- WireGuard bietet die beste Performance und die einfachste Konfiguration. Der minimale Code-Umfang reduziert die Angriffsfläche. Einschränkung: Dynamische IP-Zuweisung und zentrales Management erfordern zusätzliche Werkzeuge.
- OpenVPN ist der bewährte Allrounder mit maximaler Flexibilität und Kompatibilität. Es läuft auf jedem Betriebssystem und lässt sich an nahezu jede Anforderung anpassen. Nachteil: Komplexe Konfiguration und niedrigere Performance als WireGuard.
- IPsec (IKEv2) ist der Standard für Site-to-Site-VPNs und in die meisten Betriebssysteme nativ integriert. Es bietet starke Verschlüsselung und gute Performance, ist aber schwer zu debuggen.
- Für Remote-Access-VPN (Homeoffice, mobiles Arbeiten) ist WireGuard die Empfehlung für neue Installationen. Für Site-to-Site-Verbindungen zwischen Standorten ist IPsec der etablierte Standard.
- Unabhängig vom Protokoll: MFA ist Pflicht. Ein VPN-Zugang nur mit Benutzername und Passwort ist eine Einladung für Angreifer.
Warum du ein Unternehmens-VPN brauchst
Ein Virtual Private Network (VPN) schafft einen verschlüsselten Tunnel zwischen dem Endgerät des Nutzers und dem Unternehmensnetzwerk. Der gesamte Datenverkehr durch den Tunnel ist vor Abhören und Manipulation geschützt, unabhängig davon, ob der Nutzer im Homeoffice, im Hotel-WLAN oder im Zug sitzt.
Mit der zunehmenden Verbreitung von Remote-Arbeit, Cloud-Diensten und verteilten Standorten ist ein VPN für die meisten KMU unverzichtbar. ISO 27001 fordert in Annex A.8.20 (Network security) und A.6.7 (Remote working) die Absicherung von Fernzugriffen auf Unternehmensressourcen.
Die zentrale Frage ist nicht, ob du ein VPN brauchst, sondern welches VPN-Protokoll und welche Architektur zu deinem Unternehmen passen.
VPN-Typen: Remote Access vs. Site-to-Site
Remote Access VPN
Verbindet einzelne Endgeräte (Laptops, Smartphones) mit dem Unternehmensnetzwerk. Typischer Anwendungsfall: Mitarbeiter im Homeoffice greift über VPN auf den Dateiserver und das ERP-System zu.
Site-to-Site VPN
Verbindet zwei oder mehr Standorte dauerhaft miteinander. Typischer Anwendungsfall: Hauptsitz und Niederlassung teilen sich eine gemeinsame IT-Infrastruktur. Der Tunnel steht dauerhaft und wird automatisch aufgebaut.
Cloud VPN / SASE
Verbindet Nutzer über einen Cloud-Dienst mit dem Unternehmensnetzwerk und/oder mit Cloud-Anwendungen. Typische Anbieter: Cloudflare WARP, Zscaler Private Access, Tailscale. Diese Lösungen verschieben den VPN-Endpunkt in die Cloud und kombinieren VPN mit Zero-Trust-Prinzipien.
WireGuard: Der moderne Minimalismus
WireGuard wurde 2015 von Jason Donenfeld entwickelt und 2020 in den Linux-Kernel aufgenommen. Es ist das jüngste der drei Protokolle und wurde von Grund auf neu entwickelt, mit dem Ziel, VPN-Verbindungen so einfach und sicher wie möglich zu machen.
Technische Grundlagen
Kryptografie: WireGuard verwendet eine feste Auswahl moderner Algorithmen: Curve25519 für den Schlüsselaustausch, ChaCha20 für die Verschlüsselung, Poly1305 für die Authentifizierung, BLAKE2s für das Hashing. Es gibt keine Konfigurationsoption für andere Algorithmen, was die Angriffsfläche reduziert.
Code-Umfang: Der WireGuard-Kernel-Modul umfasst rund 4.000 Zeilen Code. Zum Vergleich: OpenVPN hat über 100.000 Zeilen, IPsec-Implementierungen mehrere hunderttausend. Weniger Code bedeutet weniger potenzielle Schwachstellen und einfachere Auditierbarkeit.
UDP-basiert: WireGuard nutzt ausschließlich UDP. Es gibt keinen TCP-Modus. Das hat Performance-Vorteile (kein TCP-over-TCP-Problem), kann aber in Netzwerken, die UDP blockieren (manche Firmen-Firewalls, Hotel-WLANs), zu Verbindungsproblemen führen.
Roaming: WireGuard unterstützt nahtloses Roaming. Wenn ein Client die IP-Adresse wechselt (z. B. vom WLAN ins Mobilfunknetz), bleibt der Tunnel bestehen, weil WireGuard den Peer anhand seines kryptografischen Schlüssels identifiziert, nicht anhand der IP-Adresse.
Stärken
- Beste Performance aller drei Protokolle (deutlich höherer Durchsatz, niedrigere Latenz)
- Minimale Angriffsfläche durch kleinen Code-Umfang
- Einfache Konfiguration (eine Konfigurationsdatei pro Peer)
- Nahtloses Roaming zwischen Netzwerken
- Schneller Verbindungsaufbau (unter einer Sekunde)
- In den Linux-Kernel integriert (höchste Performance auf Linux-Servern)
- Nativ auf allen großen Plattformen verfügbar: Windows, macOS, Linux, iOS, Android
Schwächen
- Keine dynamische IP-Zuweisung im Standard (jeder Peer bekommt eine fest konfigurierte IP)
- Keine integrierte Authentifizierung gegen Active Directory oder RADIUS (erfordert zusätzliche Werkzeuge)
- Kein TCP-Fallback (Probleme in restriktiven Netzwerken)
- Logging ist bewusst minimal (Datenschutz-Design, aber schwieriger für Audit und Troubleshooting)
- Für Enterprise-Funktionen (MFA, zentrales Management, dynamische Policies) sind Zusatzlösungen nötig
WireGuard im Enterprise-Einsatz
WireGuard allein ist ein VPN-Protokoll, kein VPN-Produkt. Für den Enterprise-Einsatz brauchst du eine Management-Schicht darüber. Optionen:
- Tailscale: Mesh-VPN auf WireGuard-Basis mit zentralem Management, SSO-Integration und ACLs. Sehr einfache Einrichtung.
- Headscale: Open-Source-Alternative zu Tailscale, die du selbst hosten kannst.
- Netbird: Open-Source WireGuard-basiertes Mesh-VPN mit Web-UI und Identity-Provider-Integration.
- Firezone: Open-Source WireGuard-Gateway mit Web-UI, OIDC-Integration und Policies.
OpenVPN: Der bewährte Allrounder
OpenVPN existiert seit 2001 und ist das am weitesten verbreitete Open-Source-VPN-Protokoll. Es ist extrem flexibel, läuft auf praktisch jedem Betriebssystem und lässt sich an nahezu jede Anforderung anpassen.
Technische Grundlagen
Kryptografie: OpenVPN basiert auf der OpenSSL-Bibliothek und unterstützt eine breite Palette von Verschlüsselungsalgorithmen: AES-256-GCM (empfohlen), AES-256-CBC, ChaCha20-Poly1305. Der Schlüsselaustausch erfolgt über TLS mit konfigurierbaren Cipher Suites.
Transport: OpenVPN unterstützt sowohl UDP (empfohlen für Performance) als auch TCP (für restriktive Netzwerke). Im TCP-Modus kann OpenVPN auf Port 443 laufen und ist von normalem HTTPS-Verkehr nicht unterscheidbar, was die Umgehung von Firewall-Blockaden ermöglicht.
Authentifizierung: OpenVPN unterstützt nativ: Zertifikate (PKI), Benutzername/Passwort, LDAP/Active Directory (über Plugin), RADIUS (über Plugin), Multi-Faktor-Authentifizierung (über Plugin oder PAM).
Stärken
- Maximale Flexibilität in Konfiguration und Deployment
- TCP-Modus als Fallback für restriktive Netzwerke
- Breite Unterstützung durch Firewalls und Appliances
- Integrierte PKI-Verwaltung (easy-rsa)
- Granulare Zugriffskontrolle über Client-spezifische Konfigurationen
- Umfangreiches Logging und Monitoring
- Riesige Community und extensive Dokumentation
Schwächen
- Niedrigere Performance als WireGuard (Userspace-Implementation, TLS-Overhead)
- Komplexe Konfiguration mit vielen Optionen (Fehlerquelle)
- Ältere Codebasis mit größerer Angriffsfläche
- Client-Software auf manchen Plattformen nicht optimal (insbesondere der Windows-Client)
- Split-Tunneling und Routing können komplex werden
OpenVPN Access Server
Für Unternehmen, die eine schlüsselfertige Lösung bevorzugen, bietet OpenVPN Inc. den OpenVPN Access Server an. Er kombiniert den OpenVPN-Server mit einer Web-UI für das Management, integrierter Benutzerverwaltung, LDAP/AD-Integration und MFA-Unterstützung. Der Access Server ist kostenpflichtig (pro Benutzer), vereinfacht aber die Administration erheblich.
IPsec (IKEv2): Der Industriestandard
IPsec (Internet Protocol Security) ist ein Sammelbegriff für mehrere Protokolle, die auf der Netzwerkschicht (Layer 3) arbeiten und IP-Pakete verschlüsseln und authentifizieren. IKEv2 (Internet Key Exchange Version 2) ist das aktuelle Schlüsselaustauschprotokoll innerhalb von IPsec.
Technische Grundlagen
Architektur: IPsec besteht aus zwei Hauptprotokollen: AH (Authentication Header) für die Authentifizierung ohne Verschlüsselung und ESP (Encapsulating Security Payload) für Verschlüsselung und Authentifizierung. In der Praxis wird fast ausschließlich ESP verwendet. IKEv2 handelt die Schlüssel und Sicherheitsparameter aus.
Betriebsmodi: IPsec kennt zwei Modi: Transport Mode (nur die Payload wird verschlüsselt, der IP-Header bleibt unverändert) und Tunnel Mode (das gesamte IP-Paket wird verschlüsselt und in ein neues IP-Paket verpackt). Für VPNs wird der Tunnel Mode verwendet.
Kryptografie: IPsec unterstützt eine breite Palette von Algorithmen. Empfohlen: AES-256-GCM für die Verschlüsselung, SHA-384/512 für die Integrität, Diffie-Hellman Group 19/20 (ECP) für den Schlüsselaustausch.
Stärken
- In die meisten Betriebssysteme nativ integriert (Windows, macOS, iOS, Android), kein zusätzlicher Client nötig
- Hervorragende Performance (Kernel-Level-Implementation auf den meisten Plattformen)
- Der Industriestandard für Site-to-Site-VPNs
- Von jeder Enterprise-Firewall unterstützt (FortiGate, Palo Alto, Cisco, Sophos)
- IKEv2 unterstützt MOBIKE (nahtloses Roaming zwischen Netzwerken)
- Umfangreiche Standardisierung durch IETF (RFCs)
Schwächen
- Komplexe Konfiguration und Fehlersuche (IKE-Verhandlung, Proposals, Selektoren)
- Interoperabilitätsprobleme zwischen verschiedenen Herstellern
- UDP-Ports 500 und 4500 müssen offen sein (können in manchen Netzwerken blockiert sein)
- NAT-Traversal kann Probleme bereiten
- Die Konfigurationssprache variiert stark zwischen den Implementierungen
IKEv2 für Remote Access
IKEv2 hat sich als Remote-Access-VPN-Protokoll etabliert, insbesondere weil es nativ in Windows, macOS, iOS und Android integriert ist. Der Vorteil: Kein zusätzlicher VPN-Client muss installiert werden. Der Nachteil: Die native Integration bietet oft weniger Konfigurationsmöglichkeiten als ein dedizierter Client.
Typisches Setup: strongSwan als IKEv2-VPN-Server auf Linux, Authentifizierung über EAP-MSCHAPv2 (gegen Active Directory) oder EAP-TLS (Zertifikate), nativer VPN-Client auf den Endgeräten.
Der Vergleich: WireGuard vs. OpenVPN vs. IPsec
| Kriterium | WireGuard | OpenVPN | IPsec (IKEv2) |
|---|---|---|---|
| Performance | Sehr hoch | Mittel | Hoch |
| Konfigurationsaufwand | Niedrig | Hoch | Hoch |
| Code-Umfang | ~4.000 Zeilen | ~100.000 Zeilen | >200.000 Zeilen |
| Nativer Client nötig | Ja (leichtgewichtig) | Ja | Nein (OS-integriert) |
| TCP-Fallback | Nein | Ja | Nein (UDP 500/4500) |
| AD/LDAP-Integration | Über Zusatztools | Nativ (Plugin) | Nativ (EAP) |
| MFA-Integration | Über Zusatztools | Plugin (PAM, RADIUS) | EAP-TLS, RADIUS |
| Site-to-Site | Möglich, aber untypisch | Möglich | Standard |
| Roaming | Exzellent | Eingeschränkt | Gut (MOBIKE) |
| Audit-Logging | Minimal | Umfangreich | Umfangreich |
| NAT-Traversal | Problemlos (UDP) | Problemlos | Funktioniert (NAT-T) |
| Restriktive Netze | Kann scheitern (nur UDP) | TCP 443 als Fallback | Kann scheitern |
Empfehlung nach Anwendungsfall
Remote Access für Homeoffice und mobiles Arbeiten
Empfehlung: WireGuard (mit Management-Layer wie Tailscale, Firezone oder Netbird)
WireGuard bietet die beste Nutzererfahrung für Remote-Mitarbeiter: schneller Verbindungsaufbau, nahtloses Roaming beim Wechsel zwischen WLAN und Mobilfunk, hohe Performance auch bei großen Dateien. Mit einem Management-Layer wie Tailscale oder Firezone erhältst du die Enterprise-Features (SSO, MFA, Policies), die WireGuard allein nicht mitbringt.
Alternative: OpenVPN Access Server, wenn du maximale Kompatibilität brauchst (restriktive Netze, ältere Clients) oder wenn die vorhandene Firewall OpenVPN bereits integriert hat.
Site-to-Site-Verbindung zwischen Standorten
Empfehlung: IPsec (IKEv2)
IPsec ist der Industriestandard für Site-to-Site-VPNs und wird von jeder Enterprise-Firewall unterstützt. Wenn du eine Verbindung zwischen zwei FortiGate-Firewalls oder zwischen einer FortiGate und einer Sophos XGS einrichten musst, ist IPsec die natürliche Wahl.
Zugang für externe Dienstleister
Empfehlung: OpenVPN oder WireGuard mit zeitlich begrenzten Zugangsdaten
Externe Dienstleister brauchen oft kurzfristigen, eingeschränkten Zugang. OpenVPN erlaubt die Erstellung zeitlich begrenzter Zertifikate. WireGuard-basierte Lösungen wie Firezone bieten ein Portal für temporäre Zugänge mit automatischer Deaktivierung.
Sicherheits-Best-Practices für jedes VPN
Multi-Faktor-Authentifizierung (MFA)
Ein VPN-Zugang, der nur durch Benutzername und Passwort geschützt ist, ist ein bevorzugtes Ziel für Angreifer. Kompromittierte Zugangsdaten (durch Phishing, Credential Stuffing oder Darknet-Leaks) ermöglichen den direkten Zugang zum Unternehmensnetzwerk.
MFA ist keine Option, sondern Pflicht. Optionen:
- TOTP (Time-based One-Time Password) über Authenticator-Apps
- Push-Benachrichtigungen über Authentifizierungs-Apps
- Hardware-Token (YubiKey, FIDO2)
- Zertifikatsbasierte Authentifizierung (EAP-TLS) als implizites zweites Faktor
Split-Tunneling vs. Full-Tunneling
Full-Tunneling: Der gesamte Datenverkehr des Clients läuft durch den VPN-Tunnel, auch der Internetzugang. Vorteil: Vollständige Kontrolle, DNS-Filtering und Content-Filtering greifen auch im Homeoffice. Nachteil: Höhere Last auf dem VPN-Gateway, langsamerer Internetzugang für den Nutzer.
Split-Tunneling: Nur der Datenverkehr zum Unternehmensnetzwerk läuft durch den Tunnel. Der Internetzugang geht direkt ins Internet. Vorteil: Bessere Performance, geringere Last auf dem VPN-Gateway. Nachteil: Der Internetzugang des Nutzers wird nicht durch die Unternehmens-Firewall gefiltert.
Empfehlung: Full-Tunneling als Standard, mit Ausnahmen für bandbreitenintensive Cloud-Dienste (Microsoft 365, Videokonferenzen), die direkt angebunden werden können (Inverse Split-Tunneling).
Kill Switch
Ein Kill Switch blockiert den gesamten Netzwerkverkehr, wenn die VPN-Verbindung unerwartet abbricht. Ohne Kill Switch sendet der Client für die Dauer der Wiederverbindung unverschlüsselten Datenverkehr ins Internet, was in unsicheren Netzwerken (öffentliches WLAN) ein Sicherheitsrisiko darstellt.
Die meisten VPN-Clients unterstützen einen Kill Switch. Stelle sicher, dass er aktiviert ist, insbesondere für Mitarbeiter, die regelmäßig in öffentlichen Netzwerken arbeiten.
Least-Privilege-Zugriff
Nicht jeder VPN-Nutzer braucht Zugang zu allen Ressourcen. Definiere pro Nutzergruppe gemäß deinem Berechtigungskonzept, auf welche Netzwerksegmente und Dienste der VPN-Zugang berechtigt:
- IT-Administration: Zugang zu Management-VLAN und Server-Zone
- Buchhaltung: Zugang zum ERP-System und Dateiserver
- Vertrieb: Zugang zum CRM und zur E-Mail
- Externe Dienstleister: Zugang nur zum spezifischen System, das sie warten müssen
Logging und Monitoring
Protokolliere alle VPN-Verbindungen: Wer hat sich wann verbunden, von welcher IP-Adresse, wie lange, wie viel Datenverkehr? In ISMS Lite kannst du deine VPN-Richtlinie als Maßnahme dokumentieren und die Zugriffsregeln pro Nutzergruppe nachvollziehbar hinterlegen. Überwache ungewöhnliche Muster: Verbindungen außerhalb der Arbeitszeiten, Verbindungen aus ungewöhnlichen Ländern, ungewöhnlich hohe Datenmengen.
Weiterführende Artikel
- Firewall-Konfiguration für KMU: Regeln, Zonen und Best Practices
- Sichere Remote-Arbeit: Homeoffice und mobiles Arbeiten absichern
- MFA einführen: Multi-Faktor-Authentifizierung im Unternehmen
- WLAN-Sicherheit im Unternehmen: WPA3, 802.1X und Gäste-Netze
- Zero Trust für den Mittelstand: Prinzipien und praktische Umsetzung
Die Wahl des VPN-Protokolls ist eine technische Entscheidung, aber die Sicherheit des VPN-Zugangs ist eine organisatorische. Das beste Protokoll nützt nichts, wenn der Zugang ohne MFA geschützt ist, wenn die Zugriffsrechte zu weit gefasst sind oder wenn niemand die Verbindungslogs überwacht. Protokoll, Konfiguration und Betrieb müssen zusammenpassen.
