Auf einen Blick: Für KMU ist ein Business-VPN essentiell: sicherer Remote-Zugriff für Mitarbeiter, verschlüsselte Standortvernetzung und DSGVO-konforme Übertragung von Kundendaten. Mit NordLayer oder ExpressVPN Business ist die Einrichtung in 30 Minuten erledigt.
Warum KMU ein VPN brauchen
Die wichtigsten Use Cases
Kleine und mittlere Unternehmen stehen vor konkreten Sicherheitsherausforderungen, die ein VPN direkt löst:
| Szenario | Problem ohne VPN | Lösung mit VPN |
|---|---|---|
| Homeoffice / Remote Work | Mitarbeiter nutzen ungesichertes Heim-WLAN | Verschlüsselte Verbindung ins Firmennetz |
| Mehrere Standorte | Dateiübertragung zwischen Büros unsicher | Site-to-Site VPN verbindet Standorte |
| Kundendaten über Internet | DSGVO-Risiko durch unverschlüsselte Übertragung | VPN-Verschlüsselung schützt sensible Daten |
| Mobile Außendienstler | Zugriff auf CRM/ERP aus Café/Hotel riskant | VPN-Client auf Laptop/Smartphone |
| Buchhaltung / DATEV | Direkter Serverzugriff nötig | VPN-Tunnel in Firmennetz |
💡 Tipp: Das BSI empfiehlt VPN als Grundschutzmaßnahme im IT-Grundschutz (Baustein INF.10). Für zertifizierungspflichtige Branchen (ISO 27001, SOC 2) ist VPN fast immer Pflicht.
Anforderungen an ein Business-VPN
Im Gegensatz zu privaten VPNs brauchen Unternehmen:
Must-Have Features
- Zentrales Admin-Dashboard – Mitarbeiterkonten verwalten, Zugriffsrechte steuern
- Multi-User-Lizenzmodell – Fair skalierbar mit Nutzerwachstum
- Split-Tunneling – Firmendaten über VPN, restlicher Traffic direkt
- 2FA/MFA-Integration – VPN-Zugang zusätzlich mit OTP oder SSO absichern
- Audit-Logs – Wer hat wann von wo zugegriffen (DSGVO-Compliance)
- Kill Switch – Bei Verbindungsabbruch werden Daten nicht unverschlüsselt gesendet
Nice-to-Have Features
- DNS-Filterung – Phishing-Schutz integrated
- SIEM-Integration – Logs in Security-Monitoring-Systeme
- Dedicated IP – Feste IP für Whitelist bei S/FTP-Servern oder Partner-APIs
Implementierungsoptionen: Eigene Infrastruktur vs. Provider
Option A: Eigener VPN-Server (On-Premise / Cloud)
Wie: OpenVPN oder WireGuard-Server auf eigenem Server oder VPS
| Aspekt | Bewertung |
|---|---|
| Kosten | Server: €5-20/Monat (VPS), keine Lizenzkosten |
| Datenkontrolle | Maximal – Server verbleibt unter deiner Kontrolle |
| Wartung | Hoch – Updates, Zertifikate, Monitoring selbst |
| Eignung | IT-affine Unternehmen, Datenschutz-Maximierer |
Tools für Selbst-Hosting:
- OpenVPN Access Server (2 Benutzer kostenlos)
- WireGuard (auf Ubuntu/Debian-Server, Setup ~2h mit Anleitung)
- Algo VPN (automatisiertes WireGuard/IKEv2 Setup-Script)
Option B: Business VPN Provider
Wie: Dedizierte Business-Lösung beim VPN-Anbieter
| Anbieter | Preis (5 User) | Features | Geeignet für |
|---|---|---|---|
| NordLayer | ~€35/Monat | Dashboard, MFA, Split-Tunnel, App | Flexibles Team, Remote-First |
| ExpressVPN Teams | ~€45/Monat | 5-User Min., Zero-Trust ready | High-Security-Anforderungen |
| Perimeter 81 | €40/Monat | Zero-Trust Network, SIEM | Wachsende KMU |
| Cisco AnyConnect | Ab €15/User | Enterprise-Grade, komplex | 50+ Mitarbeiter |
💡 Empfehlung für kleine Teams (bis 10 Personen): NordLayer bietet das beste Preis-Leistungs-Verhältnis mit sofortigem Rollout und keinem Server-Adminaufwand.
Einrichtung: Site-to-Site VPN für zwei Standorte
Für Unternehmen mit mehreren Büros ermöglicht ein Site-to-Site VPN, dass beide Standorte wie ein lokales Netz agieren:
Büro A (Berlin) VPN-Tunnel Büro B (München)
[Router/Gateway] <────────────────────> [Router/Gateway]
| |
Lokales LAN Lokales LAN
192.168.1.x 192.168.2.x
Voraussetzungen:
- Router an beiden Standorten mit VPN-Unterstützung (FritzBox 7590 kann das)
- Statische IP oder DynDNS an einem Standort
- Gemeinsam vereinbarter Pre-Shared Key oder Zertifikate
💡 FritzBox-Nutzer: FRITZ!Box Heimnetz-Verbindungen (Site-to-Site) sind direkt im Interface einrichtbar. Fritz-Handbuch: LAN > VPN > FRITZ!Box-VPN-Verbindungen.
DSGVO und VPN
Ein Business-VPN hilft bei DSGVO-Compliance:
| DSGVO-Anforderung | VPN-Beitrag |
|---|---|
| Art. 32 – Technische Maßnahmen | VPN-Verschlüsselung dokumentiert als TOB |
| Auftragsverarbeitung | VPN-Logs zeigen, wer auf Kundendaten zugegriffen hat |
| Datenmimimierung | VPN Split-Tunneling – nur Firmendaten durch Tunnel |
| Meldepflicht bei Breach | Logs ermöglichen schnelle Breach-Analyse |
Dokumentationstipp: Im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) als technische Schutzmaßnahme notieren: „Verschlüsselte Übertragung durch VPN (NordLayer/WireGuard/OpenVPN)”.
Rollout-Plan für KMU (30-Tage-Plan)
Woche 1: Entscheidung & Setup
- VPN-Lösung wählen (eigener Server vs. Provider)
- Admin-Account anlegen, Grundkonfiguration
- Test-Account für IT-Verantwortlichen
Woche 2: Pilotgruppe
- 2-3 technisch affine Mitarbeiter als Testnutzer
- Feedback einholen, Probleme lösen
- Dokumentation der Einrichtungsschritte
Woche 3: Unternehmensweiter Rollout
- Alle Mitarbeiter onboarden
- Kurzschulung (15 min): Wann VPN nutzen, wie einschalten
- VPN-Nutzungsrichtlinie in Mitarbeiterhandbuch aufnehmen
Woche 4: Monitoring
- Audit-Logs prüfen
- Verbindungsprobleme lösen
- Zugriffsrechte nach Rolle definieren
Fazit: VPN als Grundlage der KMU-Sicherheitsinfrastruktur
Ein Business-VPN ist keine nette Zugabe, sondern Grundschutz für jedes Unternehmen mit Remote-Arbeit oder mehreren Standorten.
Empfehlung nach Unternehmensgröße:
- 1-5 Mitarbeiter: NordLayer Starter oder eigener WireGuard-Server (VPS)
- 5-20 Mitarbeiter: NordLayer Standard mit zentralem Dashboard
- 20+ Mitarbeiter: Perimeter 81, Cisco AnyConnect oder eigene PKI-Infrastruktur
Was du in diesem Artikel lernst
- Die wichtigsten Grundlagen zum Thema
- Konkrete Handlungsempfehlungen fuer die Praxis
- Vergleiche und Bewertungen relevanter Loesungen
- Haefige Fehler und wie du sie vermeidest