· Ratgeber  · 4 Min. Lesezeit

Zero Trust für KMU: Fernzugriff neu gedacht mit WireGuard, Tailscale und Headscale

Das klassische Firmen-VPN macht jeden, der drin ist, zum Insider. Wie moderner Fernzugriff mit WireGuard funktioniert und wann Tailscale oder das selbst gehostete Headscale die bessere Wahl ist.

Das klassische Firmen-VPN macht jeden, der drin ist, zum Insider. Wie moderner Fernzugriff mit WireGuard funktioniert und wann Tailscale oder das selbst gehostete Headscale die bessere Wahl ist.

Homeoffice, ein zweiter Standort, der Wartungszugang für den Gerätehersteller, das eigene Monitoring: Kaum ein Betrieb kommt heute ohne Fernzugriffe aus. Gelöst wird das meist mit dem klassischen Firmen-VPN, und genau da liegt das Problem: Wer einmal im VPN ist, ist drin. Ein kompromittiertes Notebook im Homeoffice hängt damit im selben Netz wie der Server mit den sensiblen Daten.

Was „Zero Trust” wirklich bedeutet (und was nicht)

Zero Trust ist kein Produkt, das man kauft, sondern ein Prinzip: Vertraue keinem Gerät und keinem Nutzer, nur weil sie im „richtigen” Netz hängen. Jeder Zugriff wird anhand von Identität und Gerät entschieden, und zwar nur auf das, was wirklich gebraucht wird, statt auf das ganze Netz.

Ehrlicherweise: Die großen Zero-Trust-Suiten der Enterprise-Welt sind für einen Betrieb mit zehn oder zwanzig Arbeitsplätzen Overkill. Aber der Kerngedanke lässt sich mit überschaubaren, quelloffenen Werkzeugen sehr gut umsetzen. Die Basis dafür ist heute fast immer WireGuard, ein modernes, schlankes VPN-Protokoll, das schneller und deutlich einfacher zu betreiben ist als die klassischen Alternativen.

Stufe 1: WireGuard klassisch, z. B. auf der OPNsense

Für die feste Kopplung von Standorten oder wenige Homeoffice-Zugänge reicht oft klassisches WireGuard, direkt auf der OPNsense-Firewall eingerichtet: Standort A spricht verschlüsselt mit Standort B, die Firewall-Regeln bestimmen, welche Systeme überhaupt erreichbar sind.

So binde ich zum Beispiel auch entfernte Installationen an ein zentrales Monitoring an: Der Tunnel transportiert genau den Monitoring-Verkehr, sonst nichts. Das ist bereits gelebtes Least-Privilege-Prinzip, ganz ohne Buzzword.

Die Grenze dieser Stufe: Mit jedem weiteren Gerät und jedem weiteren Standort wächst die Zahl der Tunnel und Regeln, und die Pflege wird kleinteilig.

Stufe 2: Tailscale, das Mesh-VPN für den Komfort

Tailscale setzt auf WireGuard auf und löst genau dieses Skalierungsproblem: Jedes Gerät bekommt eine Identität, meldet sich über Ihren bestehenden Login an (inklusive Multi-Faktor-Authentisierung), und die Geräte verbinden sich direkt miteinander, egal ob im Büro, im Homeoffice oder unterwegs. Wer worauf zugreifen darf, regeln zentrale Zugriffsregeln (ACLs) pro Nutzer und Dienst, nicht pro Netzwerk.

Das ist dem klassischen VPN in Komfort und Sicherheitsmodell klar überlegen. Der ehrliche Haken für alle, denen Datenhoheit wichtig ist: Der Koordinationsdienst läuft als Cloud-Dienst beim Anbieter. Die Nutzdaten fließen zwar direkt und Ende-zu-Ende verschlüsselt zwischen Ihren Geräten, aber die Steuerung, also wer zu welchem Netz gehört und welche Regeln gelten, liegt außerhalb Ihres Hauses.

Stufe 3: Headscale, dieselbe Idee, selbst gehostet

Genau hier setzt Headscale an: eine quelloffene, selbst betreibbare Implementierung dieses Koordinationsdienstes. Die Tailscale-Apps auf den Geräten bleiben, aber die Steuerzentrale läuft auf Ihrem eigenen Server, on-premise oder auf EU-Infrastruktur. Für Betriebe, die konsequent auf Datenhoheit setzen, ist das die stimmige Variante, und sie passt exakt zu dem Prinzip, nach dem ich auch Private-Cloud-Umgebungen aufbaue: offene Software, Kontrolle bei Ihnen.

Auch hier gehört die ehrliche Einordnung dazu: Headscale ist ein Community-Projekt, kein offizielles Produkt des Tailscale-Herstellers. Es deckt die Kernfunktionen zuverlässig ab, will aber wie jede selbst gehostete Komponente gepflegt, aktualisiert und überwacht werden. Das ist kein Nachteil, es ist die übliche Wahl: Komfort beim Anbieter oder Kontrolle im eigenen Haus.

Was davon passt zu wem?

  • Zwei Standorte, wenige Fernzugriffe: klassisches WireGuard auf der Firewall. Robust, sparsam, bewährt.
  • Verteiltes Team, viele Geräte, wenig Betriebsaufwand gewünscht: Tailscale, mit sauber gepflegten Zugriffsregeln und MFA.
  • Datenhoheit als Grundsatz, eigene Infrastruktur vorhanden: Headscale, betreut und überwacht wie jeder andere Dienst.

Wichtig in jedem Fall: Der Fernzugriff ersetzt nicht die Netztrennung im Haus. Gäste-WLAN, Behandlung/Produktion und Verwaltung gehören weiterhin in getrennte Segmente, für Praxen ist das ohnehin Teil der §390-Pflichten. Zero Trust ergänzt die Segmentierung, es schafft sie nicht ab.

Mein Fazit

Der Umstieg vom flachen Firmen-VPN auf identitätsbasierte Zugriffe ist eine der wirkungsvollsten Sicherheitsverbesserungen, die ein kleiner Betrieb machen kann, und dank WireGuard, Tailscale und Headscale ist er heute ohne Enterprise-Budget erreichbar. Welcher Weg passt, hängt von Teamgröße, Infrastruktur und Ihrem Anspruch an Datenhoheit ab.

Fernzugriffe aufräumen? Im kostenlosen Erstgespräch schauen wir uns an, wer heute wie auf Ihre Systeme zugreift und welche der drei Stufen zu Ihnen passt: Kontakt aufnehmen.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber