VPN

Kaum eine Technik hat den Fernzugriff so geprägt wie das Virtual Private Network. Seit Jahrzehnten koppeln Unternehmen damit Standorte über das Internet und holen Mitarbeitende ins Firmennetz, spätestens seit dem Umzug vieler Teams ins Homeoffice in großem Maßstab. Auch für die Anbindung von Cloud-Umgebungen und Partnern ist die Technik allgegenwärtig. Gleichzeitig zeigt das Modell Grenzen: Wer sich einwählt, steht oft gleich im ganzen Netz, zentrale Gateways bremsen den Verkehr, und die Einwahlpunkte selbst sind ein beliebtes Angriffsziel. Ein nüchterner Blick auf Funktionsweise und Einsatzgrenzen lohnt sich deshalb.

Was ist ein VPN?

Ein VPN (Virtual Private Network) baut einen verschlüsselten Tunnel durch ein öffentliches Netz, meist das Internet. Innerhalb dieses Tunnels reisen Datenpakete geschützt vor Mitlesen und Manipulation, als wären beide Seiten direkt verkabelt. Zwei Grundformen prägen den Unternehmenseinsatz: Ein Site-to-Site-VPN verbindet ganze Netzwerke miteinander, etwa die Zentrale mit einer Niederlassung oder mit einer Cloud-Umgebung. Ein Remote-Access-VPN verbindet dagegen einzelne Endgeräte mit dem Firmennetz, typischerweise über einen Client auf dem Notebook. Verbreitete Protokolle sind IPsec, TLS-basierte Verfahren und WireGuard.

Der Tunnel arbeitet je nach Protokoll auf Netzwerkebene oder oberhalb davon und transportiert beliebige Anwendungen, von Dateidiensten bis zu Datenbankverbindungen. Genau diese Eigenschaft macht das VPN vielseitig und zugleich grob: Es verbindet Netze, keine einzelnen Anwendungen.

So funktioniert es

Der Ablauf folgt bei allen Varianten demselben Muster, unabhängig vom eingesetzten Protokoll:

  • Authentisierung: Client und Gateway weisen ihre Identität nach, über Zertifikate, Zugangsdaten oder beides. Erst danach entsteht der Tunnel.
  • Schlüsselaustausch: Beide Seiten handeln Sitzungsschlüssel aus, bei IPsec übernimmt das Protokoll IKE diesen Schritt.
  • Kapselung und Verschlüsselung: Originalpakete werden verschlüsselt, in neue Pakete verpackt und über das öffentliche Netz transportiert. Am Tunnelende wird ausgepackt und entschlüsselt.
  • Adressvergabe: Beim Remote Access erhält das Endgerät eine interne Adresse und verhält sich, als stünde es im Firmennetz.
  • Routing: Entweder läuft der gesamte Verkehr durch den Tunnel oder nur der Verkehr zu internen Zielen. Letzteres heißt Split Tunneling und entlastet das Gateway, verlagert die Kontrolle des Internetverkehrs aber auf das Endgerät.
  • Betrieb: Auf Unternehmensseite terminieren Firewalls oder dedizierte Konzentratoren die Tunnel. Sie brauchen laufende Updates, Kapazitätsplanung und Überwachung, denn sie sind aus dem Internet erreichbar.

Warum es wichtig ist

  • Verschlüsselung schützt Daten auf dem Weg durch öffentliche Netze vor Mitlesen und Veränderung.
  • Standorte lassen sich ohne dedizierte Standleitungen wirtschaftlich koppeln.
  • Mitarbeitende erreichen interne Systeme aus dem Homeoffice und von unterwegs.
  • Cloud-Umgebungen werden über Site-to-Site-Tunnel kontrolliert an das Firmennetz angebunden.
  • Etablierte Protokolle wie IPsec und WireGuard sind breit unterstützt und gut dokumentiert.
  • Für viele Prüfungen und Verträge ist verschlüsselte Übertragung eine Grundanforderung, die ein VPN zuverlässig erfüllt.

Typische Szenarien

  • Eine Produktionsfirma koppelt Werk und Zentrale über einen Site-to-Site-Tunnel, damit ERP-Zugriffe und Maschinendaten gesichert fließen.
  • Ein Dienstleister erhält zeitlich begrenzten Fernzugriff auf ein Wartungssystem, der Zugang wird nach Projektende deaktiviert.
  • Mitarbeitende im Homeoffice erreichen Fileserver und interne Anwendungen über den VPN-Client.
  • Eine Cloud-Umgebung wird per IPsec an das Rechenzentrum angebunden, bis eine modernere Anbindung steht.
  • Für Administratoren bleibt ein separater, streng abgesicherter VPN-Zugang als Notfallweg bestehen, während der Regelzugriff bereits über ZTNA läuft.

VPN oder ZTNA: Wo liegt der Unterschied?

Ein Remote-Access-VPN stellt das Endgerät faktisch ins Firmennetz. Nach der Einwahl ist häufig weit mehr erreichbar als für die Aufgabe nötig, und ein kompromittiertes Gerät kann sich seitlich durch das Netz bewegen. Dazu kommen zwei strukturelle Probleme: Der gesamte Verkehr fließt durch zentrale Gateways, die zum Engpass werden, und genau diese Gateways stehen offen im Internet, weshalb Schwachstellen in VPN-Produkten regelmäßig aktiv ausgenutzt werden. ZTNA dreht das Prinzip um: Zugriff gibt es pro Anwendung, erst nach Prüfung von Identität und Gerätezustand, und die Anwendungen bleiben von außen unsichtbar. In modernen SASE/SSE-Plattformen ist ZTNA der Baustein, der das Einwahl-VPN ablöst. Der Umstieg gelingt schrittweise: Zuerst wechseln Standardanwendungen und externe Zugriffe zu ZTNA, das VPN bleibt übergangsweise für Spezialfälle wie ältere Protokolle bestehen.

Wie KAEMI unterstützt

KAEMI betreibt sichere Standortvernetzung und Fernzugriffe als Managed Service und bewertet dabei sachlich, wo ein VPN weiterhin die richtige Wahl ist und wo modernere Verfahren übernehmen. Für die Kopplung von Standorten ersetzt SD-WAN starre Tunnelarchitekturen durch zentral gesteuerte, anwendungsbewusste Verbindungen. Für den Zugriff von Mitarbeitenden und Externen führt der Weg in der Regel zu ZTNA im Rahmen von SASE/SSE: Sicherer Zugriff . Dabei achten wir auf einen geordneten Übergang: Bestehende Tunnel laufen weiter, bis jede Anwendung einen gleichwertigen oder besseren Zugriffsweg hat. Wenn Sie Ihren Fernzugriff modernisieren möchten, sprechen Sie uns an .

Häufige Fragen zu VPN

Was ist der Unterschied zwischen Site-to-Site- und Remote-Access-VPN?

Ein Site-to-Site-VPN verbindet ganze Netzwerke über Gateways, etwa Zentrale und Niederlassung, die Endgeräte merken davon nichts. Ein Remote-Access-VPN verbindet einzelne Geräte über einen Client mit dem Firmennetz. Site-to-Site-Tunnel laufen dauerhaft und werden zentral betrieben, Remote-Zugänge entstehen pro Sitzung und hängen an der Anmeldung der jeweiligen Person.

Warum gelten VPN-Gateways als beliebtes Angriffsziel?

VPN-Gateways müssen aus dem Internet erreichbar sein, damit sich Nutzer einwählen können. Angreifer scannen deshalb gezielt nach bekannten Schwachstellen in diesen Systemen und nutzen sie teils innerhalb weniger Tage nach Bekanntwerden aus. Wer ein VPN betreibt, braucht darum sehr kurze Patch-Zyklen, MFA für alle Zugänge und eine Überwachung der Anmeldungen.

Macht ein VPN die Verbindung spürbar langsamer?

Die Verschlüsselung selbst kostet auf moderner Hardware wenig Leistung. Spürbar wird eher der Umweg: Läuft der gesamte Verkehr durch ein zentrales Gateway, verlängert sich der Pfad zu Cloud-Diensten deutlich, und das Gateway wird in Spitzenzeiten zum Engpass. Split Tunneling mildert das, öffnet aber unkontrollierten Internetverkehr am Endgerät.

Ist ein VPN noch zeitgemäß?

Für die Kopplung von Standorten und Cloud-Umgebungen bleibt die Technik solide, dort läuft sie zunehmend als Baustein innerhalb von SD-WAN. Beim Fernzugriff von Personen wandert der Standard dagegen zu ZTNA, weil anwendungsbezogener Zugriff weniger Angriffsfläche bietet. Die Antwort hängt also vom Einsatzzweck ab, ein sofortiger Komplettausstieg ist selten nötig.

Ersetzt ZTNA das VPN vollständig?

Für den Zugriff auf Anwendungen ersetzt ZTNA das Einwahl-VPN in den meisten Fällen. Ausnahmen bleiben Szenarien, die echten Netzwerkzugriff verlangen, etwa ältere Protokolle, Administrationswege oder die Kopplung ganzer Standorte. In der Praxis laufen beide Verfahren daher eine Zeit lang parallel, bis die verbleibenden Sonderfälle sauber abgelöst oder bewusst beibehalten werden.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.