Remote-Work-Sicherheit fuer kleine Unternehmen in Berlin: Verteilte Teams ohne VPN absichern

Der Wandel zu hybrider und vollstaendig remote Arbeit hat den KMU-Sicherheitsperimeter dauerhaft veraendert — oder genauer: er hat ihn eliminiert. Wenn Ihre Mitarbeiter von Heimnetzwerken, Cafes, Co-Working-Spaces und Hotel-WLAN aus arbeiten, ist das traditionelle Modell „Vertrauen im Netzwerk, Misstrauen ausserhalb“ nicht nur unwirksam, sondern aktiv irrefuehrend.

Berliner Kleinunternehmen mit verteilten Teams stehen vor einer spezifischen Herausforderung: Viele verlassen sich auf VPNs als Sicherheitsersatz — in der Annahme, dass Remote-Nutzer, die sich durch ein VPN tunneln, „innerhalb“ des sicheren Perimeters sind. Das ist eine falsche Sicherheit. Ein VPN authentifiziert den Netzwerkzugang. Es verifiziert nicht den Geraetezustand, erzwingt keine Conditional-Access-Richtlinien und verhindert keine laterale Bewegung, wenn das Geraet eines Nutzers bereits infiziert ist.

Dieser Leitfaden erklaert die technischen Kontrollen, die die Remote-Arbeit fuer ein KMU tatsaechlich absichern — ohne den Betriebsaufwand einer traditionellen VPN-Infrastruktur.

Warum VPN keine Remote-Work-Sicherheitsstrategie ist

VPNs wurden entwickelt, um Remote-Nutzern korporative Netzwerkkonnektivitaet bereitzustellen — nicht um sie zu sichern. Das kernarchitektonische Problem: Sobald sich ein VPN-Client authentifiziert (typischerweise nur mit Nutzername und Passwort), erhaelt das Remote-Geraet vollstaendigen Netzwerkzugang zu allem im Unternehmensnetzwerk — gleichwertig mit physischer Praesenz im Buero.

Fuer ein Berliner KMU mit einem kleinen On-Premise-Netzwerk und vorwiegend cloudbasierten Workloads ergeben sich zwei spezifische Risiken: Erstens hat ein infiziertes Remote-Geraet, das sich ueber VPN authentifiziert, ungehinderten Zugang zum internen Netzwerk. Zweitens erfordert der VPN-Betrieb Infrastruktur — einen VPN-Konzentrator, Zertifikate, Konfigurationsmanagement — was Betriebsaufwand und Angriffsoberflaeche einfuehrt. Ein fehlkonfigurierter VPN-Endpunkt war historisch gesehen einer der am haeufigsten ausgenutzten Vektoren bei KMU-Ransomware-Vorfaellen.

Die fuenf Remote-Work-Sicherheitskontrollen, die zaehlen

1. MFA auf allen Konten — ohne Ausnahme. Remote-Arbeit macht Passwort-Kompromittierung dramatisch wahrscheinlicher: Heimnetzwerke mit schwachen WLAN-Passwoertern, oeffentliches WLAN-Credential-Sniffing, Schulter-Surfen in Co-Working-Spaces und Phishing auf privaten Geraeten sind alles Angriffsvektoren, die in einer Bueroumgebung weitgehend fehlen. MFA eliminiert das Risiko, dass nur die Anmeldedaten fuer den Zugriff ausreichen. Aktivieren Sie Sicherheitsstandards in Entra ID oder implementieren Sie Conditional-Access-Richtlinien, die MFA fuer alle Cloud-Anwendungen erfordern.

2. Geraete-Compliance als Zugangskontrolle. Nicht jeder Heimcomputer sollte auf das Unternehmens-SharePoint zugreifen koennen. Intune-Compliance-Richtlinien — Defender-Schutz aktiv, BitLocker aktiviert, OS-Patches aktuell — kombiniert mit Conditional Access „konformes Geraet erforderlich“ schafft eine technische Kontrolle, die den Zugriff von nicht verwalteten oder kompromittierten Geraeten verhindert, unabhaengig davon, ob die Anmeldedaten gueltig sind. Dies ist die Zero-Trust-Fernzugangskontrolle, die das VPN-Netzwerk-Gating ersetzt.

3. Entra ID Application Proxy fuer On-Premise-Ressourcen. Fuer Organisationen mit On-Premise-Ressourcen, auf die Remote-Nutzer zugreifen muessen (interne Webanwendungen, alte LOB-Anwendungen, die nicht in die Cloud migriert werden koennen), bietet Entra ID Application Proxy einen VPN-freien Fernzugangsmechanismus. Der Connector laeuft On-Premise, nur ausgehende Verbindungen — keine eingehenden Firewall-Regeln, kein VPN-Konzentrator zu warten. Der Zugriff wird durch Conditional-Access-Richtlinien statt durch Netzwerk-Routing gesteuert.

4. Microsoft Defender for Endpoint auf allen verwalteten Geraeten. Heimbuero-Geraete sind einer risikoreichereren Umgebung ausgesetzt: gemeinsam genutzte Netzwerke mit potenziell kompromittierten IoT-Geraeten, uneingeschraenktes Surfen im Internet auf demselben Geraet, das fuer die Arbeit genutzt wird, und Familienmitglieder, die das Geraet nutzen. Defender for Endpoint (in M365 Business Premium enthalten) bietet EDR mit cloudbasierter Bedrohungsintelligenz und automatisierter Untersuchung und Behebung.

5. Conditional-Access-Standort- und Geraeterichtlinien. Konfigurieren Sie Conditional Access um: den Zugriff aus Laendern zu blockieren, in denen Ihr Unternehmen keine Mitarbeiter hat; MFA-Neuauthentifizierung nach definierten Leerlaufzeiten zu erfordern; den Zugriff von anonymen Proxy-Diensten und Tor-Exit-Knoten zu blockieren; bestimmte sensible Operationen auf verwaltete Geraete zu beschraenken.

BYOD vs. firmenbereitgestellte Geraete

Fuer Berliner KMU, die entscheiden, ob Mitarbeiter private Geraete (BYOD) fuer die Arbeit nutzen duerfen, ist die Sicherheitsbilanz eindeutig: Firmenbereitgestellte, Intune-verwaltete, per Autopilot enrollte Geraete sind deutlich sicherer als BYOD-Loesungen. Die spezifischen Risiken bei BYOD umfassen: Unmoeglichkeit, vollstaendige Festplattenverschluesselung auf der Arbeitspartition durchzusetzen, Unmoeglichkeit, Unternehmensdaten unabhaengig von persoenlichen Daten remote zu loeschen ohne BYOD-MDM-Tools, keine Sichtbarkeit in auf dem Geraet installierte Software, und die rechtliche Komplexitaet von Unternehmensdaten auf privaten Geraeten nach deutschem Arbeitsrecht.

Wenn BYOD operativ notwendig ist, setzen Sie Intune im MAM-Modus (Mobile Application Management) ohne Enrollment ein, der Kontrollen auf Anwendungsebene erzwingt (App-PIN, Datenverschluesselung, selektives Loeschen von Unternehmensdaten) ohne vollstaendige Geraeteverwaltung.

Ueberwachung von Remote-Work-Sicherheitsereignissen

Etablieren Sie eine minimale Monitoring-Baseline fuer Remote-Work-Umgebungen: Entra-ID-Anmeldewarnungen fuer unmoeglich Reisen (Nutzer meldet sich aus Berlin an, dann 30 Minuten spaeter aus Singapur — ein klares Zeichen fuer Credential-Kompromittierung), Warnungen fuer Anmeldungen von neuen Geraeten, die bisher nicht auf dem Konto gesehen wurden, und woechentliche Ueberpruefung von Defender-for-Endpoint-Warnungen fuer verwaltete Remote-Geraete.