hin zu Cloud-managed Diensten. Worauf es bei der Auswahl ankommt, lässt sich unabhängig vom konkreten Produkt beschreiben:

  • Protokollunterstützung: Moderne Protokolle wie WireGuard oder IKEv2/IPsec sind älteren Ansätzen wie PPTP oder L2TP ohne IPsec deutlich überlegen — sowohl in Sicherheit als auch in Performance.
  • MFA-Integration: Die Lösung muss MFA nativ unterstützen oder sich nahtlos mit einem bestehenden MFA-System verbinden lassen.
  • Zentrale Verwaltbarkeit: Zertifikate müssen ablaufen, Nutzer müssen hinzugefügt oder gesperrt werden. Eine Lösung ohne zentrales Management wird schnell zur administrativen Last.
  • Client-Unterstützung: Mitarbeiter arbeiten auf Windows, macOS, manchmal Linux oder auf Tablets. Der VPN-Client muss auf allen relevanten Plattformen verfügbar und stabil sein.
  • Logging und Monitoring: Ein funktionierendes VPN protokolliert Verbindungen, fehlgeschlagene Logins und ungewöhnliche Aktivitäten. Ohne diese Sichtbarkeit bleibt ein Angriff auf das VPN lange unbemerkt.

Für KMU, die keine eigene IT-Infrastruktur für VPN-Server betreiben möchten, sind Cloud-managed Lösungen eine sinnvolle Alternative — sofern sie die genannten Kriterien erfüllen und die Daten des Unternehmens nicht über Drittanbieter-Server in unbekannte Jurisdiktionen geleitet werden.

BYOD-Richtlinien: Was KMU verbindlich regeln müssen

Wenn ein Unternehmen BYOD erlaubt — also die Nutzung privater Geräte für Unternehmensaufgaben — braucht es dafür eine schriftliche Richtlinie. Nicht als bürokratische Pflichtübung, sondern als Grundlage für Haftung, Datenschutz und technische Mindeststandards. Ohne Richtlinie ist BYOD unkontrollierte Risikonahme.

Eine BYOD-Richtlinie regelt mindestens folgende Punkte:

Technische Mindestanforderungen: Das Gerät muss ein aktuelles Betriebssystem mit laufenden Sicherheitsupdates haben. Festplatten- oder Geräteverschlüsselung muss aktiviert sein. Eine PIN oder Passphrase für die Gerätesperre ist Pflicht. Veraltete Betriebssystemversionen (z.B. Windows 10 nach End-of-Life, iOS-Versionen ohne aktuelle Patches) sind nicht zugelassen.

Mobile Device Management (MDM): Ein MDM-System ermöglicht dem Unternehmen, Sicherheitsrichtlinien auf dem Privatgerät durchzusetzen — Bildschirmsperre, Verschlüsselung, erlaubte Apps — ohne dabei auf private Daten zuzugreifen. Moderne MDM-Lösungen unterscheiden zwischen dem privaten Bereich und dem beruflichen Container auf dem Gerät. Das ist technisch und rechtlich der sauberste Ansatz: Das Unternehmen kontrolliert nur seinen eigenen Bereich, nicht das gesamte Gerät.

Datentrennung: Unternehmensdaten und private Daten dürfen sich nicht vermischen. E-Mails, Kalender und Dokumente werden in einer separaten, durch MDM verwalteten Umgebung gehalten. Kein direktes Kopieren von Unternehmensdaten in private Apps (z.B. kein "Speichern in persönlicher Dropbox"). Dies lässt sich durch Application-Container oder Virtual-Desktop-Infrastrukturen (VDI) technisch erzwingen.

Was passiert bei Geräteverlust: Wird ein BYOD-Gerät gestohlen oder verloren, muss die IT in der Lage sein, die Unternehmensdaten auf dem Gerät aus der Ferne zu löschen — ohne private Daten anzutasten. Dieser "Selective Wipe" ist ein Kernmerkmal jeder ernsthaften MDM-Lösung. Die Richtlinie muss regeln, dass Mitarbeiter Geräteverlust unverzüglich melden.

Nutzungsberechtigungen und Haftung: Wer darf BYOD nutzen? Welche Daten dürfen auf dem Privatgerät verarbeitet werden? Was passiert, wenn das Gerät gehackt wird und Unternehmensdaten kompromittiert werden? Diese Fragen haben rechtliche Konsequenzen und müssen klar geregelt sein, bevor ein Mitarbeiter mit seinem Privatgerät auf das Firmennetz zugreift.

Abzuwägen ist auch, ob BYOD für alle Mitarbeiter oder nur für bestimmte Rollen sinnvoll ist. Ein Mitarbeiter mit Zugriff auf Kundendaten, Finanzdaten oder besonders schutzbedürftige Informationen sollte in der Regel ein Firmengerät erhalten — die Kontrolle über Konfiguration und Zustand ist dann vollständig beim Unternehmen.

Technische Checkliste: 10 Maßnahmen für sicheres Homeoffice

Die folgenden Maßnahmen bilden eine praxiserprobte Grundsicherung für Homeoffice-Umgebungen in KMU. Keine davon erfordert außerordentliche technische Mittel — aber alle erfordern konsequente Umsetzung:

  1. VPN für alle Unternehmensverbindungen: Kein direkter Zugriff auf interne Ressourcen ohne VPN. RDP, Dateifreigaben, Intranet-Anwendungen — alles ausschließlich über den VPN-Tunnel erreichbar.
  2. MFA für VPN-Logins aktivieren: Zweiter Faktor für jeden VPN-Zugang, ohne Ausnahme. TOTP-Apps oder Push-Authentifizierung sind ausreichend und einfach rollout-fähig.
  3. Festplattenverschlüsselung auf allen Endgeräten: BitLocker (Windows) oder FileVault (macOS) aktivieren. Bei Gerätediebstahl schützt nur die Verschlüsselung vor Datenzugriff.
  4. Automatische Bildschirmsperre nach 5 Minuten: Per Gruppenrichtlinie oder MDM-Profil erzwingen. Passwort oder PIN zum Entsperren — kein Wischen ohne Authentifizierung.
  5. Betriebssystem- und Software-Updates automatisieren: Automatische Updates aktivieren, End-of-Life-Betriebssysteme ersetzen. Veraltete Software ist das Einfallstor Nummer eins für Exploits.
  6. Endpunkt-Schutzlösung (EDR/AV) auf allen Geräten: Auch auf Heimgeräten, die Unternehmensaufgaben wahrnehmen. Zentrales Management und Alerting ermöglichen schnelle Reaktion.
  7. USB-Richtlinie definieren: Unverschlüsselte USB-Sticks für den Transfer sensibler Daten verbieten. Alternativen bereitstellen: verschlüsselte Sticks oder sichere Cloudlösungen.
  8. Heimrouter-Mindestanforderungen kommunizieren: Schriftliche Empfehlung an Mitarbeiter: aktuelles Gerät, WLAN-Passwort nach WPA3 oder WPA2 mit starkem Passwort, Admin-Passwort ändern, automatische Firmware-Updates aktivieren.
  9. Privilegienprinzip bei Zugriffsrechten: Homeoffice-Mitarbeiter erhalten nur Zugriff auf die Ressourcen, die sie tatsächlich benötigen. Keine pauschalen "Vollzugriff auf den Server"-Rechte für Remote-Verbindungen.
  10. Sicherheitsschulung für Homeoffice-Mitarbeiter: Phishing-Mails erkennen, sichere Passwörter verwenden, Verdachtsfälle sofort melden. Technische Maßnahmen sind nur halb so wirksam ohne das Wissen der Nutzer.

NIS2 und Homeoffice: Was die Richtlinie von Remote-Arbeit erwartet

Die NIS2-Richtlinie (Network and Information Security Directive 2) der Europäischen Union ist seit Oktober 2024 in nationales Recht umzusetzen und stellt deutlich erweiterte Anforderungen an die IT-Sicherheit von Unternehmen. Betroffen sind — anders als bei NIS1 — nun auch mittelständische Unternehmen in einer Vielzahl von Sektoren: Energie, Verkehr, Gesundheit, Trinkwasser, digitale Infrastruktur, Post und Kurier, Lebensmittel, Chemie, verarbeitendes Gewerbe und mehr.

Für den Homeoffice-Kontext ist NIS2 aus mehreren Gründen relevant:

Zugangskontrolle und Authentifizierung: NIS2 fordert explizit robuste Authentifizierungsverfahren für Netzwerkzugänge. Das schließt Remote-Verbindungen ein. MFA für VPN-Zugänge ist damit nicht nur Best Practice, sondern bei NIS2-Pflicht eine Compliance-Anforderung.

Endgerätesicherheit: Die Richtlinie verlangt Sicherheitsmaßnahmen für die gesamte informationsverarbeitende Infrastruktur — einschließlich Geräte, die remote genutzt werden. Unternehmen müssen nachweisen können, dass Homeoffice-Geräte definierten Sicherheitsstandards entsprechen. Nicht gemangte, unkontrollierte BYOD-Geräte sind damit ein Compliance-Risiko.

Netzwerksicherheit: NIS2 fordert Maßnahmen zur Netzwerksicherheit, einschließlich der Absicherung von Verbindungen zwischen internen und externen Netzwerken. Ein ungesicherter Remote-Zugang ohne VPN oder mit unverschlüsselten Protokollen wäre hier ein klarer Mangel.

Lieferkettensicherheit: Auch Zulieferer und Dienstleister, die Zugriff auf Systeme von NIS2-Pflichtigen haben, müssen Sicherheitsanforderungen erfüllen. Wer als IT-Dienstleister oder externer Berater per Fernzugriff auf Kundensysteme zugreift, ist damit mittelbar betroffen.

Meldepflichten: NIS2-pflichtige Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden. Ein kompromittierter Homeoffice-Zugang, der zu einem Datenleck führt, ist ein solcher Vorfall. Das erhöht den Druck, solche Zugänge proaktiv abzusichern — nicht erst nach dem Schaden.

Ob ein Unternehmen tatsächlich unter NIS2 fällt, hängt von Branche, Größe und Umsatz ab. Die Schwelle liegt bei "wesentlichen Einrichtungen" ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz, und bei "wichtigen Einrichtungen" ab 50 Mitarbeitern oder 10 Millionen Euro. Unternehmen unterhalb dieser Grenzen sind formal nicht direkt verpflichtet — aber als Zulieferer eines NIS2-pflichtigen Kunden können sie vertraglich zur Einhaltung verpflichtet werden. Es lohnt sich daher, die eigene Situation zu prüfen, bevor man auf Kundenseite mit entsprechenden Anforderungen konfrontiert wird.

Was NIS2 für Homeoffice praktisch bedeutet: Kein Unternehmen, das unter die Richtlinie fällt, kann sich einen ungesicherten Remote-Zugang leisten. Die geforderten Maßnahmen — VPN, MFA, Endgeräteschutz, Dokumentation, Schulungen — decken sich weitgehend mit dem, was auch ohne Regulierung sinnvoll wäre. NIS2 gibt dem Thema aber eine rechtliche Verbindlichkeit, die es aus der Kategorie "wäre schön" in die Kategorie "Pflicht" befördert.

Kurz zusammengefasst: Homeoffice vergrößert die Angriffsfläche jedes Unternehmens, weil die IT-Umgebung der Mitarbeiter außerhalb des direkten Unternehmenseinflusses liegt. Die Kombination aus VPN mit MFA, zentral gemanagten Endgeräten, klaren BYOD-Richtlinien und Mitarbeiterschulungen schließt die kritischsten Lücken. NIS2 macht diese Maßnahmen für einen wachsenden Kreis von Unternehmen zur Pflicht.

Steffen Huntscha

IT-Berater & Gründer · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

LinkedIn-Profil

Häufige Fragen

Ja, ein VPN ist für Homeoffice-Verbindungen ins Unternehmensnetz unverzichtbar. Ohne VPN wird der Datenverkehr zwischen dem Homeoffice-Gerät und internen Ressourcen unverschlüsselt über das Internet übertragen — und ist damit für Angreifer abgreifbar. Besonders riskant ist der direkte RDP-Zugriff (Remote Desktop) ohne VPN, der regelmäßig von automatisierten Scannern aufgespürt und angegriffen wird. Ein richtig konfiguriertes VPN mit MFA schließt diese Lücke.

BYOD ist grundsätzlich möglich, erfordert aber klare schriftliche Richtlinien. Ohne Regelung entstehen erhebliche Risiken: Das Privatgerät unterliegt nicht der IT-Kontrolle des Unternehmens, kann veraltete Software haben, und Unternehmensdaten vermischen sich unkontrolliert mit privaten. Notwendig sind mindestens: eine schriftliche BYOD-Richtlinie, technische Mindestanforderungen (Betriebssystem-Version, Verschlüsselung, Bildschirmsperre), getrennte Arbeitsumgebungen etwa über virtuelle Desktops oder Container, und eine MDM-Lösung zur Durchsetzung der Anforderungen.

NIS2 erfasst Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in bestimmten Sektoren (Energie, Verkehr, Gesundheit, digitale Infrastruktur u.a.) sowie deren Zulieferer. Betroffene Unternehmen müssen auch für Remote-Arbeit nachweisbar technische Schutzmaßnahmen umsetzen — darunter Zugangskontrolle, Verschlüsselung, Netzwerksicherheit und Mitarbeiterschulungen. Homeoffice-Endgeräte sind dabei explizit eingeschlossen. Ob Ihr Unternehmen betroffen ist, klärt am schnellsten eine kurze Beratung.

Das hängt vom Ausgangszustand und der Mitarbeiterzahl ab. Eine VPN-Lösung für 10 Mitarbeiter ist bereits ab wenigen hundert Euro pro Jahr als Managed Service realisierbar. MDM für Endgeräte kostet je nach Lösung 3–8 Euro pro Gerät und Monat. Der größte Aufwand liegt oft in der Konzeption: Welche Geräte dürfen zugreifen? Welche Ressourcen sind freigegeben? Wie werden MFA und Passwortrichtlinien durchgesetzt? Ein strukturierter Sicherheitscheck deckt diese Fragen auf und gibt eine klare Prioritätenliste — in der Regel lassen sich 80 Prozent der kritischen Lücken mit überschaubarem Aufwand schließen.

Remote-Sicherheit professionell aufsetzen

Wir analysieren Ihre Homeoffice-Infrastruktur und schließen die typischen Sicherheitslücken — VPN, Endgeräte, Zugriffsrechte.

Sicherheitscheck anfragen IT-Sicherheit ansehen →