March 7, 2026

Split Tunneling Risiken: SaaS Direct vs. Corporate Protected Paths

Split Tunneling ist eine gängige VPN-Strategie, bei der der Datenverkehr von Remote-Clients zwischen direktem Internetzugang und Unternehmensnetzwerk aufgeteilt wird. Während SaaS-Traffic direkt ins Internet geleitet werden kann (SaaS Direct), wird kritischer Unternehmens-Traffic über das VPN zu geschützten Pfaden (Corporate Protected Paths) geroutet. Diese Architektur bietet Vorteile in Performance und Bandbreitennutzung, birgt jedoch auch Sicherheitsrisiken. In diesem Tutorial analysieren wir die Risiken, Best Practices und architektonische Entscheidungen rund um Split Tunneling für Remote Access.

Grundlagen von Split Tunneling

Split Tunneling ermöglicht es Remote-Clients, nur einen Teil des Traffics über das VPN zu leiten, während andere Verbindungen direkt ins Internet gehen. Dies reduziert VPN-Bandbreite und Latenz, erfordert jedoch klare Policies zur Risikominimierung.

Arten von Split Tunneling

  • SaaS Direct: Cloud-Dienste wie Office 365 oder Salesforce werden direkt über das Internet erreicht
  • Corporate Protected Paths: Unternehmensressourcen wie ERP, File-Server oder interne Anwendungen laufen über das VPN
  • Hybrid: Kombination von beiden Ansätzen mit selektiver Routing-Policy

Risiken von SaaS Direct

Der direkte Internetzugang für SaaS-Anwendungen entlastet das VPN, kann jedoch Sicherheitsrisiken erhöhen.

Typische Risiken

  • Umgehung zentraler Security Controls wie IDS/IPS oder Webfilter
  • Datenexfiltration über unkontrollierte Cloud-Dienste
  • Angriffe durch kompromittierte SaaS-Konten oder Phishing
  • Fehlende Visibility für Security-Analysen und SIEM

Beispiel Policy für SaaS Direct

group-policy RemoteUsers attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value SaaS_Subnets

access-list SaaS_Subnets standard permit 52.96.0.0 255.240.0.0

access-list SaaS_Subnets standard permit 52.120.0.0 255.252.0.0

Risiken von Corporate Protected Paths

Die Führung von Traffic über das VPN bietet Schutz und Kontrolle, kann jedoch Bandbreite beanspruchen und Latenz erhöhen.

Typische Risiken

  • Überlastung der VPN-Gateways bei hohem Traffic
  • Reduzierte Performance für Remote-User
  • Single Point of Failure bei VPN-Ausfall
  • Komplexere Routing- und ACL-Konfigurationen

Beispiel ACL für Corporate Paths

access-list Corporate_Subnets standard permit 10.20.0.0 255.255.255.0
access-list Corporate_Subnets standard permit 10.20.50.0 255.255.255.0
access-group Corporate_Subnets in interface VPN

Best Practices für Split Tunneling

Eine sorgfältige Planung und Policy-Definition reduziert Risiken und optimiert Performance.

Empfohlene Maßnahmen

  • Nur vertrauenswürdige SaaS-Dienste für Direct-Traffic zulassen
  • VPN-Traffic für sensible Daten immer über Corporate Protected Paths leiten
  • Webfilter und IDS/IPS für SaaS Direct Traffic implementieren
  • Traffic-Monitoring und SIEM-Integration für Remote-Zugriffe
  • Regelmäßige Überprüfung und Anpassung der Split-Tunnel-Richtlinien

Monitoring und Security Analytics

Visibility ist entscheidend, um Risiken von Split Tunneling zu erkennen. SIEM-Systeme helfen, Anomalien, ungewöhnliche Datenflüsse oder mögliche Data Exfiltration zu identifizieren.

Beispiel Korrelation von Logs

  • SaaS Direct Login + ungewöhnliches Datenvolumen → mögliche Exfiltration
  • VPN Login + Firewall Block → potenzieller Policy-Verstoß
  • Ungewöhnliche Remote-Session-Dauer → mögliche Kompromittierung

IP-Adressierung und Subnetzplanung

Eine klare Subnetzstruktur erleichtert Routing, Split-Tunnel-Policies und Monitoring.

Beispiel Subnetzplanung

VPN-Clients: 10.10.10.0/24
Corporate Resources: 10.20.0.0/24
VoIP-Server: 10.20.50.0/24
SaaS Services: 52.96.0.0/12, 52.120.0.0/14
Management: 10.30.10.0/24

Subnetzberechnung für Remote VPN

Beispiel: 200 gleichzeitige VPN-User

Hosts = 200, BenötigteIPs = 200 + 2 = 202
2^n ge 202
n = 8 → 256 IPs (/24)

Architekturentscheidungen

Die Wahl zwischen SaaS Direct und Corporate Protected Paths muss auf Basis von Sicherheit, Performance und Compliance erfolgen. Hybrid-Ansätze bieten Flexibilität, erfordern jedoch sorgfältige Policy-Definitionen.

Empfohlene Architekturansätze

  • Hybrid-Split-Tunnel mit klaren Policies für SaaS Direct und VPN-geschützte Ressourcen
  • Priorisierung sensibler Daten über Corporate Protected Paths
  • Monitoring und Logging von Direct-Traffic zur Anomalie-Erkennung
  • QoS-Konfiguration für VPN-Traffic zur Sicherstellung der Performance
  • Regelmäßige Überprüfung von IP-Listen für SaaS-Services und interne Subnetze

Best Practices Split Tunneling

  • Nur vertrauenswürdige SaaS-Dienste für Direct-Traffic zulassen
  • Corporate Protected Paths für kritische Unternehmensressourcen
  • IDS/IPS und Webfilter für Remote-Traffic implementieren
  • Traffic-Monitoring und SIEM-Integration
  • Whitelisting und Blacklisting für SaaS IP-Adressen
  • QoS und Bandbreitenmanagement für VPN-geschützten Traffic
  • Regelmäßige Überprüfung der Routing- und Firewall-Policies
  • Dokumentation und Auditierung aller Split-Tunnel-Entscheidungen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Multi-Region Remote Access: Geo Steering und Policy Consistency

Best Practices Katalog: 50 Regeln für VPN Setup & Remote Access im Telco-Netz

Remote Access für Edge Sites: Low Bandwidth, High Latency und Resilienz

VPN Setup & Remote Access im Telekommunikationsnetz: Referenzframework für Experten

Vendor-Interop: Cisco/Fortinet/Palo Alto/Juniper Remote Access Patterns

Automatisierung: VPN Provisioning per API, Terraform und Ansible

GitOps für Remote Access Policies: PR Reviews und Change Gates

Secrets Rotation automatisieren: Keys/Zertifikate ohne Downtime

Standardisierte Profile: Templates für Rollen, Standorte und Kundensegmente

“Remote Access as Code”: Policies versionieren und testen

Compliance Mapping: ISO 27001/NIS2/BSI in Remote Access Controls übersetzen

Remote Access Audit Report: Struktur, Findings, Evidence und Maßnahmen