Ist ein VPN sicher genug für die Standortvernetzung?

Ja, ein korrekt konfiguriertes Site-to-Site-VPN mit IPsec und AES-256 verschlüsselt den Verkehr stark und ist für die meisten Mittelständler sicher. Die eigentliche Schwäche des VPN ist nicht die Sicherheit, sondern die fehlende Leistungsgarantie: Über das offene Internet gibt es keine Zusicherung für Bandbreite, Latenz oder Verfügbarkeit. Für Echtzeit-Anwendungen wie Telefonie kann das zu Problemen führen.

Was ist der Unterschied zwischen SD-WAN und MPLS?

MPLS ist eine klassische, vom Carrier betriebene Vernetzung mit garantierter Leistung, aber meist langer Vertragsbindung an einen einzigen Anbieter. SD-WAN ist eine Software-Steuerungsschicht, die mehrere beliebige Leitungen – auch normales Business-Internet – bündelt, priorisiert und automatisch umschaltet. SD-WAN ist flexibler, carrier-unabhängig und lässt sich pro Standort anpassen, erfordert aber passende Hardware und ein durchdachtes Regelwerk.

Lohnt sich eine Standleitung für kleine Standorte?

In der Regel nicht. Standleitungen sind deutlich teurer als Internetanbindungen und haben oft lange Vorlaufzeiten. Sie lohnen sich nur dort, wo zwischen zwei festen Punkten dauerhaft sehr große Datenmengen mit garantierter Latenz fließen müssen – etwa bei der Kopplung von Rechenzentren oder Echtzeit-Datenspiegelung. Kleine Standorte bindet man meist günstiger und schneller per VPN oder SD-WAN an.

Kann man VPN, SD-WAN und Standleitung kombinieren?

Ja, und genau das ist in vielen mittelständischen Netzen die beste Lösung. SD-WAN dient dabei als Steuerungsschicht, die unterschiedliche Anbindungen zusammenführt: normales Business-Internet mit VPN-Tunneln für die meisten Standorte und eine Standleitung für die eine geschäftskritische Verbindung. So zahlen Sie hohe Kosten nur dort, wo garantierte Leistung wirklich nötig ist.

Wie lange dauert die Einrichtung einer Standortvernetzung?

Das hängt stark von der Technik ab. Ein VPN lässt sich oft innerhalb weniger Tage einrichten, sofern die Internetanbindungen vorhanden sind. Ein SD-WAN-Roll-out je Standort dauert typischerweise einige Wochen, da Hardware geliefert, konfiguriert und getestet werden muss. Standleitungen haben die längste Vorlaufzeit, weil die Leitung physisch verfügbar sein oder gebaut werden muss [zu bestätigen: konkrete Liefer- und Bauzeiten je Standort und Carrier].

Wissen

Standortvernetzung: VPN, SD-WAN oder Standleitung – was passt wann?

8. Januar 20269 Min. Lesezeit

Die kurze Antwort: Ein VPN ist die richtige Wahl, wenn Sie wenige Standorte günstig und schnell über das offene Internet koppeln wollen und gelegentliche Schwankungen verkraften. SD-WAN passt, sobald Sie mehrere Standorte zentral steuern, mehrere Leitungen bündeln und kritische Anwendungen wie VoIP oder ERP priorisieren müssen. Eine Standleitung (etwa Dark Fiber oder eine dedizierte Carrier-Leitung) ist sinnvoll, wenn Sie garantierte Bandbreite, planbare Latenz und vertraglich zugesicherte Verfügbarkeit zwischen zwei festen Punkten brauchen. In der Praxis ist die beste Lösung oft eine Kombination: SD-WAN als Steuerungsschicht über einer Mischung aus normalem Business-Internet und einer Standleitung für die wichtigste Verbindung.

Was bedeutet Standortvernetzung überhaupt?

Standortvernetzung heißt, mehrere Firmenstandorte so zu verbinden, dass Mitarbeiter überall auf dieselben Anwendungen, Server und Daten zugreifen wie in der Zentrale. Das betrifft Filialen, Werke, Verteilzentren, Home-Office-Arbeitsplätze und oft auch das eigene oder ein externes Rechenzentrum.

Technisch geht es um zwei Fragen. Erstens: Wie kommen die Datenpakete sicher und schnell von Standort A nach Standort B? Zweitens: Wie wird dieser Verkehr verschlüsselt, priorisiert und überwacht? VPN, SD-WAN und Standleitung sind drei unterschiedliche Antworten darauf – sie schließen sich nicht gegenseitig aus, sondern lassen sich kombinieren.

Wichtig für die Entscheidung ist, dass Sie nicht von der Technik her denken, sondern vom Bedarf. Maßgeblich sind die Zahl der Standorte, die Anwendungen, die zwischen ihnen laufen, die tolerierte Ausfallzeit und das Budget. Erst danach lässt sich seriös sagen, welche Technik passt.

Wann ist ein VPN die richtige Wahl?

Ein Standort-VPN (Site-to-Site-VPN) baut einen verschlüsselten Tunnel über das ganz normale Internet auf, meist mit IPsec und AES-256. Die vorhandene Internetleitung jedes Standorts wird genutzt; zusätzliche Mietleitungen entfallen. Das macht VPN zur günstigsten und am schnellsten umsetzbaren Variante.

Ein VPN passt, wenn Sie zwei bis wenige Standorte verbinden, wenn die Datenmengen überschaubar sind und wenn gelegentliche Schwankungen bei Tempo oder Latenz kein Problem sind. Typische Fälle: ein zweiter kleiner Standort, einzelne Home-Office-Arbeitsplätze oder der gelegentliche Zugriff von Außendienstmitarbeitern auf zentrale Systeme.

Die Grenze des VPN liegt dort, wo es auf garantierte Leistung ankommt. Über das offene Internet gibt es keine Zusicherung für Bandbreite, Latenz oder Verfügbarkeit – Sie teilen sich die Leitung mit allen anderen. Für Echtzeit-Anwendungen wie Telefonie oder Videokonferenzen kann das zu Aussetzern führen. Auch das zentrale Verwalten vieler Tunnel wird ab etwa fünf bis zehn Standorten schnell unübersichtlich.

Wann lohnt sich SD-WAN?

SD-WAN (Software-Defined Wide Area Network) ist im Kern eine intelligente Steuerungsschicht über Ihren Leitungen. Statt eine einzelne Verbindung fest zu verdrahten, bündelt SD-WAN mehrere Anbindungen pro Standort – zum Beispiel eine Glasfaserleitung plus einen 5G-Fallback – und entscheidet pro Datenpaket, welcher Weg gerade der beste ist.

Der entscheidende Vorteil ist die Priorisierung. Mit Quality of Service (QoS) lässt sich Sprache, Video und normaler Datenverkehr getrennt behandeln. Ein wichtiges ERP- oder VoIP-Paket bekommt Vorfahrt, während ein großer Datei-Download im Hintergrund wartet. Fällt eine Leitung aus, schaltet SD-WAN automatisch und oft ohne spürbare Unterbrechung auf die zweite um.

SD-WAN lohnt sich ab mehreren Standorten, die zentral verwaltet werden sollen, und überall dort, wo Telefonie, Videokonferenzen oder cloudbasierte Anwendungen geschäftskritisch sind. Ein weiterer Pluspunkt: Sie sind nicht an einen einzelnen Carrier gebunden. Pro Standort lässt sich der günstigste oder verfügbarste Anbieter wählen, ohne die gesamte Architektur umzubauen.

Der Preis dieser Flexibilität ist etwas mehr Komplexität in Einrichtung und Betrieb. SD-WAN erfordert passende Hardware an jedem Standort und ein durchdachtes Regelwerk. Dieser Aufwand zahlt sich aber meist schon ab einer Handvoll Standorte aus – durch weniger Ausfälle, bessere Sprachqualität und einfachere Verwaltung.

Wann brauchen Sie eine Standleitung oder Dark Fiber?

Eine Standleitung ist eine fest gemietete, dedizierte Verbindung zwischen zwei Punkten. Sie teilen sich die Leitung mit niemandem. Der Carrier sichert Bandbreite, Latenz und Verfügbarkeit vertraglich über ein Service Level Agreement (SLA) zu – oft mit garantierten 99,9 Prozent oder mehr. Die Königsklasse ist Dark Fiber: eine eigene, unbeleuchtete Glasfaser, deren Kapazität und Technik Sie vollständig selbst bestimmen.

Eine Standleitung ist die richtige Wahl, wenn zwischen zwei festen Standorten dauerhaft sehr große Datenmengen mit planbarer, niedriger Latenz fließen müssen. Typische Fälle: die Kopplung zweier Rechenzentren, die Spiegelung von Produktivdaten in Echtzeit, oder ein Hauptstandort, an dem ein Ausfall pro Stunde unmittelbar messbar Geld kostet.

Die Kehrseite sind Kosten und Vorlaufzeit. Standleitungen sind deutlich teurer als Internetanbindungen und müssen physisch verfügbar sein; eine neue Trasse kann Wochen bis Monate Bauzeit bedeuten [zu bestätigen: konkrete Liefer- und Bauzeiten je Standort und Carrier]. Deshalb setzt man Standleitungen gezielt für die eine, wirklich kritische Verbindung ein – und vernetzt die übrigen Standorte günstiger per SD-WAN oder VPN.

Als Maßstab, was hochverfügbare, dedizierte Kopplung leisten kann: Die beiden Rechenzentren der ITS AG in Frankfurt am Main liegen rund zehn Kilometer auseinander und sind über mehrere 100-Gigabit-Verbindungen redundant gekoppelt. Genau diese Bauweise – mehrere physisch getrennte Wege statt einer einzelnen Leitung – ist der Kern echter Ausfallsicherheit.

Wie treffen Sie die Entscheidung in der Praxis?

Entscheidend sind vier Fragen. Wie viele Standorte koppeln Sie heute, und wie viele in drei Jahren? Welche Anwendungen laufen zwischen den Standorten, und wie empfindlich reagieren sie auf Verzögerung – Telefonie und Echtzeit-Spiegelung sind heikel, ein nächtliches Backup ist es nicht? Wie lange darf eine Verbindung im schlimmsten Fall ausfallen? Und welches Budget steht dem Schaden eines Ausfalls gegenüber?

Aus den Antworten ergibt sich meist ein klares Bild. Wenige Standorte, unkritische Anwendungen, kleines Budget: VPN. Mehrere Standorte mit Telefonie und Cloud, zentrale Steuerung gewünscht: SD-WAN. Zwei feste Punkte mit garantierter Leistung und sehr großen Datenmengen: Standleitung. In vielen mittelständischen Netzen ist die tragfähigste Lösung eine Kombination – SD-WAN als Steuerung über einer Mischung aus Business-Internet und gezielt platzierter Standleitung für den kritischsten Pfad.

Genauso wichtig wie die Technik ist die Frage der Redundanz. Eine einzelne Verbindung ist immer ein Risiko, egal wie gut sie ist. Sinnvoll ist mindestens ein zweiter, unabhängiger Weg pro kritischem Standort – etwa eine zweite Leitung eines anderen Carriers oder ein 5G-Fallback, der automatisch und regelmäßig getestet einspringt.

Achten Sie schließlich auf Anbieterbindung und Betrieb. Klassisches MPLS bindet oft jahrelang an einen einzigen Carrier und macht jeden Wechsel teuer. Layer-3-basierte, carrier-unabhängige Architekturen erlauben den Anbieterwechsel pro Standort. Und unabhängig von der Technik gilt: Eine vollständige Netzdokumentation, ein klarer IP-Plan und ein definierter Ansprechpartner für Störungen entscheiden im Ernstfall mehr über die tatsächliche Verfügbarkeit als das Datenblatt.

Passende Leistungen

Sichere Standortvernetzung Business Internet & Ausfallsicherheit