fairlane.systems

WIREGUARD · TECH

WireGuard: modernes VPN im Linux-Kernel für Home-Office und Remote-Admin

WireGuard ist das GPL-2-VPN im Linux-Kernel. 4000 Zeilen Code, 3-10x schneller als OpenVPN. KMU-Default 2026 für Remote-Zugang.

Recherche & Faktencheck: · Stand: 2026-05

Was ist WireGuard?

WireGuard ist ein modernes Open-Source-VPN-Protokoll, das 2015 von Jason A. Donenfeld eröffentlicht und seit Linux-Kernel 5.6 (März 2020) als integraler Bestandteil des Mainline-Kernels ausgeliefert wird. Die Code-Basis beträgt nur etwa 4000 Zeilen -- weniger als ein Hundertstel der OpenVPN- oder IPsec-Code-Basen. Die Lizenz ist GPL-2; durch die Kernel-Integration ist es Mai 2026 auf allen modernen Linux-Servern ohne zusätzliche Installation verfügbar.

Der entscheidende Vorteil gegenüber klassischen VPN-Lösungen ist Einfachheit und Performance. WireGuard verwendet eine kleine, gut auditierte Krypto-Suite: ChaCha20 für Verschlüsselung, Poly1305 für Authentication, Curve25519 für Key-Exchange, BLAKE2s für Hashing, SipHash24 für Hash-Tabellen. Es gibt keine TLS-Aushandlung, keine Zertifikats-Ketten, keine konfigurierbaren Krypto-Suiten -- nur eine moderne Standard-Auswahl. Das eliminiert Mass-Konfigurations-Fehler, die bei OpenVPN häufig sind.

Konfigurations-Modell: pro Peer (Server oder Client) ein Public-Key/Private-Key-Paar (Curve25519). Die Public-Keys werden gegenseitig eingetragen -- das ist die gesamte Konfiguration. Auf dem Server-Container eine wg0.conf wie:

```ini [Interface] PrivateKey = <server-private-key> Address = 10.8.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer] PublicKey = <mitarbeiter-vitalij-public-key> AllowedIPs = 10.8.0.2/32 ```

Auf dem Client (Laptop, Phone) entsprechend wg0.conf mit dem gegenteiligen Public-Key des Servers und der Server-IP/Port. Verbindungsaufbau erfolgt mit wg-quick up wg0. Eine Verbindung kommt in unter 100ms zustande -- bei OpenVPN sind 1-5 Sekunden normal.

Performance ist auf Multi-Gbit-Linien spürbar besser. Im Linux-Kernel-Implementation läuft WireGuard auf 95 Prozent Line-Rate auf 10-Gbit-Netzwerken; OpenVPN schafft 1-3 Gbit/s. Auf Mobile sind die Akku-Auswirkungen geringer, weil WireGuard nur Pakete sendet, wenn Traffic anliegt (kein Keepalive-Heartbeat).

Mobile-Client-Apps sind Mai 2026 verfügbar für iOS, Android, macOS, Windows, Linux, FreeBSD -- alles Apache 2.0 oder GPL-2 OSS. iOS-App nutzt Network Extension Framework von Apple, Android-App nutzt VpnService API. Konfiguration üblicherweise per QR-Code-Scan der wg0.conf des Clients.

Warum es für CH-KMU und Treuhand zählt

WireGuard löst für CH-KMU drei konkrete Probleme.

Home-Office-Remote-Zugang nach revFADP: seit Pandemie-Wechsel arbeiten viele Treuhand-Mitarbeitende und Anwaltskanzlei-Angestellte 1-3 Tage pro Woche im Home-Office. Der Zugang zum internen Mandanten-Server, zum Aktensystem, zur Buchhaltungs-DB darf nicht offen über Internet erreichbar sein -- das verstösst gegen Art. 8 revFADP. WireGuard liefert einen verschlüsselten Tunnel mit minimalem Overhead und einfacher Verteilung via QR-Code an die Mitarbeitenden. Der Mitarbeiter scannt den QR mit der WireGuard-App und ist sofort in das interne Netz verbunden.

SSH und Admin-Zugang verstecken: statt SSH-Port 22 (oder 2847) offen im Internet, wird der SSH-Daemon nur an die WireGuard-Interface gebunden (ListenAddress 10.8.0.1). Brute-Force-Versuche aus dem Internet erreichen den SSH-Daemon nie -- sie sehen einen geschlossenen Port. Das ist Defense-in-Depth gegenüber CrowdSec/Fail2ban: zusätzlich zu der Brute-Force-Erkennung kommt die strukturelle Unsichtbarkeit für das offene Internet. Mai 2026 ist das die empfohlene Konfiguration für alle Treuhand-Server mit Berufsgeheimnis-Pflicht.

Mandanten-VPN als Service: Anwaltskanzlei mit Mandanten in Banken-Sektor kann den Mandanten einen WireGuard-Zugang zum gemeinsamen Akten-Bereich liefern. Der Mandant baut den Tunnel auf, sieht nur die für ihn freigegebenen Ordner, alle anderen Ressourcen sind unsichtbar. Das ist deutlich sicherer als E-Mail-Anhänge mit Mandanten-Akten oder gemeinsame Cloud-Ordner ohne Audit-Trail.

Performance und Skalierung: ein Hetzner-Server mit WireGuard schafft mehrere hundert gleichzeitige VPN-Verbindungen ohne CPU-Limit. OpenVPN war bei der gleichen Hardware oft bei 50-100 gleichzeitigen Verbindungen am Ende. Für eine 100-Mitarbeitende-Kanzlei mit 80 Prozent Home-Office-Anteil ist das der Unterschied zwischen einem dedizierten VPN-Server und einem Container neben anderen Workloads.

Regulatorischer Bezug: revFADP Art. 8 verlangt Schutzmassnahmen nach dem Stand der Technik. EDÖB-Leitfaden listet VPN-Zugang explizit als technische Mindestmassnahme für Remote-Zugang. ISO 27001 Annex A.13.1 (Network Security) wird abgedeckt. Cyber-Versicherungen verlangen VPN für alle externen Zugriffe.

Setup und Mitarbeiter-Onboarding

Wir zeigen ein produktives WireGuard-Setup mit dem Tool wg-easy (Apache-2.0-Web-UI für WireGuard-Konfiguration), das wir bei Fairlane für Mandanten-Deployments einsetzen.

Docker-Compose-Setup: ```yaml version: "3.8" services: wg-easy: image: ghcr.io/wg-easy/wg-easy:14 container_name: wg-easy restart: unless-stopped environment: - LANG=de - WG_HOST=vpn.treuhand-müller.ch - WG_PORT=51820 - WG_DEFAULT_ADDRESS=10.8.0.x - WG_DEFAULT_DNS=10.8.0.1 - WG_PERSISTENT_KEEPALIVE=25 - WG_ALLOWED_IPS=10.8.0.0/24,192.168.100.0/24 - PASSWORD_HASH=<bcrypt-of-admin-password> ports: - "51820:51820/udp" - "127.0.0.1:51821:51821/tcp" cap_add: - NET_ADMIN - SYS_MODULE sysctls: - net.ipv4.ip_forward=1 - net.ipv4.conf.all.src_valid_mark=1 volumes: - ./wg-config:/etc/wireguard ```

Auf dem Hetzner-Server: nginx oder Caddy als Reverse-Proxy vor wg-easy-UI (Port 51821), via Authelia oder Authentik abgesichert. UDP 51820 in UFW öffnen.

Pro-Mitarbeiter-Onboarding dauert weniger als 5 Minuten: 1. Admin loggt sich in wg-easy-UI ein (vpn.treuhand-müller.ch/admin), authentifiziert via Authelia/Authentik. 2. "New Client" klicken, Name "vitalij-laptop" eingeben. wg-easy generiert Schlüsselpaar, vergibt 10.8.0.7/32. 3. QR-Code wird angezeigt. Mitarbeiter scannt mit WireGuard-App (iOS/Android), Profil ist sofort verfügbar. 4. Alternativ: .conf-Datei downloaden, an Mitarbeiter via gesichertem Kanal senden, auf Laptop importieren. 5. Toggle "Active" -- Verbindung kommt zustande.

SSH nur über WireGuard erreichbar machen: in /etc/ssh/sshd_config: ListenAddress 10.8.0.1 (nur WireGuard-Interface). UFW: ufw delete allow 22; ufw delete allow 2847. SSH ist dann nicht mehr vom Internet erreichbar -- nur über den VPN-Tunnel.

Combined-Setup mit Authentik: Authentik liefert SSO für wg-easy-UI. Mitarbeiter loggt sich in wg-easy ein über Authentik-Identity, bekommt sein eigenes WireGuard-Profil, kann es als QR scannen. Wenn der Mitarbeiter Treuhand-Büro verlässt, wird sein Authentik-Account deaktiviert -- automatisch wird sein WireGuard-Profil deaktiviert. Single-Source-of-Truth für Identity plus VPN-Zugang.

Routing-Optionen: Split-Tunneling -- nur 10.8.0.0/24 plus 192.168.100.0/24 über VPN, normaler Internet-Traffic direkt. Empfohlen für Performance. Full-Tunneling -- 0.0.0.0/0 über VPN, gesamter Traffic verschlüsselt. Empfohlen für Public-WiFi-Schutz oder Geo-Blocking-Umgehung.

Mai-2026-Best-Practice: WireGuard plus FIDO2 in Authentik plus PAM-OTP für SSH plus Verschlüsselung at-rest auf dem Laptop (BitLocker/FileVault). Das ist die Pflicht-Schicht für Mandanten-Daten-Zugriff aus dem Home-Office.

WireGuard-Setup in 5 Schritten

  1. 01Server-Setup: wg-easy via Docker-Compose deployen, UDP 51820 in UFW öffnen, ip_forward sysctl aktivieren, DNS-Resolver konfigurieren.
  2. 02Admin-UI absichern: wg-easy-UI auf Port 51821 hinter nginx-Reverse-Proxy mit Authelia/Authentik-SSO; nur intern erreichbar via WireGuard oder Office-IP.
  3. 03Mitarbeiter-Profile erzeugen: pro Mitarbeiter ein WireGuard-Client in wg-easy-UI; QR-Code beim Onboarding scannen lassen oder via Authentik-Self-Service-Portal verteilen.
  4. 04SSH über WireGuard verstecken: sshd_config ListenAddress 10.8.0.1, UFW SSH-Port aus dem Internet schliessen; SSH nur noch über den VPN-Tunnel erreichbar.
  5. 05Routing und Monitoring: Split-Tunneling für Performance (nur interne Netze über VPN), persistent-keepalive 25s setzen, Prometheus wireguard-exporter für Verbindungs-Monitoring.

Wann WireGuard einsetzen

WireGuard ist Mai 2026 in fünf Konstellationen die richtige Wahl -- praktisch für jeden CH-KMU mit Remote-Zugang-Bedarf.

Home-Office-Mitarbeitende: jeder Mitarbeiter mit Laptop, der von zu Hause auf interne Systeme zugreift. WireGuard plus Authentik plus FIDO2 ist die Pflicht-Schicht für Mandanten-Daten-Zugriff aus dem Home-Office unter Berufsgeheimnis-Pflicht.

Mobile-Workforce: Anwältinnen unterwegs, Treuhänder bei Kunden vor Ort, Berater im Hotel. WireGuard-Mobile-App auf iOS/Android, Profil via QR-Code geladen, immer-an-Auto-Connect über unsichere WiFi-Netze. Mai 2026 Standard.

Site-to-Site zwischen mehreren Büros: Zürich-Hauptsitz plus Genf-Filiale plus Zug-Office. WireGuard-Tunnel zwischen den Routern (z.B. OPNsense oder Mikrotik mit WireGuard-Support). Persistent-Connection, automatischer Reconnect, beide Büros sehen sich als ein Netz.

Mandanten-VPN als Service: Anwaltskanzlei stellt Mandanten in Banken-/Pharma-Sektor einen WireGuard-Zugang zur Verfügung, damit der Mandant sicher auf gemeinsame Akten zugreifen kann. Pro Mandant ein eigener WireGuard-Profil, isoliert von anderen Mandanten via firewall-Regeln.

Admin-Zugang verstecken: SSH und alle Admin-Tools nur über WireGuard erreichbar machen. CrowdSec/Fail2ban sieht keine Brute-Force-Versuche mehr, weil der SSH-Port aus dem Internet unsichtbar ist. Defense-in-Depth-Schicht.

Performance-relevante Setups: bei 10-Gbit-Hetzner-Linien oder Multi-Site-Anbindung mit Latenz-Anforderungen ist WireGuard 3-10x schneller als OpenVPN. Praktisch relevant für Datenbank-Replikation zwischen Sites oder grosse Datei-Übertragungen.

WireGuard ist Mai 2026 die richtige Default-Wahl. Alternativen wie OpenVPN oder IPsec sind nur in spezifischen Legacy-Setups noch sinnvoll, wo die Migration nicht lohnt (z.B. bestehende Cisco-IPsec-Infrastruktur mit Hardware-Konzentratoren).

Wann WireGuard nicht passt

Drei Fälle, in denen WireGuard Mai 2026 nicht die richtige Wahl ist.

Legacy-Hardware-VPN-Konzentratoren mit IPsec: wer eine bestehende Cisco ASA, Juniper SRX, oder Fortigate-Infrastruktur mit IPsec-Tunnels hat und sie nicht ersetzen will, bleibt bei IPsec. Migration ist möglich, aber teuer. WireGuard hat keinen offiziellen Cisco-IPsec-Replacement-Pfad, wenn Konzern-Compliance-Vorgaben spezifisch IPsec verlangen.

Strenge Compliance mit FIPS-140-2-Pflicht: WireGuard verwendet ChaCha20/Poly1305, die nicht in der NIST FIPS-140-2-Liste sind. Für US-Regierungs-Auftraggeber oder bestimmte US-Defense-Compliance-Anforderungen ist das ein Stopper. Lösung: OpenVPN oder strongSwan mit FIPS-zertifizierten Krypto-Modulen. Für CH-KMU praktisch irrelevant -- die FIPS-Pflicht greift in der Schweiz nicht.

Browser-basierte Remote-Apps ohne VPN-Client: wer einen Browser-only-Zugang für Mandanten oder Mitarbeitende braucht (kein Client installiert), ist mit WireGuard schwierig. Alternative: Authentik RAC (Remote Access via Browser) als Enterprise-Feature, oder Apache Guacamole als OSS-Lösung -- liefert RDP/SSH/VNC über HTML5 ohne VPN-Client.

Generelle Fallen bei WireGuard-Deployments: (a) Private-Keys im wg-easy-Container ohne Backup -- bei Container-Loss sind alle Mitarbeiter-Profile verloren. wg-config-Volume regelmässig backupen. (b) Persistent-Keepalive auf 0 lassen bei NAT-traversal -- der Tunnel fällt nach 5 Minuten Idle aus. Auf 25 Sekunden setzen. (c) AllowedIPs auf 0.0.0.0/0 setzen ohne Performance-Prüfung -- full-tunneling kann das Büro-Internet bremsen. (d) WireGuard-Port 51820 in CrowdSec-Whitelist vergessen -- UDP-Flood-Detection sperrt legitime Mitarbeiter aus. (e) Public-Key-Verteilung über unsichere Kanaele (E-Mail-Anhang) -- besser: QR-Code-Scan in Anwesenheit oder via Authentik-Self-Service-Portal.

Vor- und Nachteile

STÄRKEN

  • GPL-2 OSS, im Linux-Kernel seit 5.6, kein Vendor-Lock-In
  • 3-10x schneller als OpenVPN, 95 Prozent Line-Rate auf 10-Gbit
  • 4000 Zeilen Code, sehr klein und auditierbar
  • Mobile-Apps auf iOS/Android, Setup pro Client unter 5 Minuten

SCHWÄCHEN

  • Keine FIPS-140-2-Zertifizierung -- nicht für US-Defense-Compliance
  • Kein Browser-only-Zugang -- VPN-Client immer nötig
  • Migration von Legacy-IPsec-Konzentratoren aufwändig
  • Private-Key-Verteilung erfordert sicheren Kanal (QR oder SSO)

Häufige Fragen

WireGuard oder OpenVPN -- was wählen?

Mai 2026 für Neuinstallationen immer WireGuard. 3-10x bessere Performance, 100x kleinere Code-Basis, im Linux-Kernel integriert, einfachere Konfiguration. OpenVPN bleibt valide bei Cisco-Konzern-Legacy oder strikten FIPS-140-2-Anforderungen. Migration von OpenVPN zu WireGuard dauert 1-2 Tage für ein typisches CH-KMU mit 50 Mitarbeitenden.

Wie sicher sind die WireGuard-Krypto-Algorithmen?

Sehr gut. ChaCha20-Poly1305 ist Standard in TLS 1.3, Curve25519 wird auch von Signal und WhatsApp verwendet, BLAKE2s ist NIST-vergleichbar. Alle Algorithmen sind 2020-2026 mehrfach formal verifiziert. WireGuard hat keine konfigurierbaren Krypto-Suiten -- das verhindert Misconfiguration. Im Vergleich zu OpenVPN (das Dutzende Krypto-Optionen hat, von denen einige schwach sind) ist das ein Sicherheits-Vorteil.

Wie verteile ich WireGuard-Profile sicher?

Empfohlen Mai 2026: QR-Code-Scan in Anwesenheit beim Onboarding oder via Authentik-Self-Service-Portal mit FIDO2-Authentisierung. Niemals .conf-Datei per E-Mail oder Slack -- die Datei enthält den Private-Key des Clients. Falls Remote-Verteilung nötig: Bitwarden-Send mit Auto-Delete nach 1 Anschauen plus Passwort-Schutz. Mobile-Clients können auch über Authentik-Outpost ein temporaeres Token holen, das für 24h gültig ist.

Was passiert bei verlorenem Laptop mit WireGuard-Profil?

In wg-easy-UI das Profil des Mitarbeiters deaktivieren (Toggle "Active" auf off). Verbindung wird sofort getrennt, neue Verbindungsversuche werden abgelehnt. Bei BitLocker/FileVault-Verschlüsselung des Laptops sind die Daten ohnehin nicht zugänglich. Best-Practice: jedes Mitarbeiter-Profil hat eine eindeutige Bezeichnung (vitalij-laptop, vitalij-iphone), bei Verlust kann gezielt nur das betroffene Gerät deaktiviert werden.

Verwandte Themen

SECURITY-VERGLEICH · TOOL-VERGLEICHSecurity-Hardening-Tools im Vergleich: CrowdSec, Fail2ban, Wazuh, UFW, Vault, Authentik, WireGuard, Lynis, rkhunter, ClamAVAUTHELIA · TECHAuthelia: leichter SSO- und 2FA-Authorization-Proxy für nginx und TraefikAUTHENTIK · TECHAuthentik: modernes Identity-Provider-System mit SAML, OIDC, LDAP und SCIMFIREWALL · SICHERHEIT & BETRIEBFirewall und CrowdSec: mehrschichtiger Schutz für KMU-Server 2026AUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibtrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutet

Quellen

  1. WireGuard -- whitepaper and benchmarks · 2026-02
  2. WireGuard -- official documentation · 2026-05
  3. wg-easy GitHub -- v14 release notes · 2026-04
  4. EDÖB -- Technische und organisatorische Massnahmen · 2026-04
  5. ISO/IEC 27001:2022 -- Annex A.13 network security · 2026-02

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen