SmartLink + ZTNA: Die doppelte Sicherheitsbarriere

Der Kontext

Claire ist Informationssicherheitsbeauftragte (CISO) bei BioLab, einem Labor mit 90 Mitarbeitenden, verteilt auf drei Standorte und im Homeoffice. Das Unternehmen betreibt kritische interne Anwendungen – LIMS (Laborverwaltung), ERP, regulatorische Dokumentenbasis – auf eigenen Servern. Claire möchte den Zugang zu diesen Anwendungen absichern, ohne das interne Netzwerk dem Internet auszusetzen und ohne ihren Teams ein klassisches VPN aufzuzwingen.

Das Problem ohne SmartLink + ZTNA

Mit einem klassischen VPN:

Nach der Verbindung zum VPN hat der Benutzer Zugriff auf das gesamte interne Netzwerk (Burggrabenmodell)
Wird ein Endgerät kompromittiert, hat der Angreifer Zugriff auf das gesamte Netzwerk
Das VPN ist aufwendig zu warten, langsam und verschlechtert die Nutzererfahrung
Keine Granularität: Es ist unmöglich, nur auf eine einzelne Anwendung Zugriff zu gewähren
VPN-Zugangsdaten sind ein zusätzlicher Angriffsvektor, der verwaltet werden muss

Mit nur einem ZTNA (Tailscale/Headscale):

Das Netzwerk ist segmentiert, aber die Authentifizierung an den Anwendungen bleibt klassisch (Login/Passwort)
Die Passwörter der internen Anwendungen bleiben eine Schwachstelle
Keine Übersicht, wer auf welche Anwendung zugreift
Keine zentrale Verwaltung der Zugriffe auf Anwendungen

Die Lösung: SmartLink + Tailscale/Headscale

Durch die Kombination von SmartLink mit einem Zero-Trust-Netzwerk (Tailscale oder der Open-Source-Alternative Headscale) erhält man zwei sich ergänzende Sicherheitsschichten:

Schicht 1 — SmartLink: kontrolliert, wer zugreifen darf und unter welchen Bedingungen (Identität, Gerät, Standort)

Schicht 2 — ZTNA: kontrolliert, auf welche Maschinen der Benutzer im Netzwerk zugreifen darf (Mikrosegmentierung)

Mit SmartLink + ZTNA

Schritt 1 — Zero-Trust-Netzwerk bereitstellen

Claire installiert Headscale (selbst gehostet, um die Datenhoheit zu behalten) oder aktiviert Tailscale (Business-Plan). Jeder Server, der eine interne Anwendung hostet, tritt dem Zero-Trust-Netzwerk bei.

Schritt 2 — SmartLink als Identitätsanbieter anbinden

Claire konfiguriert SmartLink als OpenID Connect (OIDC) Provider für Tailscale/Headscale. Ab sofort muss sich ein Mitarbeiter über SmartLink und seine VaultysID authentifizieren, um dem Zero-Trust-Netzwerk beizutreten.

Schritt 3 — ACLs nach Gruppen definieren

Claire legt netzwerkbasierte Zugriffsregeln auf Basis der SmartLink-Gruppen fest:

Die Gruppe "Labor" erhält nur Zugriff auf das LIMS und die Dokumentenbasis
Die Gruppe "Finanzen" erhält nur Zugriff auf das ERP
Die Gruppe "Geschäftsleitung" erhält Zugriff auf alle Anwendungen
Niemand erhält Zugriff auf einen Server, für den keine explizite Berechtigung besteht

Schritt 4 — SmartLink-Richtlinien hinzufügen

Claire ergänzt mit den Device Access Policies von SmartLink:

Der Zugriff auf das LIMS erfordert eine biometrische VaultysID und ein Gerät im Unternehmensnetzwerk oder ZTNA
Der Zugriff auf das ERP erfordert einen aktuellen Browser und ein unterstütztes Betriebssystem

Schritt 5 — Die Nutzererfahrung im Alltag

Paul, Forscher im Homeoffice, öffnet seinen Browser:

Er authentifiziert sich bei SmartLink mit seiner VaultysID (QR-Scan + Fingerabdruck)
Der Tailscale/Headscale-Client authentifiziert sich automatisch über das SmartLink-SSO
Paul klickt im SmartLink-Dashboard auf das LIMS
SmartLink verbindet ihn automatisch über den verschlüsselten Tunnel mit der Anwendung

Alles läuft transparent. Paul hat kein Passwort eingegeben und kein VPN manuell gestartet.

Die Zero-Trust-Architektur im Detail

Was wird geschützt?

Bedrohung	Klassisches VPN	Nur ZTNA	SmartLink + ZTNA
Diebstahl von Zugangsdaten	❌ Vollzugriff auf das Netz	⚠️ Begrenzter Netzzugriff, aber Anwendungen offen	✅ Kryptografische Identität (VaultysID) + segmentiertes Netz
Kompromittiertes Endgerät	❌ Gesamtes Netz exponiert	⚠️ Segmentiertes Netz exponiert	✅ Geräteschutz blockiert nicht-konforme Geräte
Laterale Bewegung	❌ Frei im gesamten Netz	✅ Mikrosegmentierung	✅ Mikrosegmentierung + Anwendungskontrolle
Diebstahl von App-Passwörtern	❌ Zugriff auf Anwendung	❌ Zugriff auf Anwendung	✅ Kein bekanntes Passwort (Tresor)
Zugriff nach Austritt	⚠️ Langsame Sperrung	⚠️ Nur Netzsperrung	✅ Netz- UND Anwendungssperrung mit einem Klick
Compliance-Audit	❌ Verteilte Logs	⚠️ Nur Netz-Logs	✅ Zentrale Protokollierung + ISO 27001-Berichte mit einem Klick

Das Zero-Trust-Prinzip angewandt

"Niemals vertrauen, immer überprüfen"

Identität prüfen → VaultysID (passwortlose kryptografische Authentifizierung)
Gerät prüfen → Device Access Policy SmartLink (OS, Browser, IP)
Minimaler Zugriff → ACL Tailscale/Headscale (nur notwendige Server)
Anwendungskontrolle → SSO SmartLink (nur autorisierte Anwendungen)
Ende-zu-Ende-Verschlüsselung → WireGuard-Tunnel Tailscale/Headscale
Kontinuierliche Überwachung → SmartLink-Protokollierung (Audit Trail) + kombinierte ZTNA-Logs
Compliance-Berichte → Berichte für CISO, CTO und ISO 27001 mit einem Klick

Tailscale oder Headscale?

Kriterium	Tailscale	Headscale
Hosting	Cloud (Tailscale Inc.)	Selbst gehostet
Datenhoheit	Daten bei Tailscale	100 % unter eigener Kontrolle
Implementierungsaufwand	Sehr einfach	Erfordert Admin-Kenntnisse
Kosten	Kostenpflichtig (Business-Plan für SSO)	Kostenlos und Open Source
Support	Kommerzieller Support	Community
SmartLink-Integration	SSO OIDC + WebFinger	SSO OIDC

Beide Optionen sind vollständig mit SmartLink via OpenID Connect kompatibel.

Was sich dadurch ändert

Ohne diese Kombination	Mit SmartLink + ZTNA
VPN = Vollzugriff auf das Netzwerk	Mikrosegmentierung nach Benutzer und Anwendung
VPN-Zugangsdaten + App-Passwörter	Einmalige Authentifizierung mit VaultysID
Interne Anwendungen im Internet sichtbar	Anwendungen vom Internet aus unsichtbar
Langsame und unvollständige Sperrung	Sofortige Netz- und Anwendungssperrung
Verteilte und unvollständige Logs	Zentrale Protokollierung + Compliance-Berichte
Perimetersicherheit (Burgmodell)	Zero-Trust-Sicherheit (kontinuierliche Überprüfung)

Genutzte Funktionen

🔗 SSO OpenID Connect — SmartLink als Identitätsanbieter
🌐 Tailscale-Integration — SSO-Tailscale-Konfigurationsanleitung
🌐 Headscale-Integration — SSO-Headscale-Konfigurationsanleitung
🛡️ Zugriffsrichtlinien (DAP) — Kontrolle von Geräten und Zugriffsbedingungen
📁 Ordnerverwaltung — Organisation von Zugriffsrechten nach Gruppen
🔐 VaultysID — Passwortlose kryptografische Identität
📜 Protokollierung — Echtzeitprotokoll von Netzwerk- und Anwendungszugriffen
📑 Berichte — Berichte für CISO, CTO und ISO 27001 für Audits

Der Kontext​

Das Problem ohne SmartLink + ZTNA​

Die Lösung: SmartLink + Tailscale/Headscale​

Mit SmartLink + ZTNA​

Schritt 1 — Zero-Trust-Netzwerk bereitstellen​

Schritt 2 — SmartLink als Identitätsanbieter anbinden​

Schritt 3 — ACLs nach Gruppen definieren​

Schritt 4 — SmartLink-Richtlinien hinzufügen​

Schritt 5 — Die Nutzererfahrung im Alltag​

Die Zero-Trust-Architektur im Detail​

Was wird geschützt?​

Das Zero-Trust-Prinzip angewandt​

Tailscale oder Headscale?​

Was sich dadurch ändert​

Genutzte Funktionen​