Homeoffice ist für viele KMU inzwischen Normalität. Die technische Umsetzung hinkt dabei in vielen Betrieben noch hinterher. Nicht weil es kompliziert wäre, sondern weil in der Anfangszeit schnell und pragmatisch entschieden wurde: VPN einrichten, fertig. Oder gar kein VPN, weil es sowieso alles über E-Mail läuft.
Das Problem ist nicht, dass diese Lösungen nicht funktionieren. Das Problem ist, dass sie an der Sicherheit vorbeigehen. Ein schlecht konfiguriertes VPN, private Geräte ohne Unternehmensschutz und fehlende Multi-Faktor-Authentifizierung sind drei der häufigsten Einstiegspunkte für Angriffe auf KMU.
Dieser Artikel erklärt, worauf es bei der sicheren Homeoffice-Anbindung ankommt und welche Optionen für kleine und mittlere Betriebe tatsächlich praktikabel sind.
Was bei Remote-Arbeit schief gehen kann
Die Risiken bei Remote-Arbeit sind keine abstrakten Szenarien. Sie passieren.
Kompromittierte Zugangsdaten. Wenn ein Mitarbeiter sein Firmen-E-Mail-Passwort auch für private Dienste nutzt, und einer dieser Dienste wird gehackt, landen die Zugangsdaten in Kriminellen-Datenbanken. Diese Daten werden automatisiert gegen bekannte Firmenzugänge geprüft. Ohne MFA genügt ein gestohlenes Passwort, um Zugang zum Firmennetz zu bekommen.
Unsichere Heimnetzwerke. Das Heimnetz eines Mitarbeiters hat typischerweise kein professionelles Sicherheitsniveau. Veraltete Router, kein Netzwerk-Monitoring, manchmal geteiltes WLAN mit Gästen oder anderen Geräten. Was aus dem Firmennetz heraus isoliert wäre, ist vom Heimnetz erreichbar.
Private Geräte mit Firmen-Daten. Wenn Mitarbeiter ihre privaten Notebooks oder Smartphones für Firmenzwecke nutzen, vermischen sich Firmendaten mit privater Nutzung. Kein Unternehmens-Patch-Management, kein zentral gemanagter Virenschutz, keine Verschlüsselung des Geräts.
Fehlende Sichtbarkeit auf IT-Seite. Im Büro hat das IT-Monitoring einen Überblick über alle Geräte im Netz. Im Homeoffice nicht. Wenn ein Gerät kompromittiert ist, bemerkt das im schlechtesten Fall niemand, bis der Schaden eingetreten ist.
VPN: Was es leistet und wo es an Grenzen stößt
Ein VPN (Virtual Private Network) schafft eine verschlüsselte Verbindung vom Heimgerät in das Firmennetz. Das Gerät verhält sich so, als wäre es physisch im Büro eingesteckt. Auf lokale Ressourcen wie Dateiserver, Branchensoftware oder Drucker kann zugegriffen werden.
Das ist die klassische Lösung, die in vielen KMU seit Jahren läuft. Für bestimmte Szenarien ist sie weiterhin sinnvoll.
Die Nachteile sind struktureller Natur. Ein VPN überprüft beim Login, wer sich verbindet. Danach ist das Gerät aber im Netz, mit allem, was das Netz bietet. Wenn das Gerät kompromittiert ist oder der Nutzer mehr Rechte hat als nötig, ist der Schaden nach einem Angriff groß. Ein Angreifer, der einen VPN-Zugang übernimmt, ist im gesamten Firmennetz.
Außerdem: VPN schützt nicht vor dem Gerät selbst. Wenn das Heimgerät mit Schadsoftware infiziert ist, tunnelt diese auch durch das VPN ins Firmennetz.
Für KMU, die auf lokale Server und Anwendungen angewiesen sind, bleibt VPN oft die pragmatischste Lösung. Wichtig dabei: Split Tunneling richtig konfigurieren (nur der Firmennetz-Traffic geht durch das VPN, nicht der gesamte Internetverkehr), MFA für den VPN-Zugang aktivieren und Zugriff auf das Nötigste beschränken.
Zero Trust: Das Prinzip dahinter
Zero Trust ist kein Produkt, sondern ein Sicherheitsprinzip. Es lautet: kein Gerät, kein Nutzer und keine Anwendung wird automatisch als vertrauenswürdig eingestuft, auch nicht innerhalb des Firmennetzes.
Statt einer Firewall, die alles außen hält und alles innen durchlässt, wird jeder Zugriff auf jede Ressource einzeln geprüft. Wer ist das, welches Gerät nutzt er, von wo kommt die Verbindung, ist das Gerät aktuell gepatcht, hat der Nutzer die Berechtigung für genau diese Ressource?
Für KMU klingt das nach Enterprise-IT. In der Praxis setzen viele das schon teilweise um, ohne es so zu nennen. Wenn Microsoft 365 mit Conditional Access eingerichtet ist, also Zugriff auf Firmen-E-Mails nur von bekannten, ins MDM eingebundenen Geräten erlaubt, ist das ein Zero-Trust-Element.
Vollständige Zero-Trust-Architekturen sind aufwändig und eher für größere Unternehmen relevant. Für KMU sind die folgenden Zero-Trust-Elemente praktikabel und wirkungsvoll: MFA für alle Zugänge, Conditional Access in Microsoft 365, Gerätemanagement über Intune oder ein vergleichbares MDM und klare Berechtigungsstrukturen.
Firmengeräte oder private Geräte?
Das ist für viele KMU keine rein technische Frage, sondern auch eine des Budgets. Firmengeräte kosten Geld, private Geräte nicht, zumindest nicht direkt.
Die Sicherheitskonsequenzen sind aber erheblich.
Firmengeräte können zentral verwaltet werden. Patches werden automatisch eingespielt. Verschlüsselung kann erzwungen werden. Bei Verlust oder Diebstahl kann das Gerät per MDM aus der Ferne gesperrt oder gelöscht werden. Sicherheitsrichtlinien gelten durchgängig.
Private Geräte (Bring Your Own Device, BYOD) sind flexibel, aber unkontrolliert. Der Betrieb hat keine Garantie, dass das Gerät aktuell gepatcht ist. Firmen- und Privatdaten vermischen sich. Wenn ein Mitarbeiter das Unternehmen verlässt, kann nicht sichergestellt werden, dass Firmendaten gelöscht werden.
Wer BYOD erlaubt, sollte das mit klaren Regeln verbinden: MDM für den Zugriff auf Firmendaten zwingend, MFA Pflicht, klare Richtlinie welche Daten auf privaten Geräten verarbeitet werden dürfen, und eine schriftliche Vereinbarung mit dem Mitarbeiter.
Die ehrliche Empfehlung: Firmengeräte für alle, die regelmäßig mit sensiblen Firmendaten arbeiten. Der Mehraufwand zahlt sich im Schadensfall aus.
Multi-Faktor-Authentifizierung ist Pflicht
Wenn es eine Maßnahme gibt, die für jedes KMU sofort umsetzbar ist und den größten Sicherheitsgewinn bringt, dann ist es MFA.
MFA bedeutet: Neben Passwort und Nutzername ist ein zweiter Faktor nötig, typischerweise ein Code aus einer Authenticator-App auf dem Smartphone. Selbst wenn das Passwort gestohlen wurde, kann sich ein Angreifer ohne das Smartphone nicht einloggen.
Für Microsoft-365-Nutzer ist MFA über Conditional Access einzurichten, ohne Mehrkosten. Die Mitarbeiter nutzen die Microsoft Authenticator-App. Einrichtungsaufwand für ein kleines Team: wenige Stunden.
MFA sollte für alle externen Zugänge aktiviert sein: E-Mail, VPN, Cloud-Dienste, Remotezugang. Das ist keine Option, sondern inzwischen die Mindestanforderung für jede verantwortungsvolle IT-Sicherheit.
M365 und SharePoint statt VPN-Fileserver
Viele KMU nutzen ein VPN vor allem für einen einzigen Zweck: Zugriff auf den lokalen Dateiserver im Büro. Ein Laufwerk, das über VPN eingebunden wird, auf dem Dateien liegen, die man auch von zuhause braucht.
Das ist der typische Fall, bei dem eine Umstellung auf Microsoft 365 mit SharePoint oder OneDrive for Business das VPN für diesen Zweck überflüssig machen kann. Dateien liegen in der Cloud, sind von überall erreichbar, ohne VPN, mit den Sicherheitsmechanismen von M365 (MFA, Conditional Access, Verschlüsselung in Transit und at Rest).
Der Vorteil ist nicht nur Sicherheit. Kollaboration an Dokumenten wird einfacher, Versionierung läuft automatisch und der lokale Dateiserver entfällt als Wartungspunkt.
Voraussetzungen für die Umstellung: eine klare Berechtigungsstruktur in SharePoint, eine Migration der bestehenden Dateistruktur und Schulung der Mitarbeiter. Das ist Projektarbeit, kein Selbstläufer. Aber es ist ein einmaliger Aufwand, der langfristig weniger Verwaltung bedeutet.
| VPN auf lokalen Dateiserver | SharePoint / OneDrive via M365 |
|---|---|
Pro
| Pro
|
Contra
| Contra
|
Homeoffice-Richtlinie: Was geregelt sein muss
Technik allein reicht nicht. Wer Homeoffice erlaubt, braucht eine schriftliche Regelung, was erlaubt ist und was nicht. Keine 20-seitige Richtlinie, aber klare Aussagen zu diesen Punkten:
Zugelassene Geräte. Dürfen private Geräte genutzt werden? Wenn ja: unter welchen Bedingungen? MDM-Pflicht, MFA-Pflicht?
Zulässige Speicherorte. Wo dürfen Firmendaten liegen? Nicht auf privaten Cloud-Accounts. Nicht auf privaten Festplatten. Nur auf freigegebenen Firmen-Plattformen.
Netzwerksicherheit. Offene öffentliche WLANs (Café, Bahn, Hotel) ohne VPN sind tabu für Firmenzugang. Das muss klar und verständlich kommuniziert sein.
Meldepflicht bei Vorfällen. Was passiert, wenn ein Gerät verloren geht oder der Mitarbeiter verdächtige Aktivitäten bemerkt? Wer wird informiert, wie schnell?
Physische Sicherheit. Bildschirm sperren, wenn man den Arbeitsplatz verlässt. Vertrauliche Dokumente nicht sichtbar lassen. Im Homeoffice gelten dieselben Grundregeln wie im Büro.
Wenn Sie wissen wollen, ob Ihr Homeoffice-Setup sicher genug ist oder wo die größten Lücken sind, sprechen Sie uns an. Eine Stunde Erstgespräch reicht für eine erste Einschätzung.
Häufige Fragen
Verwandte Themen
- SpezialfälleE-Mail-Sicherheit: SPF, DKIM und DMARC verständlich erklärt
Was SPF, DKIM und DMARC tun, wie sie CEO-Fraud und Spoofing verhindern, und warum fehlende DNS-Einträge Ihre E-Mails im Spam-Ordner landen lassen.
- SpezialfälleFirewall und Netzwerksicherheit für KMU
Was eine moderne Firewall leistet, warum der Router vom Provider nicht reicht, und wie ein sicheres KMU-Netz mit Segmentierung, VPN und Monitoring aufgebaut ist.
- SpezialfälleMicrosoft Copilot 2026: Was er heute kann und warum er früher schwach war
Copilot hat sich seit dem Start stark verändert. Was er 2026 in Word, Excel, Outlook und Teams leistet, wo er immer noch Grenzen hat und wann er sich für KMU rechnet.