Cloud & Infrastruktur

Modern Work ohne VPN: Wie kleine Betriebe sicher von überall arbeiten

5 Min. Lesezeit

VPN über die Fritzbox ist langsam und umständlich. Port-Forwarding auf RDP ist gefährlich. Zero Trust mit Microsoft Private Access ist die moderne Lösung – auch für Handwerker und kleine Betriebe in Freising und Pfaffenhofen bezahlbar.

Viele kleine Betriebe in Freising, Pfaffenhofen und dem Ampertal haben inzwischen Mitarbeiter, die von unterwegs oder von zuhause arbeiten. Monteure brauchen Zugriff auf die Kundendatenbank von der Baustelle. Der Buchhalter arbeitet zwei Tage pro Woche im Homeoffice. Der Chef will abends vom Sofa aus Angebote schreiben.

Die üblichen Lösungen dafür sind entweder unsicher oder unpraktisch.

Was die meisten heute machen

Variante 1: VPN über die Fritzbox

Die Fritzbox kann VPN. Klingt praktisch, ist aber langsam und umständlich. Jeder Mitarbeiter braucht eine VPN-Konfigurationsdatei, die du manuell verteilen musst. Bei jedem neuen Gerät wieder von vorne. Die VPN-Verbindung muss vor jedem Zugriff manuell gestartet werden. Und wenn die Internetleitung im Büro mal lahmt, lahmt auch das VPN.

Variante 2: Port-Forwarding auf Remote Desktop

Manche Betriebe machen die Büro-PCs oder den Server direkt per Remote Desktop (RDP) erreichbar – Port 3389 in der Fritzbox freigegeben, fertig. Das ist massiv unsicher. RDP-Ports werden permanent von Bots gescannt. Wenn das Passwort nicht extrem stark ist, bist du in Stunden gehackt.

Zero Trust: Der moderne Ansatz

Zero Trust bedeutet: Nichts wird automatisch vertraut. Jeder Zugriff wird geprüft – egal ob von intern oder extern.

Konkret:

  • Niemand kommt rein, nur weil er im VPN ist
  • Jedes Gerät muss bekannt und sicher sein
  • Jeder Nutzer muss sich authentifizieren (MFA)
  • Zugriff wird pro Ressource geprüft (nicht pauschal aufs ganze Netz)

Mit klassischem VPN bist du entweder drin oder draußen. Mit Zero Trust wird bei jedem Zugriff geprüft: Wer bist du, wo bist du, welches Gerät nutzt du, auf was willst du zugreifen.

Microsoft Private Access

Microsoft Private Access ist Microsofts Zero Trust-Lösung für den Zugriff auf interne Ressourcen. Funktioniert ohne klassisches VPN, ist schneller und sicherer.

Wie das funktioniert:

  • Der Nutzer installiert eine kleine App (Microsoft Global Secure Access Client)
  • Die App verbindet sich automatisch mit Microsofts Cloud-Netzwerk
  • Du definierst, welche Ressourcen erreichbar sein sollen (z.B. Server im Büro, Azure-VM, interne Webseite)
  • Zugriff wird per Conditional Access gesteuert (Gerät, Standort, MFA)

Der Nutzer merkt davon nichts. Er öffnet einfach die Software oder die Datei, und der Zugriff läuft automatisch über die gesicherte Verbindung.

Kein VPN-Button mehr

Mit Private Access gibt es keinen VPN-Button mehr. Die Verbindung steht immer, wenn das Gerät online ist. Der Nutzer greift einfach auf \\server\daten oder crm.firma.local zu, und es funktioniert. Egal ob im Büro, zuhause oder auf der Baustelle in Pfaffenhofen.

Funktioniert für lokale Server und Cloud

Private Access funktioniert sowohl für Server im Büro als auch für virtuelle Maschinen in Azure.

Szenario 1: Du hast einen Server im Büro mit Branchensoftware. Der Server bekommt einen kleinen Connector installiert (5 Minuten Aufwand), und schon ist er über Private Access erreichbar – aber nur für autorisierte Geräte.

Szenario 2: Deine Software läuft auf einer Azure-VM. Private Access verbindet die Mitarbeiter direkt mit der VM, ohne dass du Ports freischalten oder VPN konfigurieren musst.

Conditional Access regelt den Zugriff

Mit Conditional Access legst du fest, wer von wo auf was zugreifen darf.

Beispiele:

  • Zugriff auf den Buchhaltungsordner nur von verwalteten Geräten
  • Login auf CRM-System nur aus Deutschland
  • Zugriff auf sensible Daten nur mit MFA
  • Login von unbekanntem Gerät wird blockiert

Diese Regeln greifen automatisch. Wenn ein Mitarbeiter sein privates Handy nutzt (nicht in Intune verwaltet), kommt er nicht auf die Kundendatenbank. Wenn jemand aus dem Ausland zugreifen will, wird der Login blockiert oder es wird eine zusätzliche Bestätigung verlangt.

Intune sorgt für sichere Geräte

Damit Zero Trust funktioniert, müssen die Geräte verwaltet sein. Mit Intune rollst du alle Firmengeräte (Windows, Mac, iPhone, Android) aus und stellst sicher, dass sie die Security-Standards erfüllen.

Was Intune prüft:

  • Ist ein PIN/Passwort gesetzt?
  • Ist das Betriebssystem aktuell?
  • Läuft der Defender?
  • Ist die Festplatte verschlüsselt?

Wenn ein Gerät die Anforderungen nicht erfüllt, wird der Zugriff verweigert. Automatisch.

Praktische Anwendungsfälle

Handwerksbetrieb mit 10 Leuten

Die Kundendatenbank und Materialverwaltung laufen auf einem Server im Büro. Drei Monteure sind täglich unterwegs, brauchen aber Zugriff auf Kundendaten und Materiallisten.

Lösung: Server bekommt Private Access Connector. Monteure nutzen ihre Firmenlaptops (in Intune verwaltet). Zugriff auf Server läuft automatisch über Private Access. Conditional Access: Nur verwaltete Geräte + nur deutsche IPs.

Ingenieurbüro mit Teilzeit-Homeoffice

Fünf Mitarbeiter, drei davon zwei Tage pro Woche im Homeoffice. CAD-Software läuft auf Azure-VM, weil die lokalen PCs zu schwach sind.

Lösung: Azure-VM ist per Private Access erreichbar. Conditional Access: Login nur mit MFA + nur von verwalteten Geräten. Die Mitarbeiter arbeiten remote auf der VM, als würden sie im Büro sitzen. Keine Verzögerung, keine VPN-Probleme.

Geschäftsführer mit mobilem Zugriff

Der Chef will auch abends oder am Wochenende auf E-Mails, Buchhaltung und Angebote zugreifen – vom Tablet oder Handy.

Lösung: Tablet und Handy in Intune verwalten. Private Access gibt Zugriff auf interne Ressourcen. Conditional Access sorgt dafür, dass nur bekannte Geräte mit MFA zugreifen können.

Warum das früher nur Konzerne hatten

Zero Trust war lange eine Enterprise-Geschichte. Vor 5 Jahren hättest du dafür gebraucht:

  • Spezielle Netzwerk-Hardware (z.B. Palo Alto, Cisco)
  • Identity Management (z.B. Okta, Ping Identity)
  • Endpoint Management (z.B. VMware Workspace ONE)
  • SIEM für Logging (z.B. Splunk)

Kosten damals: 50.000€+ Erstinvestment, 10.000-20.000€ jährlich für Lizenzen, mindestens einen Vollzeit-Admin.

Heute: Microsoft Private Access ist in bestimmten Microsoft-365-Lizenzen enthalten (E5, Business Premium + Add-on). Kosten: etwa 25-30€ pro Nutzer/Monat für das Gesamtpaket. Kein Admin nötig, Konfiguration in ein paar Stunden erledigt.

Was du dafür brauchst

Lizenzen:

  • Microsoft 365 E5 oder Business Premium mit Security Add-on
  • Azure AD Premium P1 (oft schon in M365-Lizenzen enthalten)

Hardware:

  • Bei lokalem Server: Private Access Connector (läuft auf Windows Server oder kleiner VM)
  • Bei Azure-VM: Nichts, funktioniert direkt

Setup-Zeit:

  • Private Access einrichten: 1-2 Stunden
  • Conditional Access Policies: 1-2 Stunden
  • Intune Rollout: 1-2 Tage (je nach Anzahl Geräte)

Was ich anbiete

Ich richte dir Private Access und Zero Trust auf Basis deiner vorhandenen Infrastruktur ein.

Ablauf:

  1. Check: Was hast du (lokaler Server, Azure-VM, welche Software)?
  2. Lizenzcheck: Hast du die nötigen M365-Lizenzen oder braucht's ein Upgrade?
  3. Setup: Private Access, Conditional Access, Intune
  4. Rollout: Geräte einbinden, Nutzer schulen
  5. Dokumentation: Du bekommst eine Übersicht, wie alles konfiguriert ist

Die Erstberatung ist kostenlos. Ich schaue mir an, was bei dir läuft und ob Zero Trust mit Private Access für deinen Betrieb passt. In Freising, Pfaffenhofen und dem Ampertal komme ich vorbei.

Kontakt: Hier Termin vereinbaren – ich melde mich innerhalb von 24 Stunden.

Über den Autor

Manuel Hilgert ist IT-Administrator und unterstützt kleine Unternehmen in Freising, Pfaffenhofen und dem Ampertal bei Cloud-Migration, IT-Security und Infrastruktur-Modernisierung.

Kontakt aufnehmen →
Zurück zur Blog-Übersicht

Bereit für Enterprise-Security?

Lass uns deine IT-Infrastruktur auf das nächste Level bringen. Kostenlose Erstberatung ohne Verpflichtung.

Jetzt Beratung buchen