Sicheres Remote-Arbeiten: VPN, Zugänge und verwaltete Geräte

Das Problem ist nicht das Homeoffice, sondern wie es konfiguriert ist

In Italien arbeiten über 3,5 Millionen Menschen remote. Viele von ihnen verbinden sich täglich von zu Hause, aus Coworking-Spaces oder aus dem Netzwerk eines Kunden mit den Unternehmensressourcen. Netzwerke, die das Unternehmen nicht kontrolliert, nicht überwacht und oft nicht einmal kennt.

Das bedeutet nicht, dass Remote-Arbeit per se gefährlich ist. Es bedeutet, dass eine angemessene Konfiguration notwendig ist. Und dass das Risiko ohne sie real ist.

Laut dem Clusit-Bericht 2026 haben schwerwiegende Cybervorfälle in Italien im Jahr 2025 um 42 % gegenüber dem Vorjahr zugenommen. Der relevanteste Befund für Unternehmen mit verteilten Teams: Ein erheblicher Anteil dieser Angriffe nutzte gezielt Schwachstellen im Bereich Remote-Arbeit aus.

Jedes vierte KMU hat in den letzten drei Jahren eine Sicherheitsverletzung erlitten. Das ist keine abstrakte Statistik: Es sind Unternehmen mit 10, 30, 80 Mitarbeitenden. Ganz normale Unternehmen. — Cyber Index PMI 2025, Confindustria & Generali

Die häufigsten Angriffsvektoren beim Remote-Arbeiten

Bevor Sie Tools auswählen, ist es sinnvoll zu verstehen, woher die realen Probleme kommen.

RDP offen im Internet

Das Remote Desktop Protocol – mit dem man einen PC aus der Ferne übernehmen kann – ist bis heute einer der am häufigsten missbrauchten Angriffsvektoren. Wenn Port 3389 ohne Schutzmaßnahmen im Internet offen ist, wird er zum leichten Ziel für automatisierte Angriffe. Im Jahr 2025 nahm ein erheblicher Anteil der Ransomware-Angriffe in Italien genau über offenes RDP seinen Ausgang.

Wenn sich in Ihrem Unternehmen jemand über direkte Remotedesktop-Verbindung – ohne VPN – mit Bürorechnern verbindet, ist das das erste Problem, das behoben werden muss.

Gestohlene oder schwache Zugangsdaten

Der Verizon Data Breach Investigations Report 2025 führt Credential-Diebstahl als initialen Angriffsvektor bei über einem Fünftel aller Datenschutzverletzungen an. Verteilte Teams nutzen mehr Dienste über mehr Netzwerke: Unternehmens-E-Mail, ERP, Cloud-Speicher, VPN selbst. Jedes Konto mit einem schwachen oder wiederverwendeten Passwort ist eine potenziell offene Tür.

VPN-Appliances ohne Updates

Paradoxerweise kann auch die VPN selbst zum Problem werden. Vorfälle im Zusammenhang mit Unternehmens-VPNs haben in den letzten Jahren deutlich zugenommen – oft, weil physische Geräte (Firewalls, VPN-Konzentratoren) nicht regelmäßig aktualisiert werden. Eine bekannte Schwachstelle auf einer ungepatchten Appliance ist ein garantierter Einstiegspunkt für jeden, der gezielt danach sucht.

Unternehmens-VPN: wann sie nötig ist und wie man sie wählt

Die VPN erstellt einen verschlüsselten Tunnel zwischen dem Gerät des Mitarbeitenden und dem Unternehmensnetzwerk. Der gesamte Datenverkehr läuft durch diesen Tunnel, als ob der Mitarbeitende physisch im Büro wäre. Sie ist das richtige Werkzeug für den Zugriff auf interne Ressourcen: Server, freigegebene Ordner, On-Premise-ERP-Systeme.

Für ein KMU mit weniger als 50 Nutzenden bleibt die VPN die praktischste Wahl. Viele Unternehmen haben bereits eine Firewall – Fortinet, Sophos, pfSense –, die VPN-Funktionalität in der bestehenden Lizenz enthält, ohne Zusatzkosten. Das Problem ist in den meisten Fällen nicht das fehlende Werkzeug: Es ist, dass es nicht konfiguriert oder nicht genutzt wird.

Was Sie heute an Ihrer VPN prüfen sollten

Ist die Firmware der Firewall/Appliance auf dem aktuellen stabilen Stand?
Erfordert der VPN-Zugang eine Zwei-Faktor-Authentifizierung (MFA)?
Hat jede Person individuelle Zugangsdaten, oder wird ein gemeinsames Gruppenpasswort verwendet?
Haben ausgeschiedene Mitarbeitende noch aktive VPN-Konten?
Werden Zugriffsprotokolle gespeichert und regelmäßig geprüft?

Wenn auch nur eine dieser Antworten „weiß ich nicht" lautet, ist das der Ausgangspunkt.

VPN vs. Zero Trust: ein nützlicher Unterschied

Zero Trust Network Access (ZTNA) wird oft als Alternative zur herkömmlichen VPN genannt. Die Logik ist eine andere: Statt Zugang zum gesamten Netzwerk zu gewähren, wird nur Zugang zur jeweils benötigten Anwendung oder Ressource erteilt – mit Überprüfung von Identität und Gerät bei jeder Verbindung.

Für ein KMU mit wenigen Nutzenden und einer einfachen Infrastruktur kann ZTNA überdimensioniert sein. Es lohnt sich, es zu evaluieren, wenn externe Mitarbeitende oder Lieferanten mit Teilzugriff verwaltet werden oder wenn vollständig in der Cloud gearbeitet wird. In jedem Fall ist es keine dringende Wahl, solange die VPN noch nicht korrekt konfiguriert ist.

Authentifizierung: MFA ist keine Option

Der Cyber Index PMI 2025 (Confindustria und Generali, über 1.500 Unternehmen) zeigt ein klares Bild: Nur 50 % der italienischen KMU haben Multi-Faktor-Authentifizierung eingeführt. Die andere Hälfte greift auf ihre Systeme nur mit einem Passwort zu.

MFA fügt nach dem Passwort einen zweiten Verifizierungsschritt hinzu: einen zeitbasierten Code per App (Google Authenticator, Microsoft Authenticator), eine SMS oder einen Hardware-Schlüssel. Selbst wenn das Passwort gestohlen wird, kommt der Angreifer ohne den zweiten Faktor nicht hinein.

Es ist die Maßnahme mit dem besten Kosten-Nutzen-Verhältnis überhaupt. Fast alle Unternehmens-Cloud-Dienste unterstützen sie bereits: Microsoft 365, Google Workspace, die gängigen Firewalls. Die Aktivierung erfordert einen Nachmittag Konfigurationsaufwand und ein paar Minuten Einweisung für die Mitarbeitenden. Es nicht zu tun ist eine schwer zu rechtfertigende Entscheidung.

Empfohlene Aktivierungsreihenfolge:

Unternehmens-E-Mail (sie ist der Schlüssel zu allem anderen)
VPN-Zugang
ERP und Warenwirtschaft
Kollaborationstools (Teams, Slack, Drive)

Verwaltete Geräte: die Grenze zwischen sicher und unsicher

Ein Mitarbeitender, der zu Hause mit dem privaten PC arbeitet, stellt ein strukturelles Problem dar. Nicht weil er böswillig ist, sondern weil dieses Gerät nicht unter der Kontrolle des Unternehmens steht: Es könnte veraltete Software haben, keinen oder abgelaufenen Virenschutz, unkontrolliert installierte Anwendungen und weitere Familienmitglieder, die es nutzen.

Die zentrale Geräteverwaltung – oft MDM (Mobile Device Management) oder UEM (Unified Endpoint Management) genannt – erlaubt der IT-Abteilung, Sicherheitsrichtlinien auf alle Unternehmensgeräte anzuwenden, auch aus der Ferne. Das bedeutet, sicherstellen zu können, dass alle PCs folgendes haben:

Aktuelles Betriebssystem und aktuelle Anwendungen
Aktive Festplattenverschlüsselung (BitLocker unter Windows, FileVault auf Mac)
Installierter und funktionierender Virenschutz/EDR
Automatische Sperrbildschirm nach Inaktivität
Möglichkeit zur Fernlöschung bei Diebstahl oder Verlust

Laut Cyber Index PMI 2025 setzen nur 30 % der italienischen KMU Datenverschlüsselung und Netzwerksegmentierung ein. Festplattenverschlüsselung ist das Minimum: Wird ein Laptop gestohlen oder verlegt, sind die Daten ohne Verschlüsselung für jeden zugänglich, der die Festplatte ausbaut.

MDM-Lösungen wie Microsoft Intune (in vielen Microsoft 365 Business Premium-Lizenzen enthalten) oder vergleichbare Tools ermöglichen die Verwaltung von Dutzenden von Geräten ohne eine eigene IT-Abteilung. Die Kosten sind häufig bereits durch bestehende Lizenzen gedeckt.

Wo anfangen: eine praktische Reihenfolge

Wenn Sie bei null oder fast null starten, müssen Sie nicht alles auf einmal angehen. Sie müssen die Dinge in der richtigen Reihenfolge tun.

RDP aus dem Internet schließen. Wenn sich jemand über direkte Remotedesktop-Verbindung verbindet, lassen Sie ihn über VPN gehen. Sofort.
MFA für die Unternehmens-E-Mail aktivieren. Sie ist der Zugangspunkt zu fast allem anderen.
Firmware der Firewall/VPN prüfen und aktualisieren. Aktuelle Version feststellen und mit der letzten verfügbaren Version auf der Website des Herstellers vergleichen.
Aktive Konten überprüfen. Konten von ausgeschiedenen Mitarbeitenden auf allen Diensten deaktivieren.
Festplattenverschlüsselung aktivieren auf allen remote genutzten Unternehmensgeräten.
MDM-System evaluieren, wenn Sie mehr als 5–10 verteilte Geräte verwalten.

Keiner dieser Schritte erfordert ein hohes Budget. Die meisten erfordern Zeit, Aufmerksamkeit und eine Entscheidung. Der Cyber Index PMI 2025 weist für italienische KMU einen durchschnittlichen Cyber-Reifegrad von 55 von 100 aus – unter der Schwelle von 60, die als ausreichend gilt. Diese sechs Schritte genügen bereits, um sie zu überschreiten.

Wenn Sie eine Analyse Ihrer aktuellen Situation wünschen – VPN, Zugänge, Geräte – schreiben Sie uns. Wir arbeiten mit KMU in Südtirol und im übrigen Italien: Wir starten immer mit dem, was bereits vorhanden ist – nicht mit einer Einkaufsliste.

Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen auf Basis öffentlicher Quellen erstellt und von unserem Team überprüft. Er stellt keine professionelle Beratung dar: Für die konkrete Bewertung Ihres Unternehmens sprechen Sie mit uns.