VPN für Unternehmen — Standortvernetzung, Koreva eG

VPN für Unternehmen: Standorte und Remote-Zugriff sicher anbinden

Ein Standort im Norden, das Team im Homeoffice, der Server irgendwo dazwischen — ein sauber aufgesetztes VPN verbindet all das verschlüsselt, DSGVO-konform und ohne sich an einen einzigen Hersteller zu ketten.

Inhaltsverzeichnis

Wozu Unternehmen ein VPN brauchen

Ein VPN — Virtual Private Network — baut einen verschlüsselten Tunnel durch das öffentliche Internet. Alles, was durch diesen Tunnel läuft, ist von außen nicht lesbar. Für ein Unternehmen bedeutet das: Standorte, Homeoffice-Arbeitsplätze und interne Dienste lassen sich sicher verbinden, ohne dafür teure Standleitungen zu mieten oder Server ungeschützt ins Internet zu stellen.

In der Praxis begegnen mir drei Anwendungsfälle immer wieder, und meist treten sie gemeinsam auf:

  • Standorte verbinden. Zwei oder mehr Niederlassungen sollen so arbeiten, als säßen sie im selben Netz — gemeinsamer Dateiserver, gemeinsame Telefonanlage, gemeinsame Fachanwendung. Ein Site-to-Site-VPN koppelt die Netze dauerhaft und für die Nutzer unsichtbar.
  • Homeoffice und mobiles Arbeiten. Mitarbeiter greifen von zu Hause, aus dem Zug oder vom Kunden aus auf interne Systeme zu. Ein Remote-Access-VPN stellt für den einzelnen Arbeitsplatz eine verschlüsselte Verbindung ins Firmennetz her.
  • Zugriff auf interne Dienste. ERP, Warenwirtschaft, Ticketsystem, Kamera-Recorder, Maschinensteuerung — vieles davon soll erreichbar sein, aber niemals offen im Internet stehen. Das VPN ist die Tür, hinter der diese Dienste sicher verschlossen bleiben.

Der rote Faden bei allen dreien: Sie ersetzen die Alternative, interne Systeme einfach per Portfreigabe ins Internet zu hängen. Genau diese Portfreigaben sind einer der häufigsten Einfallswege für Angriffe, die ich bei der Aufnahme bestehender Netze finde. Ein VPN verschiebt die Angriffsfläche von „jeder im Internet kann es versuchen" zu „nur wer sich authentifiziert hat, kommt überhaupt an die Tür".

Site-to-Site- vs. Remote-Access-VPN

VPN ist nicht gleich VPN. Die wichtigste Unterscheidung für die Planung ist die zwischen Site-to-Site und Remote-Access — sie beantwortet die Frage, was Sie eigentlich verbinden.

Site-to-Site: Netz an Netz

Beim Site-to-Site-VPN sprechen zwei Gateways miteinander — typischerweise die Firewalls oder Router zweier Standorte. Der Tunnel steht permanent. Für die Geräte in den beiden Netzen ist er transparent: Ein Rechner in Standort A erreicht den Server in Standort B, als läge er im Nachbarraum. Die einzelnen Arbeitsplätze brauchen keine Software und merken vom VPN nichts.

Das ist die richtige Wahl, wenn feste Standorte dauerhaft zusammenarbeiten. In eigenen Projekten habe ich so etwa Verwaltungsstandorte und Außenstellen im Gesundheitsbereich gekoppelt — dort, wo eine zentrale Fachanwendung von mehreren Häusern genutzt wird und die Verbindung schlicht immer stehen muss.

Remote-Access: Person an Netz

Beim Remote-Access-VPN wählt sich ein einzelnes Gerät ins Firmennetz ein — Laptop, Tablet, Diensthandy. Auf dem Gerät läuft ein VPN-Client, die Verbindung wird bei Bedarf aufgebaut und danach wieder getrennt. Das ist der klassische Homeoffice-Fall.

Der entscheidende Sicherheitsunterschied: Beim Remote-Access hängt die Sicherheit auch am Endgerät und an der Person. Ein gestohlener Laptop oder ein abgephishtes Passwort öffnet potenziell den Tunnel. Deshalb gehört an ein Remote-Access-VPN zwingend eine Mehr-Faktor-Authentifizierung — dazu unten mehr. Konkrete Härtungsmaßnahmen für Heimarbeitsplätze habe ich in einem eigenen Beitrag zur IT-Sicherheit im Homeoffice zusammengefasst.

In der Realität kombinieren die meisten KMU beides: Site-to-Site für die Standortkopplung, Remote-Access für die Menschen, die von unterwegs arbeiten. Beide Modelle können dieselbe Firewall und dasselbe Protokoll nutzen — sie schließen sich nicht aus.

WireGuard vs. IPsec vs. OpenVPN

Bei den Protokollen entscheidet sich, wie der Tunnel technisch funktioniert. Drei Namen fallen in der Praxis fast immer: IPsec, WireGuard und OpenVPN. Alle drei sind sicher, wenn man sie richtig einsetzt — sie unterscheiden sich in Geschwindigkeit, Komplexität und Verbreitung.

Kriterium WireGuard IPsec OpenVPN
Geschwindigkeit Sehr hoch Hoch Mittel
Konfigurationsaufwand Gering Hoch Mittel
Codebasis Sehr schlank Umfangreich Umfangreich
Verbreitung in Hardware Wachsend Praktisch überall Weit verbreitet
Herstellerübergreifend Gut (offener Standard) Sehr gut (Industriestandard) Gut
Typischer Einsatz Neue Setups, Homeoffice Standortkopplung, Mischhardware Flexible Sonderfälle, Firewalls

WireGuard ist der jüngste der drei und mein Standardvorschlag für neue Projekte ohne Altlasten. Der Code ist mit wenigen tausend Zeilen bewusst schlank gehalten — das reduziert die Angriffsfläche und macht ihn leicht überprüfbar. Die Konfiguration besteht im Kern aus einem Schlüsselpaar pro Gegenstelle und ein paar Zeilen Text. In der Praxis ist WireGuard spürbar schneller und stabiler bei wechselnden Verbindungen, etwa wenn ein Laptop vom WLAN ins Mobilfunknetz wechselt.

IPsec ist der Veteran und der De-facto-Industriestandard für Site-to-Site. Nahezu jede Business-Firewall und jeder Router beherrscht IPsec — genau das macht es zur ersten Wahl, wenn Sie Geräte verschiedener Hersteller koppeln müssen, etwa eine vorhandene Firewall an einem Standort mit einem anderen Fabrikat an der Außenstelle. Der Preis dafür ist Komplexität: IPsec hat viele Stellschrauben (Phase 1, Phase 2, IKE-Versionen, Cipher-Suiten), und Fehlkonfigurationen fallen erst im Betrieb auf.

OpenVPN ist der flexible Allrounder. Es läuft über TCP oder UDP, kommt gut durch restriktive Firewalls und ist auf vielen Plattformen etabliert. Dafür ist es tendenziell langsamer als WireGuard und aufwendiger zu warten. In gemischten Umgebungen oder wenn ein VPN durch Netze mit strenger Portfilterung muss, bleibt OpenVPN eine solide Option.

Die ehrliche Kurzfassung aus der Praxis: Wer bei null anfängt, ist mit WireGuard meist am schnellsten produktiv. Wo bereits IPsec-Hardware steht und läuft, gibt es selten einen Grund zu wechseln. Und das gilt herstellerneutral — keines der drei Protokolle zwingt Sie in einen Vendor-Lock-in, solange Sie auf offene Standards statt proprietäre Sonderlösungen setzen.

VPN und Zero Trust — Abgrenzung statt Widerspruch

„Brauchen wir überhaupt noch ein VPN, wenn wir auf Zero Trust setzen?" — diese Frage höre ich zunehmend. Die kurze Antwort: Das eine schließt das andere nicht aus, und für die meisten KMU ist es keine Entweder-oder-Entscheidung.

Ein VPN stellt einen verschlüsselten Tunnel her und bringt ein Gerät „ins Netz". Das klassische Modell dahinter ist Perimeter-Sicherheit: Wer drin ist, gilt als vertrauenswürdig. Genau da setzt die Kritik an — ein einziger kompromittierter Zugang öffnet potenziell das ganze Netz.

Zero Trust ist kein Produkt, sondern ein Prinzip: „Never trust, always verify." Jeder Zugriff wird einzeln geprüft — wer greift zu, von welchem Gerät, in welchem Zustand, auf welchen Dienst. Netzwerkzugehörigkeit allein reicht nicht mehr als Vertrauensbeweis.

In der Praxis ergänzen sich beide sauber: Das VPN liefert die verschlüsselte Transportschicht, Zero-Trust-Prinzipien sorgen dafür, dass ein eingewählter Nutzer eben nicht automatisch auf alles zugreift, sondern nur auf die Dienste, die er wirklich braucht. Konkret heißt das: MFA am VPN-Zugang, Netzsegmentierung hinter dem Tunnel und rollenbasierte Zugriffsrechte. Wer das umsetzt, hat ein VPN, das bereits nach Zero-Trust-Gedanken arbeitet. Wie ein vollständiges Zero-Trust-Netzwerk aufgebaut ist, habe ich in einem eigenen Beitrag beschrieben — für die meisten Mittelständler ist das gut abgesicherte VPN der realistische erste Schritt dorthin.

DSGVO und Sicherheit: Verschlüsselung und MFA am VPN

Ein selbst betriebenes Unternehmens-VPN ist datenschutzrechtlich unproblematisch — im Gegenteil. Die DSGVO nennt in Artikel 32 ausdrücklich die Verschlüsselung personenbezogener Daten und den „Stand der Technik" als geeignete Schutzmaßnahmen. Ein VPN, das die Übertragung zwischen Standorten und Homeoffice verschlüsselt, zahlt genau darauf ein.

Entscheidend ist aber die Umsetzung. Ein VPN ist nur so sicher wie seine Konfiguration:

  • Aktuelle Verschlüsselung. Keine veralteten Cipher, keine abgekündigten Protokolle wie PPTP oder L2TP ohne IPsec. WireGuard und modernes IPsec (IKEv2) sind der sinnvolle Standard.
  • MFA am Zugang. Das ist aus meiner Sicht der wichtigste Punkt beim Remote-Access. Ein Passwort allein reicht nicht — ein abgephishtes oder erratenes Passwort öffnet sonst direkt den Tunnel. Ein zweiter Faktor (TOTP-App, Hardware-Token) macht genau das unmöglich. Warum MFA im Unternehmen heute nicht mehr optional ist, habe ich separat ausgeführt.
  • Kontrolle über die Infrastruktur. Bei einem selbst betriebenen VPN bleiben die Schlüssel und der Datenverkehr im eigenen Haus. Von kommerziellen Consumer-VPN-Diensten ist für die Unternehmensvernetzung dringend abzuraten — sie sind für einen anderen Zweck gebaut und werfen eigene Datenschutzfragen auf, weil der Verkehr über fremde Server läuft.
  • Geräte-Hygiene. Ein VPN schützt den Transportweg, nicht das Endgerät. Ein mit Schadsoftware infizierter Laptop bringt den Angreifer durch den Tunnel direkt ins Netz. Gepatchte Systeme und Endpoint-Schutz gehören dazu.

Wird bei einem VPN mit personenbezogenen Daten hantiert und ein externer Dienstleister eingebunden, ist zusätzlich ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zu prüfen. Bei einem vollständig selbst betriebenen VPN entfällt dieser Punkt.

Typische Fehler bei VPN-Setups

Die meisten VPN-Probleme, die mir in der Praxis begegnen, sind keine exotischen Angriffe, sondern immer wieder dieselben handwerklichen Fehler. Die häufigsten:

  1. Kein zweiter Faktor. Remote-Access nur mit Benutzername und Passwort ist der Klassiker. Ein einziges abgephishtes Passwort genügt dann für den Vollzugriff. MFA gehört an jeden Remote-Zugang.
  2. Zu breiter Zugriff hinter dem Tunnel. Wer sich einwählt, landet oft im flachen Gesamtnetz und erreicht alles — Server, Drucker, Kameras, Steuerungen. Ohne Segmentierung wird aus einem kompromittierten Zugang ein kompromittiertes Unternehmen.
  3. Veraltete Firmware und Protokolle. VPN-Gateways laufen jahrelang unangetastet. Genau dort tauchen dann kritische Sicherheitslücken auf, die längst gepatcht wären. VPN-Endpunkte gehören zu den Geräten, die am zuverlässigsten aktuell gehalten werden müssen.
  4. Vergessene Zugänge. Ehemalige Mitarbeiter, Test-Accounts, Dienstleister-Zugänge, die nie deaktiviert wurden — jeder davon ist eine offene Tür. Ein sauberer Prozess für das Anlegen und Entfernen von Zugängen ist Pflicht.
  5. Split-Tunnel ohne Konzept. Ob der gesamte Verkehr durch den Tunnel läuft (Full Tunnel) oder nur der Zugriff aufs Firmennetz (Split Tunnel), ist eine bewusste Entscheidung — je nach Schutzbedarf und Bandbreite. Sie sollte getroffen und dokumentiert werden, nicht zufällig entstehen.
  6. Kein Monitoring. Wer sich wann von wo eingewählt hat, sollte nachvollziehbar sein. Ohne Protokollierung fällt ein missbrauchter Zugang erst auf, wenn der Schaden da ist.

Keiner dieser Punkte ist teuer zu beheben — die meisten kosten vor allem Sorgfalt bei der Einrichtung. Genau deshalb lohnt sich eine saubere Planung der Netzwerk- und Standortvernetzung von Anfang an, statt später jedem Einzelproblem hinterherzulaufen. Wenn Sie unsicher sind, wie Ihr bestehendes Setup dasteht, sprechen Sie uns an — eine Bestandsaufnahme bringt die offenen Türen schnell ans Licht.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Das hängt vom Einsatzzweck ab. Für die dauerhafte Anbindung mehrerer Standorte (Site-to-Site) sind IPsec und WireGuard etabliert — IPsec läuft auf nahezu jeder Firewall herstellerübergreifend, WireGuard ist schlanker und schneller. Für den Zugriff einzelner Mitarbeiter aus dem Homeoffice (Remote-Access) eignen sich WireGuard und OpenVPN gut.

Wichtig ist weniger das Protokoll als die saubere Umsetzung: MFA am VPN-Zugang, aktuelle Firmware, sinnvolle Rechtebeschränkung. Wer sich nicht an einen einzigen Hersteller binden will, fährt mit WireGuard oder IPsec am flexibelsten.

Beide sind sicher und modern, sie haben nur unterschiedliche Stärken. WireGuard ist deutlich schlanker (wenige tausend Zeilen Code), einfacher zu konfigurieren und in der Regel schneller — ideal für neue Setups, Homeoffice und Linux-lastige Umgebungen. IPsec ist der langjährige Industriestandard, wird von praktisch jeder Firewall und jedem Router unterstützt und ist deshalb erste Wahl, wenn Sie Geräte verschiedener Hersteller herstellerübergreifend koppeln müssen.

Für ein KMU, das bei null anfängt, ist WireGuard oft die pragmatischere Wahl; wo bereits IPsec-Hardware steht, gibt es selten einen Grund zu wechseln.

Ein selbst betriebenes Unternehmens-VPN ist nicht nur DSGVO-konform, es ist eine der Maßnahmen, die die DSGVO in Artikel 32 unter dem Stichwort Verschlüsselung und Stand der Technik nahelegt. Es verschlüsselt die Datenübertragung zwischen Standorten und Homeoffice und schützt personenbezogene Daten auf dem Transportweg.

Entscheidend ist die Umsetzung: aktuelle Verschlüsselung, keine veralteten Protokolle, MFA am Zugang und ein Betreiber, der Kontrolle über die Infrastruktur hat. Vorsicht ist bei kommerziellen Consumer-VPN-Diensten geboten — diese sind für Unternehmensvernetzung nicht gedacht und werfen eigene Datenschutzfragen auf.

Das ist kein Entweder-oder. Ein VPN stellt einen verschlüsselten Tunnel ins Netzwerk her; Zero Trust ist ein Sicherheitsmodell, das jeden Zugriff einzeln prüft, statt dem Netzwerk pauschal zu vertrauen. In der Praxis ergänzen sich beide: Das VPN sorgt für die verschlüsselte Verbindung, Zero-Trust-Prinzipien sorgen dafür, dass ein eingewählter Nutzer nur auf die Dienste zugreift, die er wirklich braucht — statt auf das gesamte Netz.

Für die meisten KMU ist ein gut abgesichertes VPN mit MFA und segmentiertem Zugriff der realistische erste Schritt in Richtung Zero Trust.

Eine pauschale Zahl gibt es nicht — die Kosten hängen von Anzahl der Standorte, vorhandener Hardware, Bandbreitenbedarf und dem gewünschten Ausfallschutz ab. Wer bereits geeignete Firewalls oder Router an den Standorten hat, kann Site-to-Site-VPN mit IPsec oder WireGuard oft ohne zusätzliche Hardwarekosten aufbauen; der Aufwand liegt dann in Planung und Konfiguration.

Kommen neue Geräte, redundante Leitungen oder ein zentrales Management dazu, steigt der Aufwand entsprechend. Sinnvoll ist eine konkrete Bestandsaufnahme vorab — daraus lässt sich ein belastbares Angebot ableiten statt einer Pauschale, die selten passt.

Standorte und Homeoffice sicher anbinden

Wir planen und richten Ihr VPN ein — Site-to-Site, Remote-Access, MFA und Segmentierung. Herstellerneutral, DSGVO-konform, ohne Vendor-Lock-in.