← Zurück zum Blog
vpnsicherheitremote-arbeitnetzwerk

VPN für kleine Unternehmen: Sicher von überall arbeiten

Georg Bammer·

VPN für kleine Unternehmen: Sicher von überall arbeiten

Die Szene kennt jeder: Ein Mitarbeiter sitzt im Homeoffice und braucht dringend eine Datei vom Firmenserver. Also verschickt er sie per E-Mail — unverschlüsselt. Oder lädt sie auf Google Drive hoch. Oder arbeitet mit veralteten Kopien auf seinem Laptop.

Was wie Pragmatismus aussieht, ist ein Sicherheitsrisiko. Und völlig unnötig — wenn das Unternehmen ein ordentliches VPN hat.

Was ist ein VPN und warum brauchen Sie eines?

VPN steht für "Virtual Private Network" — ein verschlüsselter Tunnel zwischen dem Mitarbeiter-Gerät und dem Firmennetzwerk. Stellen Sie es sich vor wie eine Röhre: Alles, was hindurchgeht, ist vor neugierigen Blicken geschützt.

Ohne VPN: Der Mitarbeiter im Café überträgt Firmendaten unverschlüsselt über das öffentliche WLAN. Jeder im selben Netzwerk könnte mitlesen.

Mit VPN: Die Daten sind verschlüsselt, bevor sie das Gerät verlassen. Selbst wenn jemand mitliest — er sieht nur Datensalat.

Die drei häufigsten VPN-Probleme bei KMUs

1. "Wir haben doch TeamViewer"

TeamViewer, AnyDesk & Co. sind praktisch für gelegentlichen Support. Aber für den täglichen Dateizugriff sind sie die falsche Lösung:

  • Langsam (Bildschirmübertragung statt direkter Dateizugriff)
  • Abhängigkeit vom eingeschalteten Büro-PC
  • Keine Netzwerk-Freigaben nutzbar
  • Bei kostenloser Nutzung: Zeitbegrenzung

2. "Wir nutzen die FRITZ!Box-VPN"

Die meisten DSL-Router haben ein eingebautes VPN. Das ist besser als nichts — aber oft umständlich:

  • Komplizierte Zertifikats-Verwaltung
  • Schwierige Einrichtung auf Mobilgeräten
  • Keine zentrale Benutzerverwaltung
  • Bei Ausfall des Routers: kein Zugriff

3. "VPN ist zu kompliziert"

Stimmt — wenn man es selbst bastelt. Moderne VPN-Lösungen sind so einfach wie eine App-Installation. Der Aufwand liegt in der initialen Konfiguration, nicht im täglichen Betrieb.

Welche VPN-Typen gibt es?

Site-to-Site VPN

Verbindet zwei Standorte dauerhaft. Ideal wenn Sie Filialen haben oder regelmäßig mit Partnern arbeiten.

Beispiel: Hauptbüro in Bludenz, Zweigstelle in Feldkirch. Beide Netzwerke sind wie eines — Mitarbeiter greifen transparent auf alle Ressourcen zu.

Remote Access VPN

Einzelne Mitarbeiter verbinden sich von außen. Das ist für die meisten KMUs die richtige Lösung.

Beispiel: Die Buchhalterin arbeitet dienstags im Homeoffice und greift per VPN auf die Sage-Datenbank zu — als wäre sie im Büro.

Moderne VPN-Lösungen für KMUs

WireGuard: Der neue Standard

WireGuard ist das modernste VPN-Protokoll. Schneller und sicherer als alte Lösungen wie OpenVPN oder IPsec:

Vorteile:

  • Sehr schnell (merklich weniger Latenz)
  • Automatischer Verbindungsaufbau
  • Funktioniert zuverlässig bei wechselnden IP-Adressen
  • Einfache Konfiguration über QR-Code
  • In Linux-Kernel integriert (sehr stabil)

Nachteile:

  • Relativ neu (weniger Erfahrungswerte als OpenVPN)
  • Nicht alle Firewall-Systeme unterstützen es vollständig

Tailscale: VPN ohne Server

Tailscale baut auf WireGuard auf, verwaltet aber die Konfiguration automatisch:

Funktionsweise: Jedes Gerät bekommt eine feste IP aus dem privaten Netzbereich. Die Geräte verbinden sich direkt miteinander — ohne zentralen VPN-Server.

Vorteile:

  • Extrem einfache Einrichtung
  • Funktioniert auch wenn Geräte hinter NAT stehen
  • Keine Firewall-Konfiguration nötig
  • Kostenlos für bis zu 20 Geräte

Nachteile:

  • Abhängigkeit von Tailscale-Dienst (Single Point of Failure)
  • Keine vollständige Kontrolle über die Infrastruktur
  • Datenschutz: US-amerikanisches Unternehmen

OpenVPN: Der Klassiker

Seit 20 Jahren bewährt und weit verbreitet:

Vorteile:

  • Läuft überall (Windows, Mac, Linux, iOS, Android)
  • Viele Konfigurationsmöglichkeiten
  • Keine Abhängigkeit von Drittanbietern
  • Ausgereifte Tools (z.B. pfSense, OPNsense)

Nachteile:

  • Aufwändigere Einrichtung
  • Langsamerer Verbindungsaufbau als WireGuard
  • Zertifikats-Management bei vielen Benutzern komplex

Praktisches Beispiel: WireGuard auf OPNsense

Hier eine konkrete Lösung für ein 10-Personen-Unternehmen:

Hardware

  • Firewall: Mini-PC mit OPNsense (z.B. Protectli Vault)
  • Server: Synology NAS oder kleiner Linux-Server
  • Internet: Geschäftsanschluss mit fester IP (nicht zwingend nötig, aber praktischer)

Konfiguration

  1. WireGuard-Server auf der Firewall einrichten
    • Port 51820 nach außen freigeben
    • Netzbereich definieren (z.B. 10.20.0.0/24)
    • Benutzer anlegen und Konfigurationsdateien erzeugen
  2. Client-Konfiguration
    • Pro Mitarbeiter eine Konfigurationsdatei
    • Installation der WireGuard-App
    • QR-Code scannen — fertig
  3. Zugriff konfigurieren
    • Freigaben auf dem Server einrichten
    • DNS so konfigurieren, dass Server-Namen funktionieren
    • Firewall-Regeln für VPN-Netz anlegen

Resultat: Die Mitarbeiterin schaltet VPN an und kann auf \\srv-data\buchhaltung zugreifen — von überall, sicher verschlüsselt.

Typische Stolperfallen

1. DNS vergessen

VPN läuft, aber ping server.local funktioniert nicht? DNS-Konfiguration prüfen. Der VPN-Server sollte als DNS-Server für das VPN-Netz fungieren.

2. Firewall-Regeln zu streng

Nur weil der VPN-Tunnel steht, dürfen die Clients noch lange nicht überall hin. Definieren Sie explizit, worauf VPN-Benutzer zugreifen dürfen.

3. Split-Tunneling übersehen

Soll der gesamte Internet-Traffic über das VPN laufen? Meistens nicht — das würde Netflix & Co. verlangsamen. Konfigurieren Sie "Split-Tunneling": Nur Firmennetz-Zugriffe über VPN.

4. Backup der VPN-Konfiguration vergessen

Wenn die Firewall ausfällt: Ohne Backup der VPN-Konfiguration müssen alle Mitarbeiter neu eingerichtet werden.

Was kostet ein VPN?

Eigene Lösung (empfohlen)

  • Hardware: 300-800€ (Mini-Firewall)
  • Software: 0€ (OPNsense/pfSense + WireGuard)
  • Einrichtung: 4-8 Stunden Arbeitszeit
  • Laufende Kosten: 0€

Cloud-Lösung (Alternative)

  • Tailscale: Kostenlos bis 20 Geräte, danach 5$/Monat pro Benutzer
  • NordLayer: Ab 7$/Monat pro Benutzer
  • Windscribe Teams: Ab 3$/Monat pro Benutzer

Faustregel: Bis 5 Mitarbeiter kann eine Cloud-Lösung günstiger sein. Darüber hinaus lohnt sich die eigene Infrastruktur.

Mobile Geräte: iPhone und Android

Moderne VPN-Lösungen funktionieren nahtlos auf Smartphones:

WireGuard App

Setup: QR-Code vom Admin scannen, Verbindung aktivieren — fertig. Die App verbindet automatisch bei Bedarf.

Always-On VPN

Besonders für Außendienstler praktisch: VPN aktiviert sich automatisch, sobald das Gerät das Büro-WLAN verlässt.

Checkliste: VPN richtig einrichten

  • Lösung wählen: WireGuard für neue Setups, OpenVPN für maximale Kompatibilität
  • Hardware dimensionieren: Firewall mit genügend CPU-Leistung für Verschlüsselung
  • Netzwerk-Design: Separates Subnetz für VPN-Clients (z.B. 10.20.0.0/24)
  • DNS konfigurieren: VPN-Clients sollen Server-Namen auflösen können
  • Firewall-Regeln: Nur nötigen Zugriff erlauben (Prinzip der minimalen Privilegien)
  • Monitoring einrichten: Wer ist wann von wo verbunden?
  • Dokumentation: Anleitungen für Mitarbeiter, Backup der Konfiguration
  • Test: Verschiedene Geräte und Szenarien durchspielen

Fazit

Ein ordentliches VPN ist kein Hexenwerk — aber es braucht die richtige Herangehensweise. Moderne Lösungen wie WireGuard machen vieles einfacher als früher.

Für die meisten KMUs empfehle ich: WireGuard auf einer dedizierten Firewall (OPNsense/pfSense). Einmal richtig eingerichtet, funktioniert es jahrelang zuverlässig.

Der wichtigste Punkt: Planen Sie nicht nur die technische Einrichtung, sondern auch die Benutzer-Schulung. Das beste VPN nützt nichts, wenn es niemand verwendet — oder falsch verwendet.

Sie möchten wissen, welche VPN-Lösung für Ihr Unternehmen die richtige ist? Im kostenlosen IT-Quick-Check schauen wir uns Ihre Anforderungen an und entwickeln einen maßgeschneiderten Plan.

Fragen zu diesem Thema?

Lassen Sie uns gemeinsam schauen, wie Ihr Unternehmen aufgestellt ist.

Erstgespräch vereinbaren