ZTNA: das Unternehmens-VPN
durch Zero Trust Network Access ersetzen

Mai 2026: zwei Wochen, die die Wahrnehmung von VPNs verändert haben

Zwischen dem 13. und 22. Mai 2026 haben Italiens ACN (Nationale Cybersicherheitsagentur) und die regionalen CSIRT in schneller Folge Alerts für zwei Produktkategorien veröffentlicht, die heute den Perimeter der meisten europäischen KMU absichern: VPN-Konzentratoren und Edge-Firewalls. Vom 13. bis 15. Mai folgte das CSIRT-ITA-Alert AL04/260513 zu Fortinet — zwei kritische und eine hochstufige Schwachstelle in FortiSandbox, FortiOS und FortiAuthenticator, mit nicht authentifizierter RCE (Remote Code Execution). Wenige Tage später veröffentlichte Cisco Notfall-Patches für CVE-2026-20182 im vdaemon-Dienst der Cisco SD-WAN-Controller. Am 21. Mai meldete ACN zusätzlich eine kritische Schwachstelle in Cisco Secure Workload mit nicht authentifiziertem Fernzugriff auf die Rolle Site Admin.

Die technischen Details unterscheiden sich, der gemeinsame Nenner ist jedoch klar: Der Angreifer spricht mit einer im Internet exponierten Appliance und übernimmt deren Kontrolle, bevor Anmeldedaten, MFA oder Conditional-Access-Richtlinien überhaupt zum Einsatz kommen. Wer in einem KMU Sicherheit verantwortet, sollte sich jetzt die strategische Frage stellen: Macht es noch Sinn, den Perimeter mit VPN-Konzentratoren zu verteidigen, die weltweit erreichbar sein müssen — oder ist es Zeit, das Paradigma zu wechseln?

Die strukturelle Grenze des klassischen VPN

Das VPN (Virtual Private Network) wurde für eine Welt entworfen, in der der Unternehmensperimeter mit dem physischen Büro zusammenfiel: wenige Remote-Nutzer, wenige externe Administratoren, wenige Ausnahmezugriffe. In diesem Modell ist das VPN eine Erweiterung des internen Netzwerks — wer authentifiziert ist, ist «drinnen» und kann alles sehen. Genau das wollen wir heute nicht mehr.

• Zwangsläufige Exposition im Internet. Der VPN-Konzentrator muss von jeder IP-Adresse aus erreichbar sein, damit Nutzer sich verbinden können. Jede nicht gepatchte Schwachstelle wird zu einer Tür im Perimeter.
• Netzwerkzugriff statt Anwendungszugriff. Einmal drinnen, sieht der Nutzer — oder der Angreifer — das gesamte Netzwerksegment. Mikrosegmentierung ist möglich, aber komplex, teuer und in KMU selten umgesetzt.
• Einmalige Überprüfung beim Login. Die VPN-Authentifizierung findet beim Login statt: Sobald die Sitzung steht, wird der Kontext nicht mehr neu bewertet. Wird das Gerät während der Sitzung kompromittiert, bemerkt das VPN nichts.
• Kritisches Patching-Fenster. Fortinet, Cisco, SonicWall und andere Hersteller veröffentlichen Alerts in immer kürzeren Abständen. Zwischen Disclosure und tatsächlichem Patch in KMU vergehen Tage oder Wochen — genau das Fenster, in dem Angreifer wissen, wo sie zuschlagen.

Was ZTNA ist: vom Netzwerkperimeter zur Identität

ZTNA (Zero Trust Network Access) ist das Fernzugriffsmodell, das das Zero-Trust-Prinzip in die Praxis übersetzt: «niemals vertrauen, immer verifizieren». Die Unterschiede zum VPN sind keine kosmetischen — sie sind strukturell.

• 1Zugriff auf die einzelne Anwendung, nicht auf das Netzwerk. Der Nutzer erhält keine interne IP. Er erhält die Möglichkeit, mit der einzelnen Anwendung zu sprechen, die ihm veröffentlicht wurde — und sonst nichts. Wird er kompromittiert, sieht der Angreifer den Rest des internen Perimeters nicht.
• 2Kontinuierliche Überprüfung, nicht einmalig. Jede Anfrage wird in Echtzeit anhand von Identität (MFA, Standort, Verhalten), Gerät (verwaltet, konform, Defender-Risikostufe) und Kontext bewertet. Ändert das Gerät seinen Zustand — Konformität verloren, Kompromittierung, geografische Ausnahme — wird der Zugriff sofort über Continuous Access Evaluation (CAE) widerrufen.
• 3Kein im Internet exponierter Konzentrator. Interne Anwendungen werden dem ZTNA-Dienst über Konnektoren veröffentlicht, die ausgehend in die Cloud kommunizieren: keine eingehenden Ports auf der Perimeter-Firewall, keine öffentliche Appliance, die im Notfall gepatcht werden muss.
• 4Identitätszentriert, nicht netzzentriert. Die Kontrolle ist nicht mehr «innerhalb oder außerhalb des Netzwerks». Sie lautet «wer du bist, von welchem Gerät, von wo, in welchem Moment, mit welchem Risiko». Die Identität wird zum effektiven Perimeter.

Microsoft Entra Private Access: ZTNA innerhalb von Microsoft 365

Microsoft Entra Private Access ist die ZTNA-Komponente der Microsoft Global Secure Access-Suite. Für KMU, die Microsoft 365 und Microsoft Entra ID bereits einsetzen, ist es der natürlichste Einstieg in ein ZTNA-Modell, weil es sich nahtlos mit bestehenden Werkzeugen verzahnt: Conditional Access, Intune (Gerätekonformität), Microsoft Defender for Endpoint (Echtzeit-Risikostufe), Continuous Access Evaluation.

Die Architektur ist überschaubar. Auf den Geräten der Nutzer (Windows, macOS, iOS, Android) wird ein Microsoft Global Secure Access Agent installiert. Interne Anwendungen — Dateiserver, ERP, Webanwendungen, RDP-Sitzungen — werden dem Microsoft-Cloud-Dienst über private Konnektoren veröffentlicht, die ausgehend kommunizieren. Will ein Nutzer eine Anwendung erreichen, fließt der Datenverkehr vom Agenten zur Microsoft-Cloud, die die aktuellen Conditional-Access-Richtlinien anwendet (MFA, Gerät, Standort, Risiko) und — nur wenn alle Bedingungen erfüllt sind — die Verbindung an die einzelne App weiterleitet. Der Nutzer sieht das zugrunde liegende Netzwerk nie: nur die Apps, für die er gerade autorisiert ist.

Was sich für KMU ändert: schrittweise Ablösung statt Big Bang

Eine ZTNA-Migration ist kein harter Schnitt — es ist ein schrittweiser Weg, der so lange parallel zum bestehenden VPN läuft, wie es nötig ist. Das operative Schema, das wir bei unseren Kunden einsetzen, hat sechs Schritte.

• 1Anwendungsinventar. Die heute per VPN erreichten internen Anwendungen erfassen: Dateiserver, ERP, Branchenanwendungen, RDP, Intranet, Entwicklung. Pro Anwendung die Nutzer identifizieren, die sie benötigen, und die Szenarien (Niederlassung, Homeoffice, externer Dienstleister).
• 2Identitätsstellung. Sicherstellen, dass Microsoft Entra ID mit phishing-resistenter MFA (FIDO2, Passkeys, Windows Hello) konfiguriert ist, dass die Geräte über Intune oder ein vergleichbares Werkzeug verwaltet werden und dass die Conditional-Access-Richtlinien die kritischen Szenarien abdecken. Ohne diese Grundlagen bringt ZTNA keine zusätzliche Sicherheit.
• 3Pilot mit begrenzter Nutzergruppe. 2–3 Anwendungen über Entra Private Access für eine Pilotgruppe veröffentlichen (z. B. IT-Team, Helpdesk). Kontinuierliche Überprüfung, Nutzererlebnis, Anomaliealerts und Ausnahmehandhabung testen.
• 4Schrittweise Ausweitung. Die übrigen Anwendungen via ZTNA für immer größere Nutzergruppen veröffentlichen. Das VPN bleibt parallel aktiv für nicht migrierte Szenarien (Legacy, Ausnahmezugriffe, Lieferanten). Wichtig ist, die Zahl der Anwendungen zu reduzieren, die das VPN exponieren muss.
• 5Abbau des VPN-Konzentrators. Wenn alle Nutzeranwendungen über ZTNA erreichbar sind, kann der VPN-Konzentrator abgeschaltet oder auf Restfälle reduziert werden (Verwaltung von Netzwerkgeräten, dokumentierte Ausnahmezugriffe). Die im Internet exponierte Angriffsfläche schrumpft erheblich, und das Patching-Fenster hört auf, ein wiederkehrender Notfall zu sein.
• 6Kontinuierliche Governance. ZTNA-Zugriffe überwachen, Conditional-Access-Richtlinien regelmäßig überprüfen, Alerts in das SIEM integrieren und das Anwendungsinventar pflegen, wenn neue interne Dienste entstehen. Zero Trust ist kein Endzustand, sondern ein Prozess. Cybersecurity-Dienstleistungen.

ZTNA, NIS2 und ISO 27001

Für KMU, die unter NIS2 fallen oder die Zertifizierung nach ISO/IEC 27001 anstreben, ist ZTNA nicht nur eine technische Entscheidung — es ist ein Compliance-Beschleuniger. Auf der NIS2-Seite deckt es zentrale Anforderungen aus Artikel 21 des italienischen Gesetzesdekrets 138/2024 ab: Zugriffskontrolle, starke Authentifizierung, Segmentierung und Schwachstellenmanagement. Auf der ISO-27001:2022-Seite antwortet es direkt auf A.5.15 (Access control), A.5.17 (Authentication information), A.8.2 (Privileged access rights) und A.8.20 (Networks security).

Microsoft Entra Private Access ist außerdem nach ISO/IEC 27001, 27017, 27018 und SOC 2 zertifiziert und in Szenarien mit dokumentierten Compliance-Kontrollen einsetzbar, ohne die zugrunde liegende Infrastruktur selbst verwalten zu müssen.

Wie AtWorkStudio die Migration begleitet

Bei AtWorkStudio entwerfen und betreuen wir Identitäts- und ZTNA-Lösungen für KMU: Bewertung der Zugriffslage, Härtung von Microsoft Entra ID und Conditional Access, Veröffentlichung interner Anwendungen über Entra Private Access, schrittweiser Abbau des VPN-Konzentrators, SIEM-Integration und laufende Governance. Wir arbeiten aus Piacenza, Italien, sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (Italienische Vereinigung für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.