VPN war gestern: Wie Zero Trust den Zugriff ehrlich macht

Klassische VPNs haben den Charme der 2000er — und einige strukturelle Schwächen. Zero-Trust-Architekturen lösen das schrittweise und mittelstandstauglich ab.

Klassische VPNs haben den Charme der 2000er — und einige strukturelle Schwächen. Zero-Trust-Architekturen lösen das schrittweise und mittelstandstauglich ab.

Klassische VPNs öffnen einem authentifizierten Gerät weite Bereiche des Unternehmensnetzes. Wenn dieses Gerät kompromittiert ist, hat der Angreifer im Wesentlichen die Schlüssel zum Haus. Zero Trust dreht das um: Jeder Zugriff wird einzeln geprüft, jedes Mal — unabhängig davon, ob der Nutzer im Büro, im Homeoffice oder in einem Hotel-WLAN sitzt.

Für viele kleine und mittlere Unternehmen war das VPN über Jahre die einzige sichtbare Sicherheits-Investition für Fernzugriff. Mit hybriden Arbeitsmodellen, externen Dienstleistern und cloud-basierten Anwendungen passt dieses Modell jedoch immer schlechter zur Realität. Ein modernes Zero-Trust-Konzept ist kein Mega-Projekt — sondern eine Reihe pragmatischer Schritte, die jeden einzelnen Zugriffspfad ehrlicher machen.

Die zwei Grundideen von Zero Trust

  • Niemals automatisch vertrauen, immer prüfen — egal ob Zugriff aus dem Büro, Homeoffice oder unterwegs erfolgt.
  • Zugriff so eng wie möglich — pro Anwendung, nicht pro Netz.

Das hat eine spürbare Konsequenz: Ein kompromittierter Laptop bekommt nicht mehr Vollzugriff auf das Firmennetz, sondern bestenfalls noch Zugang zu den drei oder vier Anwendungen, für die der Nutzer berechtigt ist. Der Schaden eines Vorfalls wird damit von „katastrophal“ auf „beherrschbar“ reduziert.

Was eine moderne Lösung können sollte

  • Identitätsbasierter Zugriff über zentrale Authentifizierung mit MFA (idealerweise phishing-resistent, z. B. FIDO2-Hardware-Schlüssel oder Passkeys).
  • Gerätestatus-Prüfung bei jedem Zugriff (Patch-Stand, Festplattenverschlüsselung, aktiver Endpoint-Schutz, EDR-Status).
  • Anwendungs-spezifische Tunnel — kein Vollzugang ins Netz, sondern gezielte Freigabe pro Dienst.
  • Kontextbasierte Richtlinien — Zugriff aus einem ungewöhnlichen Land oder einem nicht-verwalteten Gerät wird strenger geprüft oder blockiert.
  • Detaillierte Protokollierung aller Zugriffe für Audit, Compliance und Forensik im Ernstfall.

Wie eine pragmatische Migration im KMU aussieht

Wir empfehlen ein dreistufiges Vorgehen, das sich in unseren Projekten bewährt hat. Schritt eins: Bestandsaufnahme — welche Anwendungen werden heute über VPN erreicht, welche Nutzergruppen brauchen welchen Zugriff, welche externen Partner sind involviert? Schritt zwei: Einführung eines Identity-Providers mit MFA als zentrale Stelle für Authentifizierung, falls noch nicht vorhanden. Schritt drei: Schrittweise Ablösung der VPN-Strecken durch anwendungsspezifische ZTNA-Tunnel — beginnend mit den kritischsten oder am häufigsten genutzten Anwendungen.

Schrittweise Migration ist normal

Ein vollständiger VPN-Abschied im Big-Bang-Stil scheitert in der Regel. Realistisch ist ein 12–18-monatiger Übergang, in dem klassische VPN-Strecken parallel zu neuen Zero-Trust-Diensten laufen — und nach und nach abgelöst werden. Wer dem Team mehr zumuten will, riskiert Akzeptanz-Probleme und Schatten-IT.

Typische Bausteine im Werkzeugkasten

  • Identity-Provider: Microsoft Entra ID, Okta, Keycloak oder vergleichbar — abhängig von der bestehenden Microsoft-365- bzw. Google-Workspace-Welt.
  • ZTNA-Plattform: Cloudflare Access, Zscaler Private Access, Twingate oder Tailscale für kleinere Setups — alle mit ähnlicher Grundidee, unterschiedlichen Preis- und Komplexitätsniveaus.
  • Endpoint-Management: Microsoft Intune, Jamf (Mac), oder schlanke MDM-Lösungen für gemischte Flotten.
  • Mikrosegmentierung im Netz selbst: VLANs, Firewall-Regeln, idealerweise softwaredefiniert.

Was es nicht ist

Zero Trust ist kein Produkt. Es ist eine Architektur-Idee, die mehrere Bausteine zusammenführt: Identity-Provider, Endpoint-Management, Mikrosegmentierung. Wer eine Box kaufen will, die „Zero Trust“ aufgedruckt hat, kauft meist nur ein Etikett. Genauso wenig ist Zero Trust ein Misstrauensvotum gegen die eigenen Mitarbeitenden — es ist schlicht die Erkenntnis, dass das Konzept „innen sicher, außen unsicher“ in einer hybriden Arbeitswelt nicht mehr trägt.

Was Sie als nächsten Schritt tun können

Wenn Sie heute noch ein klassisches Site-to-Site- oder Client-VPN betreiben, ist der nächste Schritt selten der Komplett-Umbau. Sinnvoller ist eine ehrliche Standortbestimmung: Welche Anwendungen sind heute über das VPN erreichbar, welche davon laufen ohnehin schon in der Cloud, und welche Nutzergruppen brauchen welchen Zugriff? Aus dieser Karte ergibt sich ein realistischer Migrationsplan — meist in zwei bis vier überschaubaren Etappen über 12 bis 18 Monate, mit messbarem Sicherheitsgewinn nach jeder Etappe.

Mehr zu diesem und ähnlichen Themen: Tila Tech ist Ihr Full-Service-IT-Partner aus Deggendorf für IoT, KI-Automatisierung, Managed IT und individuelle Softwareentwicklung. 30 Minuten kostenlose Erstberatung: Telefon +49 991 492-2852-0 oder E-Mail info@tila-tech.de.