Seit dem Durchbruch von Remote Work ist ein zuverlässiges VPN keine Option mehr, sondern Pflicht. Laut einer Bitkom-Studie 2024 arbeiten rund 24 Prozent aller Beschäftigten in Deutschland zumindest teilweise im Homeoffice — Tendenz stabil. Wer den Fernzugriff auf Unternehmensressourcen nicht absichert, riskiert Datenlecks, unbefugten Zugriff und im schlimmsten Fall einen vollständigen Sicherheitsvorfall.
Die zwei dominierenden Open-Source-Lösungen für Unternehmens-VPNs sind WireGuard und OpenVPN. Beide haben ihre Berechtigung, aber sie unterscheiden sich erheblich in Geschwindigkeit, Komplexität und Einsatzszenarien.
Was ist WireGuard?
WireGuard ist ein modernes VPN-Protokoll, das 2019 in den Linux-Kernel aufgenommen wurde. Der Quellcode umfasst rund 4.000 Zeilen — im Vergleich zu OpenVPN mit über 100.000 Zeilen. Weniger Code bedeutet weniger Angriffsfläche und einfachere Sicherheitsaudits.
WireGuard setzt ausschließlich auf moderne Kryptografie: ChaCha20 für Verschlüsselung, Curve25519 für den Schlüsselaustausch und BLAKE2 als Hash-Funktion. Die Konfiguration ist bewusst minimalistisch gehalten.
Stärken von WireGuard:
- Sehr hoher Durchsatz (oft 2–3x schneller als OpenVPN in Tests)
- Geringe Latenz durch UDP-basiertes Protokoll
- Einfache Konfiguration mit wenigen Zeilen
- Hervorragende Unterstützung auf Linux, macOS, Windows, iOS und Android
- Schneller Verbindungsaufbau (ideal für mobile Geräte)
Schwächen von WireGuard:
- Keine eingebaute Benutzerverwaltung (kein Username/Passwort)
- IP-Adressen werden im Speicher des Servers gehalten (Datenschutz-Aspekt)
- Weniger ausgereift in Enterprise-Umgebungen mit komplexen PKI-Anforderungen
Was ist OpenVPN?
OpenVPN ist seit über 20 Jahren im Einsatz und gilt als bewährter Standard. Es basiert auf TLS/SSL und ist hochgradig konfigurierbar. Fast jede Firewall und jeder Router kennt OpenVPN — das erleichtert die Integration in bestehende Infrastruktur erheblich.
Stärken von OpenVPN:
- Umfangreiche Authentifizierungsoptionen (Zertifikate, LDAP, RADIUS, MFA)
- Läuft auch über TCP Port 443 — kaum blockierbar
- Jahrelange Bewährtheit und breite Enterprise-Unterstützung
- Fein granulierte Zugriffskontrolle
Schwächen von OpenVPN:
- Merklich langsamer als WireGuard, besonders auf schwacher Hardware
- Komplexere Konfiguration und Zertifikatsverwaltung
- Größere Codebasis = größere Angriffsfläche
WireGuard vs. OpenVPN: Der direkte Vergleich
| Kriterium | WireGuard | OpenVPN |
|---|---|---|
| Geschwindigkeit | Sehr hoch | Mittel |
| Einrichtungsaufwand | Gering | Mittel bis hoch |
| Benutzerverwaltung | Manuell/extern | Integriert (LDAP etc.) |
| Firewall-Durchdringung | UDP only | TCP 443 möglich |
| Codequalität / Audit | Klein, gut prüfbar | Groß, komplex |
| Mobile Clients | Ausgezeichnet | Gut |
| Enterprise-Reife | Wächst | Hoch |
Empfehlung für KMU: Für die meisten kleinen und mittleren Unternehmen ist WireGuard heute die bessere Wahl — schneller, einfacher, moderner. OpenVPN bleibt sinnvoll, wenn komplexe Authentifizierungsanforderungen (z. B. Active Directory Integration) bestehen oder bestehende Firewalls nur TCP 443 erlauben.
WireGuard auf einem Linux-Server einrichten
Die folgende Anleitung gilt für einen Ubuntu/Debian-Server als VPN-Gateway.
1. Installation
apt update && apt install wireguard -y
2. Schlüsselpaar erzeugen
wg genkey | tee /etc/wireguard/server_private.key | wg pubkey > /etc/wireguard/server_public.key
chmod 600 /etc/wireguard/server_private.key
3. Konfigurationsdatei erstellen (/etc/wireguard/wg0.conf)
[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <SERVER_PRIVATE_KEY>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.8.0.2/32
4. IP-Forwarding aktivieren
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p
5. WireGuard starten und dauerhaft aktivieren
systemctl enable --now wg-quick@wg0
Best Practices für KMU-VPNs
Split Tunneling sorgfältig konfigurieren: Leiten Sie nur Traffic ins Firmennetz durch das VPN. Privater Internet-Traffic der Mitarbeiter sollte nicht über den Unternehmens-Server laufen — das entlastet Bandbreite und schützt die Privatsphäre.
Jeden Nutzer erhält sein eigenes Schlüsselpaar: Niemals einen einzigen Schlüssel für alle Mitarbeiter verwenden. Bei Austritt eines Mitarbeiters muss nur dessen Peer entfernt werden.
Regelmäßige Key-Rotation: Auch wenn WireGuard kein eingebautes Ablaufdatum für Schlüssel kennt, sollten Schlüssel mindestens jährlich erneuert werden.
Monitoring nicht vergessen: Verbindungsversuche und aktive Peers sollten protokolliert werden. Laut BSI-Lagebericht 2024 werden kompromittierte VPN-Zugänge regelmäßig als Einstiegspunkt für Ransomware-Angriffe genutzt.
MFA zusätzlich absichern: WireGuard selbst bietet keine MFA. Ergänzen Sie den VPN-Zugang durch ein vorgelagertes Authentifizierungsportal oder nutzen Sie eine Lösung, die 2FA integriert.
Firewall-Regeln restriktiv halten: VPN-Clients sollten nur auf die Ressourcen zugreifen können, die sie tatsächlich benötigen — nicht auf das gesamte interne Netzwerk.
Fazit
WireGuard hat OpenVPN in vielen KMU-Szenarien als bevorzugtes VPN-Protokoll abgelöst. Die einfache Konfiguration, die hohe Geschwindigkeit und der schlanke Code machen es zur modernen Standardlösung. OpenVPN bleibt relevant, wo komplexe Authentifizierungsinfrastruktur bereits vorhanden ist.
Wenn Sie Ihre Netzwerksicherheit professionell aufstellen wollen — von der VPN-Einrichtung bis zur Firewall-Konfiguration — stehen wir Ihnen gerne zur Seite.
Passend dazu: Windows Server absichern und Passwort-Richtlinien 2026