Brauchen KMU 2026 noch ein klassisches VPN?

Jein. Für reine M365-/Cloud-Workloads reicht oft Conditional Access in Entra ID. Für Zugriffe auf NAS, On-Prem-Server, Bexio-Server, Maschinen und Datenbanken ist VPN oder Zero Trust Network Access (ZTNA) zwingend. 2026 ersetzt ZTNA (Tailscale, Twingate, Cloudflare Access) zunehmend klassisches Site-to-Site-VPN – bessere Sicherheit, weniger Konfiguration.

WireGuard oder OpenVPN – was ist besser?

WireGuard. Es ist 5–10× schneller, hat ca. 4’000 Zeilen Code (vs. 100’000+ bei OpenVPN), ist im Linux-Kernel integriert und einfacher zu konfigurieren. OpenVPN ist nur dann sinnvoll, wenn Sie alte Firewalls bedienen müssen, die WireGuard-UDP nicht durchlassen, oder spezifische Zertifikatsstrukturen brauchen.

Was kostet eine VPN-Lösung für 30 Mitarbeitende?

Tailscale Business: USD 6/User/Monat = CHF 2’100/Jahr. Twingate Business: USD 10/User/Monat = CHF 3’500/Jahr. NordLayer: ab USD 8/User/Monat. WireGuard auf eigener Hardware (UniFi, OPNsense, MikroTik): einmalig CHF 800–2’500 + Setup. Cloudflare Zero Trust: bis 50 User gratis, danach USD 7/User/Monat.

Ist ein Schweizer VPN-Anbieter für die Schweiz besser?

Für Endpoint-Privacy (privates Surfen) – ja, Proton VPN (CH) und Mullvad sind erstklassig. Für Business-VPN (Zugriff auf Firmenressourcen) ist der Standort der Anbieter weniger wichtig als die Architektur: Self-Hosted (WireGuard/OPNsense in der Schweiz) oder ZTNA mit revDSG-konformem AVV (Tailscale, Twingate, NordLayer haben das). Wichtig: Logs, Verschlüsselung, MFA-Pflicht.

VPN für KMU Schweiz 2026: WireGuard, Tailscale, NordLayer & ZTNA

Kurz vorweg: Klassisches IPsec-VPN mit Firewall-Konfiguration und Zertifikats-Hölle ist 2026 in 80% der Fälle nicht mehr die beste Wahl. WireGuard hat es im Kernel ersetzt; ZTNA-Lösungen wie Tailscale oder Twingate machen das Setup zur Sache von Stunden statt Tagen. Die wirkliche Frage ist nicht „welches Protokoll?“, sondern „brauche ich Tunnel oder Identity-basierten Zugriff?“.

VPN-Architekturen 2026 im Überblick

Klassisches Remote-Access-VPN

Mitarbeitende verbinden sich per VPN-Client ins Firmennetz. Alles oder Split-Tunnel. IPsec, SSL-VPN oder WireGuard.

Konkret: Sinnvoll für Server/NAS-Zugriff. Sicherheitsrisiko: einmal drin, vollen Netzwerkzugriff (Lateral Movement).

Site-to-Site-VPN

Zwei Standorte (Filialen, Rechenzentren) per VPN gekoppelt. Permanent-Tunnel auf Router-/Firewall-Ebene.

Konkret: Klassisch IPsec (Sophos, FortiGate, Sonicwall) oder modern WireGuard (OPNsense, UniFi, MikroTik).

Zero Trust Network Access (ZTNA)

Identity-basierter Zugriff pro App/Service – kein Tunnel ins Netzwerk. User sehen nur, was sie sehen dürfen.

Konkret: Tailscale, Twingate, Cloudflare Access. Verbindung zu CRM-Server: ja. Zum NAS: nein. Lateral Movement unmöglich.

SDP / Mesh-VPN

Software-Defined Perimeter mit Peer-to-Peer-Verbindungen zwischen Geräten – kein zentraler Server, keine offenen Ports.

Konkret: Tailscale (auf WireGuard), Netbird, ZeroTier. Ideal für verteilte Teams ohne zentrale Firewall.

SASE / SSE

Cloud-native Architektur mit ZTNA + SWG + CASB + DLP. Enterprise-Ansatz von Cloudflare, Zscaler, Cato Networks.

Konkret: Für KMU oft Overkill, ab 100+ Mitarbeitenden interessant. Ersetzt VPN, Firewall und Web-Filter zusammen.

Lösungen im Vergleich

Lösung	Typ	Preis (Business, Mt./User)	Stärke
Tailscale	ZTNA / Mesh	USD 6 (Business)	Setup 10 Min., MagicDNS, ACL-pro-User, super DX
Twingate	ZTNA	USD 10 (Business)	Granulare Policies, gut für Compliance-getriebene KMU
NordLayer	ZTNA + VPN	USD 8	Gemischtes Modell, viele Server-Standorte, einfache GUI
Cloudflare Zero Trust	ZTNA / SASE	gratis bis 50 User, dann USD 7	Web-/App-Tunnel ohne Public IP, integriert in CF-Stack
WireGuard (self-hosted)	VPN-Protokoll	CHF 0 (Hardware-Kosten)	Schnellstes Open-Source-VPN, in OPNsense/UniFi/MikroTik nativ
OpenVPN Access Server	VPN	USD 11/Connect	Reife Plattform, viele Auth-Methoden, gut für Legacy
WireGuard Easy / Pi-VPN	VPN (DIY)	CHF 0	Auf Synology/Mini-PC in 1 Stunde aufgesetzt
Sophos / Fortinet / Sonicwall	VPN (Firewall)	in Lizenz inkl.	Wenn Sie eh schon Firewall haben, IPsec/SSL nutzen

Tailscale ist 2026 die schnellste und stabilste Wahl für 90% der Schweizer KMU – Setup in einer Stunde, Mitarbeitende verbinden sich per Microsoft- oder Google-Login, Zugriff auf nur das, was die ACL erlaubt. Cloudflare Zero Trust ist die starke Gratis-Alternative bis 50 User. Klassisches WireGuard self-hosted bleibt die richtige Wahl, wenn Sie bereits eine OPNsense/UniFi haben und keine fremden SaaS in der VPN-Schicht wollen.

Empfehlung pro Szenario

5–25 MA, viel Cloud, etwas On-Prem

Tailscale Business

In 1 Stunde live. SSO über M365 oder Google. ACL pro User/Service. Keine Public IPs nötig. CHF 2’100/Jahr für 30 User.

Bis 50 MA, Cloudflare-Stack vorhanden

Cloudflare Zero Trust

Bis 50 User gratis. Web-Apps, SSH, RDP, DB ohne Public IP. Cloudflared-Tunnel auf Server installieren – fertig.

Filialvernetzung (2–5 Standorte)

WireGuard auf OPNsense/UniFi

Site-to-Site mit minimalem Latenz-Overhead, MTU sauber konfiguriert. Weniger als 50 ms Roundtrip CH-CH üblich.

Compliance-getrieben (Treuhand, Finanz)

Twingate oder NordLayer

AVV-konform, granulare Policies, Audit-Logs, MFA-Erzwingung. ZTNA dokumentiert, nicht „fully trusted network“.

Industrie / Maschinen-Wartung

Tailscale Subnet-Router oder OpenVPN

OT-Netze (Maschinen, SPS) per Subnet-Router auf das Tailscale-Netzwerk legen. Maschinenhersteller bekommt nur Zugriff auf 1 IP.

Bestehende Sophos/Fortinet im Haus

IPsec/SSL-VPN der Firewall + ZTNA-Pilot

Bestehende Lizenz nutzen, Schritt für Schritt zu ZTNA migrieren. Tailscale parallel als Pilot für sensible Services.

Einführung in 2 Wochen

Tag 1–2: Inventar erstellen – welche Apps & Server müssen erreichbar sein? VPN-Bedarf pro User priorisieren (Vollzugriff vs. Einzeldienst).
Tag 3–4: Lösung auswählen (Tailscale, Twingate oder Cloudflare). Test-Account, SSO mit Entra ID / Google verbinden, ACLs pro Gruppe definieren.
Tag 5–7: Subnet-Router auf NAS oder Mini-PC im Firmen-LAN installieren. Erste Pilot-User aus IT-Team testen Zugriff auf NAS, Bexio-Server, ERP.
Tag 8–10: Rollout an Pilot-Abteilung (5–10 User). Onboarding-Anleitung schreiben (Screenshot-Guide, 1 Seite). Monitoring aktivieren.
Tag 11–14: Vollrollout. Alte VPN-Lösung parallel laufen lassen (1 Monat Übergang). MFA erzwingen. Conditional Access ergänzen.
Nach 30 Tagen: Alte VPN abklemmen. Audit-Logs prüfen, ACLs nachschärfen, ggf. Sub-Tier-Apps weiter granular machen.

Typische Stolpersteine

„Full Trust“-Netzwerk – einmal drin, alles erreichbar. Klassisches VPN-Design 2010. Heute zwingend ACL pro User/Service (ZTNA oder mind. Firewall-Segmentierung).
Kein MFA auf VPN – ein gestohlenes Passwort = Vollzugriff. MFA via Conditional Access oder VPN-eigene SSO-Integration ist Pflicht 2026.
OpenVPN auf Standard-Port 1194 UDP – wird in vielen Hotel-/Airport-Netzwerken blockiert. Lösung: TCP 443, oder besser direkt WireGuard/Tailscale (NAT-Traversal).
Always-On-VPN ohne Split-Tunnel – Mitarbeitende beklagen lahmes Internet, weil alles durch HQ läuft. Split-Tunnel-Konfiguration (nur Firmenadressen via VPN) löst das.
Server in der Cloud nur per VPN erreichbar – Single Point of Failure. Backup-Pfad per Bastion-Host oder ZTNA-Tunnel mit zweitem Provider sinnvoll.
Zertifikate / Keys nicht rotiert – nach 1–2 Jahren laufen Certs ab, plötzlich keiner kommt mehr rein. Rotation jährlich planen, Monitoring auf Cert-Expiry.

Fazit: ZTNA löst klassisches VPN ab

Wer 2026 ein neues VPN aufsetzt, soll nicht mit IPsec, sondern mit WireGuard oder ZTNA starten. Die Setup-Zeit ist um den Faktor 5–10 kürzer, das Sicherheitsmodell deutlich besser und die Mitarbeiter-Erfahrung freundlicher (kein „Connect“-Knopf mehr im Hotel-WLAN).

Empfehlung für 90% der Schweizer KMU: Tailscale Business (oder Cloudflare Zero Trust gratis bis 50 User). Wer bereits eine moderne Firewall (OPNsense, UniFi UDM, MikroTik) im Einsatz hat, fährt mit WireGuard auch gut – und ohne SaaS-Abhängigkeit. Bestehende klassische VPN sollten in den nächsten 12 Monaten planmässig auf ZTNA migriert werden.

VPN/ZTNA für Ihr KMU einführen

Wir wählen die passende Lösung, richten Tailscale/WireGuard/Cloudflare ein, schreiben ACLs und übernehmen MFA-Erzwingung – inkl. Migration vom Alt-VPN.

Beratung anfragen

VPN für KMU 2026:
WireGuard, Tailscale & ZTNA

VPN-Architekturen 2026 im Überblick

Klassisches Remote-Access-VPN

Site-to-Site-VPN

Zero Trust Network Access (ZTNA)

SDP / Mesh-VPN

SASE / SSE

Lösungen im Vergleich

Empfehlung pro Szenario

5–25 MA, viel Cloud, etwas On-Prem

Bis 50 MA, Cloudflare-Stack vorhanden

Filialvernetzung (2–5 Standorte)

Compliance-getrieben (Treuhand, Finanz)

Industrie / Maschinen-Wartung

Bestehende Sophos/Fortinet im Haus

Einführung in 2 Wochen

Typische Stolpersteine

Fazit: ZTNA löst klassisches VPN ab

VPN/ZTNA für Ihr KMU einführen

Passende Leistungen für Ihr KMU

VPN für KMU 2026: WireGuard, Tailscale & ZTNA

VPN-Architekturen 2026 im Überblick

Klassisches Remote-Access-VPN

Site-to-Site-VPN

Zero Trust Network Access (ZTNA)

SDP / Mesh-VPN

SASE / SSE

Lösungen im Vergleich

Empfehlung pro Szenario

5–25 MA, viel Cloud, etwas On-Prem

Bis 50 MA, Cloudflare-Stack vorhanden

Filialvernetzung (2–5 Standorte)

Compliance-getrieben (Treuhand, Finanz)

Industrie / Maschinen-Wartung

Bestehende Sophos/Fortinet im Haus

Einführung in 2 Wochen

Typische Stolpersteine

Fazit: ZTNA löst klassisches VPN ab

VPN/ZTNA für Ihr KMU einführen

Passende Leistungen für Ihr KMU

VPN für KMU 2026:
WireGuard, Tailscale & ZTNA