Homeoffice-Arbeitsplätze mit VPN-Anbindung

Pendeln für Büroarbeit: Braucht es das?

Schmerzhaft teuer: Preismast einer Tankstelle am 02.04.2026

Durch den Iran-Krieg und das Festhalten an der hohen Besteuerung von Krafststoffen sind die Spritpreise stark angestiegen. Dadurch kostet die Anfahrt zum Arbeitsplatz für die Arbeitnehmer sehr viel Geld, vor allem bei mittleren und längeren Pendelstrecken. Es werden auch schon verschiedene politische Stimmen laut, die deshalb eine Rückkehr zu Homeoffice-Arbeit wie zu Corona-Zeiten fordern.

Ob sich daraus auch wieder ein Zwang zum Homeoffice ergibt oder nicht, sei dahingestellt. Den eigenen Mitarbeitern die Möglichkeit zur Homeoffice-Arbeit zu geben wird diese auf jeden Fall entlasten.

Wo die Tätigkeit an sich Homeoffice-tauglich ist, schaffe ich gerne die technischen Voraussetzungen um Arbeit aus dem Homeoffice sicher, und mit möglichst geringen Reibungsverlusten zu ermöglichen. Dreh- und-Angelpunkt ist hierbei der verschlüsselte VPN-Tunnel (VPN: Virtual Private Network) mit dem über das Internet eine sichere Verbindung vom Homeoffice ins Betriebsnetzwerk hergestellt wird.

Möglicher VPN-Gateway: Ein im 19-Zoll-Schrank montierter Mikrotik L009

Zentraler VPN-Gateway im Betrieb

Um eine Verbindung durch das Internet aufzubauen braucht es auf beiden Seiten der VPN-Verbindung Software oder Hardware, die den VPN-Verkehr ver- und entschlüsselt und in das, beziehungsweise aus dem lokalen Netzwerk weiterleitet. Im Betrieb verwendet man hierfür üblicherweise einem speziellen Router, den VPN-Gateway. Ein oder mehrere Homeoffice-Standorte bauen zum VPN-Gateway eine verschlüsselte Verbindung auf, durch die sie mit dem betrieblichen Netzwerk kommunizieren.

Der VPN-Gateway sollte ein eigenständiges Gerät sein. Oft hat zwar auch der für den Internetzugang zuständige Router minimale VPN-Funktionalität, aber diese kommt sehr schnell an ihre Grenzen. Vor für mehrere eingehende VPN-Verbindungen, mehrere Endgeräten pro VPN-Verbindung, oder Filterregeln für die VPN-Verbindungen sind handelsübliche Router für den Internetzugang schlecht bis gar nicht geeignet.

Netzwerkdiagramm eines VPN-Endpunktes in Software

VPN-Endpunkt in Software auf dem Computer

Wird am Homeoffice-Arbeitsplatz nur ein Computer benötigt, kann die VPN-Verbindung über VPN-Software auf diesem Computer hergestellt werden. Das ist die einfachste und kostengünstigste Variante, ich würde sie aber nur für den vollmobilen Einsatz mit viel Reisetätigkeit, zum Beispiel im Vertrieb einsetzen.

Sie ist einerseits etwas sicherer, weil man den VPN-Zugang neben zusätzlich zum Verschlüsselungszertifikat durch eine Passworteingabe des Mitarbeiters absichern kann. Andererseits befinden sich Zertifikate und Passwort auf dem Mitarbeiterrechner und können theoretisch durch Malware abgegriffen werden. Gegen dieses Bedrohungsszenario kann man sich durch ein separates Hardwaretoken schützen - allerdings entstehen hierdurch vergleichbare Kosten zu der routerbasierten Lösung im nächsten Abschnitt.

Für den stationären Betrieb im Homeoffice fehlt einer reinen Softwarelösung allerdings vor allem an Flexibilität: Es ist nicht ohne Weiteres möglich, neben dem Computer zusätzliche Geräte (zum Beispiel ein IP-Telefon) über eine softwarebasierte VPN-Verbindung anzuschliessen. Vor allem aus diesem Grund empfehle ich VPN-Software in der Regel nicht für den Homeoffice-Betrieb.

Netzwerkdiagramm mit weiterem VPN-Gateway im Homeoffice

VPN-Endpunkt in Hardware: Router im Homeoffice

Der Königsweg für den Homeoffice-Betrieb ist meiner Meinung nach ein weiterer VPN-Gateway auf der Homeoffice-Seite des VPN-Tunnels. Dieser nutzt auf der Zuleitungsseite den Internetzugang im Homeoffice um die VPN-Verbindung herzustellen. Der VPN-Gateway baut die Verbindung vollautomatisch und ohne Passworteingabe auf. Die Zugangsdaten befinden sich nur auf dem Router, ohne administrativen Zugriff durch den Mitarbeiter, sind also vor dem Zugriff durch etwaige Malware auf dem Endgerät geschützt.

Über sein internes Netzwerk gewährt der Router einem oder mehreren Endgeräten Zugang zum Betriebsnetzwerk. Der Router trennt sein internes Netzwerk vom Heimnetz: Zugriff auf das Betriebsnetzwerk haben nur die betrieblich genutzten Geräte im internen Netzwerk (Kasten "Homeoffice" im Diagramm). Eingehende Verbindungen vom Heimnetz in das interne Netzwerk werden blockiert.

In der Regel befinden sich im internen Netzwerk ein Computer und ein IP-Telefon. Weitere Geräte wie Smartphone, Tablet, Drucker oder ein lokaler Fileserver sind nach Bedarf möglich - je nach Ausführung des Routers mit Kabel- oder WLAN-Anbindung der Endgeräte. Ein als VPN-Gateway tauglicher Router, wie zum Beispiel der Mikrotik hAP AX Lite ist für derzeit knapp 60 Euro netto erhältlich. Auch die Einrichtungskosten halten sich bei einer Flotte von mehreren Geräten mit nur geringen Konfigurationsunterschieden im Rahmen.

Nebenbei sei erwähnt, dass sich auf diese Weise nicht nur Homeoffice-Mitarbeiter anbinden lassen. Es ist selbstverständlich auch möglich, mehrere Betriebsstätten auf diese Weise miteinander zu verbinden.

Ein IP-Telefon wie es im Homeoffice zum Einsatz kommen kann

Telefon im Homeoffice

Wie bereits in den vorhergehenden Abschnitten erwähnt, ist es unter anderem auch möglich, IP-Telefone über die VPN-Verbindung zu betreiben. Hierfür wird einfach nur für das Homeoffice-Telefon ein SIP-Konto in der betrieblichen Telefonanlage angelegt. Das IP-Telefon kann sich dann über die VPN-Verbindung an der Telefonanlage anmelden und ist über die zugewiesenen Telefonnummern erreichbar - genau wie ein Telefon im im Betrieb.

Diese Herangehensweise verursacht weniger Kosten und bietet mehr Funktionalität (Rufnummernübertragung, Telefonverzeichnis und alle anderen Funktionen der betrieblichen Telefonanlage) als eine einfache Rufumleitung auf ein privates Telefon. Sie sollte allerdings mit etwas Bedacht eingesetzt werden: Viele gleichzeitig aktive Sprachverbindungen können die Internet-Verbindung im Betrieb stark auslasten. Wieviel zuviel ist hängt von der Dimensionierung der Internetverbindung, der durchschnittlichen Anzahl gleichzeitiger Sprachverbindungen und dem restlichen Datenverkehr über die Internetverbindung ab. Ich gebe gerne eine zum jeweiligen Einzelfall passende Einschätzung der sinnvollen Anzahl an Homeoffice-Telefonen ab.

Homeoffice-taugliche Infrastruktur und Arbeitsorganisation

Ein nicht zu unterschätzender Aspekt beim Home-Office ist die interne Kommunikation und Organisation der Arbeit. In manchen - in der Regel größeren - Betrieben läuft ein Großteil der internen Kommunikation oft ohnehin schon über Telefon, E-Mail, Chat und Ticketsysteme. Hier reicht das Bereitstellen des Netzwerkzugangs via VPN eventuell bereits aus.

In Betrieben mit viel direkter Kommunikation im Büro werden in der Regel Umstellungen bei Arbeitsorganisation und verwendeter Kommunikationsinfrastruktur nötig wenn Mitarbeiter ins Homeoffice wechseln. Was im Einzelnen Sinn ergibt ist unterschiedlich, aber ich lasse meine Kunden damit nicht alleine und baue die notwendige Infrastruktur auf. Das kann zum Beispiel ein Remotedesktop-Zugang zum Rechner mit dem Buchhaltungsprogramm, ein Fileserver zum Datenaustausch, oder ein Chatsystem für die interne Kommunikation sein. Ich sehe mir hierfür immer den Istzustand und die Arbeitsabläufe beim Kunden an und überlege mir einen individuell zugeschnittenen Maßnahmenkatalog.