„Wie erreiche ich die Firmensysteme von außen?“ hatte zwanzig Jahre lang eine einzige Antwort: das VPN. Heute lautet die bessere Antwort für viele Unternehmen anders: ein Overlay-Netzwerk— ein verschlüsseltes Netzwerk, das über dem Internet liegt und Benutzer, Server, Standorte und Appliances über direkte Tunnel verbindet, ohne etwas zu exponieren. Die zugrunde liegende Technologie heißt WireGuard, ist Open Source und seit 2020 Teil des Linux-Kernels. Schauen wir uns an, wie sie funktioniert, was sich gegenüber dem VPN ändert — und welche Frage, die fast immer übersprungen wird, vor der Wahl eines solchen Dienstes zu stellen ist.
Das VPN gewährt Zugriff auf das Netzwerk. Genau das ist das Problem
Ein klassisches VPN tut genau das, was es verspricht: Es bringt das entfernte Gerät indas Unternehmensnetzwerk. Das Problem ist: Es tut das wirklich. Gestohlene Anmeldedaten oder ein kompromittiertes Notebook öffnen keine Tür — sie öffnen das Gebäude, mit der Möglichkeit, sich lateral zu Dateiservern, Fachanwendungen und Backups zu bewegen. Nicht zufällig gelangt Ransomware oft über einen legitimen Fernzugang ins Unternehmen.
Dazu kommt ein zweites, leiseres Problem: Der VPN-Konzentrator ist ein im Internet exponierter Dienst. Er muss diszipliniert gepatcht werden, und kritische Schwachstellen in VPN-Gateways und Fernzugriffs-Appliances sind inzwischen Dauergäste in den Bulletins der Sicherheitsbehörden — wer eine Firewall mit veröffentlichtem VPN betreibt, weiß, wie oft die Meldung „sofort aktualisieren“ eintrifft. Jeder Port, der im Internet lauscht, ist Angriffsfläche, die früher oder später jemand ausprobiert.
Wie ein Overlay-Netzwerk funktioniert
Ein Overlay-Netzwerk dreht das Modell um. Auf jedem Gerät — Notebook, Server, virtuelle Maschine, Appliance — läuft ein leichter Agent, der Punkt-zu-Punkt-verschlüsselte WireGuard-Tunnelzu den anderen autorisierten Geräten aufbaut. Die Verbindungen sind ausgehend: keine offenen Ports, kein Port-Forwarding, und die Tunnel durchqueren NATs von selbst; nur wenn eine direkte Verbindung unmöglich ist, läuft der Verkehr über ein Relay, das ausschließlich verschlüsselte Pakete sieht. WireGuard ist der Grund, warum all das zuverlässig ist: rund 4.000 Zeilen Code gegenüber den Hunderttausenden traditioneller VPN-Stacks, moderne Kryptographie, und seit Release 5.6 im Jahr 2020 Teil des Linux-Kernels.
Über den Tunneln sitzt das Stück, das alles entscheidet: die Control Plane. Sie ist das Gehirn des Netzwerks: Sie authentifiziert die Geräte (typischerweise per SSO über die Unternehmensidentität), verteilt die Schlüssel und setzt die Zugriffsrichtlinien durch — wer mit wem kommunizieren darf, auf welchen Ports. Es lohnt sich, präzise zu sein, was sie sieht und was nicht:
| Die Control Plane | Detail |
|---|---|
| Sieht nicht | Den Inhalt des Datenverkehrs: Er läuft Ende-zu-Ende verschlüsselt direkt zwischen den Geräten, auch wenn er ein Relay passiert. |
| Sieht — und steuert | Das Geräteinventar und die Identitäten, die öffentlichen Schlüssel, die Zugriffsrichtlinien (wer was erreichen darf), die Netzwerktopologie, die Verbindungsereignisse. |
Mit anderen Worten: Die Control Plane liest Ihre Dateien nicht, aber sie kennt die vollständige Karte, wie Ihr Unternehmen verbunden ist— und hat die Macht, sie zu ändern. Sie ist ein kritischer Asset im selben Sinne wie der Netzwerk-Controller: Die richtige Frage ist nicht nur „welche Funktionen hat sie“, sondern „wo läuft sie, und wer verantwortet sie“.
Die Frage, die fast niemand stellt: Wo läuft die Control Plane
Die bekanntesten Overlay-Dienste sind SaaS-Angebote von US-Anbietern: in zehn Minuten aktiviert, und sie funktionieren gut — aber die Control Plane, also die Karte und die Schlüssel Ihres Netzwerks, lebt bei einem Anbieter unter US-Jurisdiktion. Es gilt dieselbe Überlegung wie beim UniFi-Controller: Der CLOUD Act, das US-Bundesgesetz von 2018, erlaubt es den amerikanischen Behörden, einen Anbieter unter ihrer Jurisdiktion zur Herausgabe der Daten zu verpflichten, die er hält — wo auch immer die Server physisch stehen. Alternativen existieren, und hier wird der Open-Source-Charakter der Technologie zu einem praktischen und nicht ideologischen Fakt: Die Control Plane kann woanders laufen.
| Option | Wer betreibt die Control Plane | Jurisdiktion | Geeignet für |
|---|---|---|---|
| SaaS des Vendors | Der Vendor | Typischerweise USA (CLOUD Act) | Wer Geschwindigkeit priorisiert und keine Jurisdiktionsauflagen hat |
| Self-hosted (Open Source) | Sie | Ihre | Strukturierte IT-Teams, bereit für den Produktionsbetrieb |
| Verwaltet von einem europäischen IT-Anbieter | Der Anbieter, auf EU-Cloud | EU | Wer das Zero-Trust-Modell will, ohne die Infrastruktur zu betreiben |
Ohne Lagerdenken gesagt, wie immer: Für viele Unternehmen ist die Jurisdiktion des Anbieters irrelevant, und das ist eine legitime Entscheidung. Aber wenn das Unternehmen Auflagen hat — Due Diligence von Enterprise-Kunden, öffentlicher Sektor, regulierte Daten —, muss die Jurisdiktion der Control Plane vorherentschieden werden, nicht nachher entdeckt. Und Self-Hosting ist nur realistisch, wenn jemand mit Vor- und Nachnamen die Verantwortung übernimmt, sie zu aktualisieren, zu sichern und zu überwachen.
Und Microsoft Entra Private Access?
Eine berechtigte Frage, denn Microsoft hat seine eigene ZTNA-Antwort: Entra Private Access(Teil von Global Secure Access) veröffentlicht interne Anwendungen für Benutzer, die mit Entra ID authentifiziert sind, mit Conditional Access bei jeder Anfrage. Es erfordert Entra ID P1 oder P2 als Voraussetzung, plus eine dedizierte Lizenz oder die Microsoft Entra Suite. Für den Zugriff der Benutzer auf Anwendungenin einer Microsoft-Umgebung ist es oft der natürlichste Weg — wir haben darüber in ZTNA: das Firmen-VPN ersetzen geschrieben.
Das Overlay-Netzwerk deckt ab, was ein anwendungsbezogenes ZTNA nicht abdeckt: Site-to-Site-Verbindungen zwischen Standorten, Server, die mit Servern sprechen, Management-Appliances und selbst gehostete Ressourcen, gemischte Umgebungen, in denen nicht alles im Microsoft-Ökosystem lebt. Sie sind keine Konkurrenten: Es sind zwei Werkzeuge, und in vielen Unternehmen koexistieren sie — Entra Private Access für die Menschen, das Overlay-Netzwerk für die Infrastruktur. Die Wahl hängt von Struktur, Lizenzen und Budget ab: Es ist ein Netzwerkprojekt, kein Katalogkauf.
Aus der Erfahrung im Feld
Vier Dinge, die man beim Produktivbetrieb von Overlay-Netzwerken lernt — nicht aus den Broschüren.
- Fällt die Control Plane aus, hält das Netzwerk — aber es friert ein. Aktive Tunnel funktionieren mit den bereits verteilten Schlüsseln weiter; was stoppt, ist alles Neue: neue Geräte, Richtlinienänderungen, Rotationen. Deshalb muss die Control Plane wie ein Produktionssystem überwacht werden, nicht wie ein Komfort-Tool.
- Man beginnt mit Subnet-Routern, nicht mit Agents überall.Der praktische Rollout startet mit einem Knoten, der ein bestehendes Subnetz veröffentlicht (den Standort, die Serverfarm), und Agents nur auf den entfernten Geräten: Man migriert stückweise, ohne Big Bang. Agents auf einzelnen Servern kommen später, wo granulare Richtlinien gebraucht werden.
- Default-Deny-Richtlinien gehören zuerst in eine Pilotgruppe.Die Macht zu sagen „nur Autorisierte erreichen diese Ressource“ ist auch die Macht, das ERP am Montagmorgen um 9 Uhr abzuschneiden. Erst die Pilotgruppe, dann der Rest des Unternehmens — mit versionierten und dokumentierten Richtlinien.
- Die Anbindung an die Identität ist der eigentliche Multiplikator.Mit SSO über Entra ID entzieht das Offboarding eines Mitarbeiters auch den Netzwerkzugriff — sofort, nicht bei der nächsten Durchsicht der VPN-Konten. Und das interne DNS will geplant sein: Die Namen, unter denen Ressourcen durch das Overlay erreichbar sind, müssen überall dieselben sein — sonst klingelt das Telefon.
Unser Modell
Der Vollständigkeit halber: Wir betreiben ein verwaltetes Zero-Trust-Overlay-Netzwerk auf Basis von WireGuard und Open-Source-Technologie, mit der Control Plane auf unserer europäischen Cloud-Infrastruktur — unter EU-Jurisdiktion, verwaltet nach ISO/IEC 27001, 27017, 27018 und ISO 9001 — identitätsbasiertem Zugriff per SSO über Microsoft Entra ID und Richtlinien pro Gruppe. Es integriert sich mit der Verwaltung des Netzwerks und der Hardware: für alle, die das Modell wollen, ohne sein Betreiber werden zu müssen.
Quellen
- Jason A. Donenfeld — „WireGuard: Next Generation Kernel Network Tunnel“ (Whitepaper, NDSS 2017)
- Linux-Kernel — Release 5.6, März 2020 (Integration von WireGuard)
- CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943, USA, 2018
- Microsoft Learn — „What is Global Secure Access?“ und „Microsoft Entra licensing“
Mehr erfahren
Häufige Fragen
Antworten auf die häufigsten Fragen zu Overlay-Netzwerken und dem Ersatz des VPN.
Technisch nutzt es dieselbe Werkzeugfamilie — verschlüsselte Tunnel, in diesem Fall WireGuard —, aber das Zugriffsmodell ist das Gegenteil. Das klassische VPN verbindet das Gerät mit dem Netzwerk: Wer drin ist, erreicht alles, was das Netzwerk nicht verbietet. Das Overlay-Netzwerk verbindet das Gerät mit den einzelnen autorisierten Ressourcen: Jede Verbindung ist explizit, an die Identität gebunden, und alles andere existiert schlicht nicht. Es ist der Unterschied zwischen der Übergabe des Generalschlüssels und dem Öffnen einer Tür nach der anderen.
Nein: Der Datenverkehr läuft Ende-zu-Ende verschlüsselt direkt zwischen den Geräten, und auch wenn ein Relay nötig ist, bleibt der Inhalt verschlüsselt. Aber die Control Plane weiß viel über das Netzwerk: welche Geräte existieren, wer mit wem kommunizieren darf, die Topologie, die Verbindungsereignisse. Deshalb muss die Frage „Wer betreibt die Control Plane, und unter welcher Jurisdiktion“ vor der Wahl des Dienstes gestellt werden, nicht danach.
Bestehende Tunnel funktionieren weiter: Die Schlüssel sind bereits verteilt, und der Datenverkehr fließt direkt zwischen den Geräten. Was stoppt, ist die Verwaltungsebene: keine neuen Geräte, keine Schlüsselrotation, keine Richtlinienänderungen, bis sie wieder erreichbar ist. Es ist ein degradierter Betrieb, kein Blackout — aber auch der Grund, warum die Control Plane wie ein Produktionssystem betrieben und überwacht werden muss.
Es hängt davon ab, was Sie verbinden müssen. Entra Private Access ist die natürliche Antwort für den Zugriff der Benutzer auf interne Anwendungen in einer Microsoft-Umgebung: Es erfordert Entra ID P1 oder P2 plus eine dedizierte Lizenz oder die Microsoft Entra Suite und integriert sich mit Conditional Access. Das Overlay-Netzwerk deckt ab, was ein anwendungsbezogenes ZTNA nicht abdeckt: Site-to-Site-Verbindungen zwischen Standorten, Server, die mit Servern sprechen, Management-Appliances, gemischte Umgebungen. In vielen Organisationen koexistieren beide: Wir entscheiden nach Struktur, Lizenzen und Budget.
Nein, und das ist einer der Hauptvorteile: Jedes Gerät baut ausgehende Verbindungen auf, und die Tunnel entstehen über NAT-Traversal-Techniken. Kein Port-Forwarding, kein öffentlicher VPN-Konzentrator, der gepatcht werden muss, kein im Internet exponiertes RDP oder VNC. Ein Angreifer, der Ihre öffentlichen IPs scannt, findet nichts, das lauscht.