Kaum eine Technik hat den Fernzugriff so geprägt wie das Virtual Private Network. Seit Jahrzehnten koppeln Unternehmen damit Standorte über das Internet und holen Mitarbeitende ins Firmennetz, spätestens seit dem Umzug vieler Teams ins Homeoffice in großem Maßstab. Auch für die Anbindung von Cloud-Umgebungen und Partnern ist die Technik allgegenwärtig. Gleichzeitig zeigt das Modell Grenzen: Wer sich einwählt, steht oft gleich im ganzen Netz, zentrale Gateways bremsen den Verkehr, und die Einwahlpunkte selbst sind ein beliebtes Angriffsziel. Ein nüchterner Blick auf Funktionsweise und Einsatzgrenzen lohnt sich deshalb.
Was ist ein VPN?
Ein VPN (Virtual Private Network) baut einen verschlüsselten Tunnel durch ein öffentliches Netz, meist das Internet. Innerhalb dieses Tunnels reisen Datenpakete geschützt vor Mitlesen und Manipulation, als wären beide Seiten direkt verkabelt. Zwei Grundformen prägen den Unternehmenseinsatz: Ein Site-to-Site-VPN verbindet ganze Netzwerke miteinander, etwa die Zentrale mit einer Niederlassung oder mit einer Cloud-Umgebung. Ein Remote-Access-VPN verbindet dagegen einzelne Endgeräte mit dem Firmennetz, typischerweise über einen Client auf dem Notebook. Verbreitete Protokolle sind IPsec, TLS-basierte Verfahren und WireGuard.
Der Tunnel arbeitet je nach Protokoll auf Netzwerkebene oder oberhalb davon und transportiert beliebige Anwendungen, von Dateidiensten bis zu Datenbankverbindungen. Genau diese Eigenschaft macht das VPN vielseitig und zugleich grob: Es verbindet Netze, keine einzelnen Anwendungen.
So funktioniert es
Der Ablauf folgt bei allen Varianten demselben Muster, unabhängig vom eingesetzten Protokoll:
- Authentisierung: Client und Gateway weisen ihre Identität nach, über Zertifikate, Zugangsdaten oder beides. Erst danach entsteht der Tunnel.
- Schlüsselaustausch: Beide Seiten handeln Sitzungsschlüssel aus, bei IPsec übernimmt das Protokoll IKE diesen Schritt.
- Kapselung und Verschlüsselung: Originalpakete werden verschlüsselt, in neue Pakete verpackt und über das öffentliche Netz transportiert. Am Tunnelende wird ausgepackt und entschlüsselt.
- Adressvergabe: Beim Remote Access erhält das Endgerät eine interne Adresse und verhält sich, als stünde es im Firmennetz.
- Routing: Entweder läuft der gesamte Verkehr durch den Tunnel oder nur der Verkehr zu internen Zielen. Letzteres heißt Split Tunneling und entlastet das Gateway, verlagert die Kontrolle des Internetverkehrs aber auf das Endgerät.
- Betrieb: Auf Unternehmensseite terminieren Firewalls oder dedizierte Konzentratoren die Tunnel. Sie brauchen laufende Updates, Kapazitätsplanung und Überwachung, denn sie sind aus dem Internet erreichbar.
Warum es wichtig ist
- Verschlüsselung schützt Daten auf dem Weg durch öffentliche Netze vor Mitlesen und Veränderung.
- Standorte lassen sich ohne dedizierte Standleitungen wirtschaftlich koppeln.
- Mitarbeitende erreichen interne Systeme aus dem Homeoffice und von unterwegs.
- Cloud-Umgebungen werden über Site-to-Site-Tunnel kontrolliert an das Firmennetz angebunden.
- Etablierte Protokolle wie IPsec und WireGuard sind breit unterstützt und gut dokumentiert.
- Für viele Prüfungen und Verträge ist verschlüsselte Übertragung eine Grundanforderung, die ein VPN zuverlässig erfüllt.
Typische Szenarien
- Eine Produktionsfirma koppelt Werk und Zentrale über einen Site-to-Site-Tunnel, damit ERP-Zugriffe und Maschinendaten gesichert fließen.
- Ein Dienstleister erhält zeitlich begrenzten Fernzugriff auf ein Wartungssystem, der Zugang wird nach Projektende deaktiviert.
- Mitarbeitende im Homeoffice erreichen Fileserver und interne Anwendungen über den VPN-Client.
- Eine Cloud-Umgebung wird per IPsec an das Rechenzentrum angebunden, bis eine modernere Anbindung steht.
- Für Administratoren bleibt ein separater, streng abgesicherter VPN-Zugang als Notfallweg bestehen, während der Regelzugriff bereits über ZTNA läuft.
VPN oder ZTNA: Wo liegt der Unterschied?
Ein Remote-Access-VPN stellt das Endgerät faktisch ins Firmennetz. Nach der Einwahl ist häufig weit mehr erreichbar als für die Aufgabe nötig, und ein kompromittiertes Gerät kann sich seitlich durch das Netz bewegen. Dazu kommen zwei strukturelle Probleme: Der gesamte Verkehr fließt durch zentrale Gateways, die zum Engpass werden, und genau diese Gateways stehen offen im Internet, weshalb Schwachstellen in VPN-Produkten regelmäßig aktiv ausgenutzt werden. ZTNA dreht das Prinzip um: Zugriff gibt es pro Anwendung, erst nach Prüfung von Identität und Gerätezustand, und die Anwendungen bleiben von außen unsichtbar. In modernen SASE/SSE-Plattformen ist ZTNA der Baustein, der das Einwahl-VPN ablöst. Der Umstieg gelingt schrittweise: Zuerst wechseln Standardanwendungen und externe Zugriffe zu ZTNA, das VPN bleibt übergangsweise für Spezialfälle wie ältere Protokolle bestehen.
Wie KAEMI unterstützt
KAEMI betreibt sichere Standortvernetzung und Fernzugriffe als Managed Service und bewertet dabei sachlich, wo ein VPN weiterhin die richtige Wahl ist und wo modernere Verfahren übernehmen. Für die Kopplung von Standorten ersetzt SD-WAN starre Tunnelarchitekturen durch zentral gesteuerte, anwendungsbewusste Verbindungen. Für den Zugriff von Mitarbeitenden und Externen führt der Weg in der Regel zu ZTNA im Rahmen von SASE/SSE: Sicherer Zugriff . Dabei achten wir auf einen geordneten Übergang: Bestehende Tunnel laufen weiter, bis jede Anwendung einen gleichwertigen oder besseren Zugriffsweg hat. Wenn Sie Ihren Fernzugriff modernisieren möchten, sprechen Sie uns an .