Warum VPN? Einsatzszenarie
Ein Virtual Private Network – kurz VPN – baut ein virtuelles privates Netz über ein öffentliches Transportnetz, in fast allen Fällen das Internet. Aus Sicht der Endgeräte sieht es so aus, als wären sie direkt in einem geschützten lokalen Netz; tatsächlich werden ihre Pakete verschlüsselt durch einen Tunnel geschickt, der über fremde Router und Provider verläuft. Diese Technik ist in den letzten zwanzig Jahren von einem Nischenwerkzeug für Großkonzerne zum täglichen Werkzeug fast aller IT-Abteilungen geworden – mit der Pandemie 2020 wurde sie endgültig zum Standard, weil Millionen Beschäftigte plötzlich aus dem Homeoffice auf interne Systeme zugreifen mussten. In dieser Lektion legen wir das Fundament für den Rest des Kurses: Was ist ein VPN überhaupt, warum braucht man es, welche Schutzziele erreicht es, welche Einsatzszenarien gibt es in der Praxis? Wir klären die wichtigste Unterscheidung – Site-to-Site versus Remote-Access – und ordnen VPN in das größere Bild der IT-Sicherheit ein. Die technischen Details der Protokolle (IPsec, OpenVPN, WireGuard) folgen in den späteren Lektionen.
1) Was ist ein VPN?
Ein VPN ist im Kern ein Tunnel: ein logischer Kanal zwischen zwei Endpunkten, durch den IP-Pakete fließen, die für die dazwischen liegenden Netze unsichtbar (verschlüsselt) und meist auch nicht zuzuordnen (gekapselt) sind. Das Gegenüber – ein VPN-Gateway, ein VPN-Server oder ein anderer VPN-Client – sieht die Pakete entschlüsselt und kann sie in das geschützte Netz weiterleiten. Aus Sicht der Anwendungen oben drüber (Webbrowser, E-Mail-Client, Datenbank-Verbindung) ist alles wie normal – das VPN arbeitet weitgehend transparent unterhalb der Anwendungsebene.
Wichtig: das Wort „privat" in Virtual Private Network bedeutet nicht „anonym" und nicht „unbeobachtbar gegenüber allen". Es bedeutet: privat gegenüber dem dazwischen liegenden Transportnetz. Wer zwischen den beiden VPN-Endpunkten den Datenverkehr abfängt, sieht nur verschlüsselten Datenmüll. Der Anbieter des VPN-Gateways selbst aber kann den Klartext sehen – wer also einen kommerziellen VPN-Dienst nutzt, verlagert nur seine Vertrauensfrage vom Internet-Provider zum VPN-Anbieter. Das ist eine andere Diskussion als der Unternehmens-Einsatz, der hier im Vordergrund steht.
2) Schutzziele: was leistet ein VPN wirklich?
Die klassischen Schutzziele der Informationssicherheit – oft als CIA-Trias bezeichnet (Confidentiality, Integrity, Availability) – werden von einem VPN unterschiedlich gut adressiert. Dazu kommt als viertes Ziel die Authentizität, das in der Praxis ebenso wichtig ist.
C
Vertraulichkeit · Daten sind im Transit verschlüsselt, niemand zwischen den Endpunkten kann mitlesen. Kernleistung des VPNs.
I
Integrität · Manipulation der Daten unterwegs wird erkannt (HMAC, AEAD). Geänderte Pakete werden verworfen. Kernleistung des VPNs.
A
Authentizität · Sender und Empfänger weisen sich gegenseitig aus, oft mit Zertifikaten oder Pre-Shared Keys. Voraussetzung für die anderen Ziele.
Was ein VPN nicht automatisch leistet: Verfügbarkeit – wenn der VPN-Server ausfällt oder die Internet-Verbindung weg ist, ist das interne Netz nicht erreichbar. Verfügbarkeit muss separat gestaltet werden (redundante Gateways, mehrere Provider, Failover). Auch leistet ein VPN kein Anti-Malware: ein infizierter Client mit gültigem VPN-Zugang ist im internen Netz wie jedes interne Gerät – nur eben gefährlich. Und ein VPN schützt nicht vor Schwachstellen in den Anwendungen, die durch den Tunnel kommunizieren: eine SQL-Injection-Anfälligkeit bleibt eine Anfälligkeit, ob durch VPN getunnelt oder nicht.
3) Wozu braucht man ein VPN überhaupt?
Die typischen Einsatzszenarien lassen sich in einige Cluster gruppieren – einige davon werden in späteren Lektionen vertieft.
Homeoffice / Mobile Worker
Beschäftigte greifen von zu Hause, unterwegs oder aus Hotels auf interne Anwendungen zu (CRM, ERP, Dateiablagen). Authentifizierung am VPN, dann Zugriff wie aus dem Büro.
Standortkopplung
Mehrere Firmenstandorte werden über Site-to-Site-Tunnel verbunden, z. B. Zentrale mit Tochtergesellschaft. Ersetzt teure MPLS-Leitungen.
Cloud-Anbindung
Eigene Rechenzentrums-Server kommunizieren mit Cloud-Ressourcen (AWS, Azure, GCP) über VPN-Verbindungen. Heißt bei den Cloud-Anbietern oft „VPN Gateway" oder „Site-to-Site Connection".
Wartungszugang für Lieferanten
Externe Dienstleister (z. B. Hersteller von Maschinensteuerungen) bekommen einen eingeschränkten VPN-Zugang zu bestimmten Systemen für Wartung und Updates.
Geo-Restriction / Zensur
Privatpersonen umgehen Geo-Sperren oder zensurierte Netze. Im Unternehmenskontext eher Nebenrolle, aber relevant für Reisen in Länder mit eingeschränktem Internet.
Datenschutz im öffentlichen WLAN
Schutz vor passivem Mitlesen in Hotel-, Café- oder Flughafen-WLANs – heute bei flächendeckendem HTTPS weniger kritisch, aber DNS-Anfragen und Metadaten bleiben sichtbar.
Die ersten beiden – Remote-Access und Site-to-Site – decken in der typischen Unternehmens-IT 95 % aller Anwendungsfälle ab. Die anderen sind Spezialfälle, die ihre eigenen Anforderungen mitbringen, aber technisch auf denselben Bausteinen aufbauen. Wer die ersten beiden verstanden hat, kann sich die Spezialfälle erschließen.
4) Bedrohungsmodell: vor wem schützt man sich?
Eine sicherheitstechnische Maßnahme ist nur dann sinnvoll, wenn sie gegen ein konkretes Bedrohungsmodell entwickelt wurde. Für VPN sieht das Modell typischerweise so aus:
- Passive Mitlauscher auf der Transportstrecke – Provider, Wifi-Betreiber, neugierige Nachbarn im Café. Sie wollen mitlesen, ohne selbst aktiv einzugreifen. Klassisches Schutzziel: Vertraulichkeit.
- Aktive Angreifer – Man-in-the-Middle-Versuche, in denen jemand zwischen Client und Server springt, Pakete manipuliert oder eigene einschleust. Schutzziele: Integrität und Authentizität.
- Identitätsdiebstahl – jemand stiehlt Zugangsdaten und versucht, sich am VPN als legitimer Nutzer auszugeben. Gegenmaßnahme: starke Authentifizierung (Zertifikate, MFA).
- Kompromittierte Endgeräte – ein Notebook ist mit Malware infiziert und nutzt den VPN-Zugang, um in das interne Netz vorzudringen. VPN allein hilft hier nicht; es braucht zusätzlich Endpunkt-Schutz (siehe L9).
Wichtig: das Bedrohungsmodell unterscheidet sich je nach Einsatzszenario. Im Unternehmens-Remote-Access ist „böser Internet-Provider" eine eher unwahrscheinliche Bedrohung; in Ländern mit autoritären Regimen ist sie real und prägt die Architektur. Wer als Sicherheitsarchitekt:in VPN-Lösungen entwirft, sollte als Erstes die Bedrohungen benennen, gegen die geschützt werden soll – sonst optimiert man möglicherweise gegen das falsche Risiko.
5) Site-to-Site versus Remote-Access
Die wichtigste Unterscheidung im VPN-Bereich ist die zwischen Site-to-Site und Remote-Access. Beide arbeiten mit den gleichen technischen Bausteinen (Tunnel, Verschlüsselung, Authentifizierung), unterscheiden sich aber im Aufbau und im Einsatz:
| Aspekt | Site-to-Site (siehe L2) | Remote-Access (siehe L3) |
|---|---|---|
| Endpunkte | zwei (oder mehr) Gateways/Router | einzelner Client ↔ Gateway |
| Verbindung dauerhaft? | ja, permanent aufgebaut | nein, bei Bedarf vom Nutzer initiiert |
| Client-Software nötig? | nein, Router macht alles transparent | ja, VPN-Client auf jedem Endgerät |
| Authentifizierung | einmalig zwischen Gateways (Zertifikat/PSK) | je Nutzer:in, oft mit MFA |
| Anzahl Teilnehmer | typisch wenige Standorte (Hubs) | bis Tausende Clients |
| Typische Protokolle | IPsec, gelegentlich GRE+IPsec | IPsec, SSL/TLS-VPN, WireGuard |
In der Praxis kommen beide oft im selben Unternehmen vor: eine Firma hat z. B. einen Site-to-Site-Tunnel zwischen Hauptsitz und Zweigstelle und parallel Remote-Access für Außendienstler und Homeoffice-Mitarbeitende. Die nächsten beiden Lektionen vertiefen jedes Szenario einzeln.
6) Wo steht VPN heute? Zero Trust und SASE
Die klassische VPN-Architektur folgt einem einfachen Modell: außen ist gefährlich, innen ist sicher; das VPN bringt mich von außen nach innen. Diese Trennung in „Perimeter" und „Internes Netz" ist über Jahrzehnte das Leitbild der Netzwerk-Sicherheit gewesen – inzwischen wird sie aber zunehmend in Frage gestellt.
Das Stichwort heißt Zero Trust: nicht mehr „das interne Netz ist sicher", sondern „jedes Gerät, jede Anwendung, jeder Zugriff wird einzeln authentifiziert und autorisiert, unabhängig vom Standort". In einer Zero-Trust-Architektur ist das interne Netz nicht per se vertrauenswürdig – ein kompromittiertes Notebook im Büro ist ebenso gefährlich wie eines im Café. Daraus folgen Konzepte wie SASE (Secure Access Service Edge, Cloud-basierter Zugriffspunkt) und ZTNA (Zero Trust Network Access), die VPN als „Single Point of Trust" zunehmend ersetzen wollen.
Trotzdem: VPN ist nicht tot. Die meisten Unternehmen setzen weiterhin auf klassische VPNs, weil sie etabliert sind, technisch verstanden und mit moderaten Mitteln betreibbar. Wer in der Ausbildung VPN versteht, hat eine solide Grundlage – die Zero-Trust-Konzepte bauen auf vielen ähnlichen kryptografischen Bausteinen auf, nur eben mit anderem Anwendungsmodell. Mehr zu IT-Trends in K67.
7) Was kommt in diesem Kurs?
Wir haben jetzt das Fundament gelegt. Die kommenden Lektionen vertiefen die einzelnen Bausteine:
- L2 Site-to-Site VPN – Standortkopplung mit Gateway-zu-Gateway-Tunneln
- L3 Remote-Access VPN – Einzelnutzer und Client-Software
- L4 IPsec: Grundprinzip – die wichtigste Protokoll-Suite, AH vs. ESP
- L5 IPsec: Tunnel- vs. Transportmodus
- L6 IKEv2 – Schlüsselaustausch
- L7 SSL/TLS-VPN: OpenVPN
- L8 WireGuard – der moderne Herausforderer
- L9 Split Tunneling & Sicherheitsbetrachtung
- L10 IHK-Aufgaben zum VPN
Wer mit diesen Themen sicher umgehen kann, ist im Bereich Netzwerk-Sicherheit gut aufgestellt – VPN ist eine der Kerntechnologien, die in jeder Klausur und in jedem Vorstellungsgespräch zur Sprache kommt.
Zusammenfassung
Ein VPN baut einen verschlüsselten Tunnel über ein unsicheres Transportnetz und stellt Vertraulichkeit, Integrität und Authentizität für die durchgeleiteten Daten her. Die wichtigste Unterscheidung ist Site-to-Site (Standort-Kopplung) versus Remote-Access (einzelne Beschäftigte). VPN schützt nicht vor allem – Verfügbarkeit, Malware und Anwendungs-Schwachstellen brauchen ergänzende Maßnahmen.
Verwandte Lektionen: Site-to-Site VPN · Remote-Access VPN · IPsec-Grundprinzip · und mehrWeitere relevante LektionenWireGuardSplit TunnelingIHK-Aufgaben VPNIT-Trends (K67)ITIL (K61)