SECURITYSQUAD
Zurück zum Blog

VPN vs. Zero Trust: Wann der Tunnel nicht mehr reicht

2026-07-12 · von SECURITYSQUAD

VPN vs. Zero Trust: Wann der Tunnel nicht mehr reicht

Das VPN ist das Arbeitspferd des Fernzugriffs: ein verschlüsselter Tunnel ins Firmennetz, und schon arbeitet das Homeoffice, als säße es im Büro. Genau diese Gleichsetzung ist das Problem. Denn wer einmal im Tunnel ist, gilt vielerorts als vertrauenswürdig – und Vertrauen, das an der Netzwerkgrenze endet, ist im Jahr 2026 zu grob geschnitten.

Das Versprechen – und die Schwäche des klassischen VPN

Das VPN folgt dem Perimeter-Gedanken: innen ist sicher, außen ist gefährlich. Nach erfolgreicher Anmeldung landet der Nutzer im internen Netz, oft mit weitreichendem Zugriff. Das funktioniert, solange die Grenze eindeutig ist. Ist sie es nicht – weil Geräte kompromittiert werden, Zugangsdaten in falsche Hände geraten oder Dienstleister mitverbunden sind – wird der Tunnel zum Türöffner. Ein Angreifer mit gültigem Zugang bewegt sich seitlich durchs Netz (lateral movement) und erreicht Systeme, die mit seiner eigentlichen Aufgabe nichts zu tun haben. Das VPN prüft, ob jemand hereindarf, aber kaum, worauf.

Zero Trust: Vertrauen ist keine Netzwerkfrage

Zero Trust dreht die Annahme um: kein System, kein Nutzer und kein Gerät ist allein aufgrund seines Standorts im Netz vertrauenswürdig. Der Leitsatz „never trust, always verify" bedeutet konkret, dass jeder Zugriff einzeln geprüft wird – anhand von Identität, Gerätezustand, Kontext und Berechtigung. Die US-Normungsbehörde NIST hat das Modell in SP 800-207 als Referenz beschrieben.

In der Praxis tritt an die Stelle des breiten Netzzugangs der anwendungsbezogene Zugriff (Zero Trust Network Access, ZTNA): Ein Nutzer erhält Zugang zu genau der Anwendung, die er braucht – nicht zum gesamten Netzsegment dahinter. Berechtigungen folgen dem Prinzip der minimalen Rechte, und die Prüfung ist kontinuierlich, nicht nur einmal beim Login.

Entweder-oder? Eher miteinander

In der Realität ist der Umstieg kein Schalter. Viele Organisationen betreiben ihr VPN weiter und schieben kritische Anwendungen nach und nach hinter ZTNA. Sinnvolle Zwischenschritte gibt es reichlich: Multi-Faktor-Authentifizierung konsequent erzwingen, das interne Netz segmentieren, damit ein kompromittierter Zugang nicht das ganze Haus öffnet, und den Gerätezustand in die Zugriffsentscheidung einbeziehen. Jeder dieser Schritte reduziert das implizite Vertrauen, ohne den Betrieb über Nacht umzubauen.

Der realistische Weg dorthin

Am Anfang steht keine Technik, sondern eine Inventur: Welche Anwendungen sind geschäftskritisch, wer greift von wo darauf zu, welche Daten hängen daran? Diese „Kronjuwelen" wandern zuerst in ein Zero-Trust-Modell, der Rest folgt nach Risiko. Für viele Unternehmen wird der Druck ohnehin von außen kommen: NIS2 und die wachsenden Anforderungen an Zugriffskontrolle und Nachvollziehbarkeit machen fein granulierte Zugänge vom Kür- zum Pflichtprogramm.

VPN und Zero Trust sind kein Glaubenskrieg. Das VPN verschwindet nicht über Nacht – aber es sollte nicht länger der einzige Wächter zwischen einem gestohlenen Passwort und Ihren wichtigsten Systemen sein.

Weiterführend: Kompetenz & Services · Zero Trust in der Praxis · NIS2 im Mittelstand