NetBird: EU Zero-Trust-VPN als Open-Source-Alternative für die private Cloud

Klassische SSL-VPNs altern. Das haben in den letzten zwei Jahre gleich mehrere kritische Schwachstellen in den großen Concentrator-Produkten gezeigt. Gleichzeitig, nimmt der regulatorische Druck durch NIS2, DORA und die anhaltende Schrems-II-Diskussion zu. Wer heute über den Remote-Zugang in die eigene private Cloud nachdenkt, denkt nicht mehr nur an Sicherheit, sondern auch an Souveränität: Wo sitzt der Anbieter, wer kontrolliert die Control-Plane, und was passiert mit den Verbindungsdaten?

Genau in dieser Lücke positioniert sich NetBird: Ein Berliner Open-Source-Projekt unter BSD-3-Lizenz, das ein WireGuard-Mesh mit Zero Trust Network Access kombiniert und sich explizit als europäische Alternative zu US-Mesh-Diensten versteht. Wir haben NetBird in den letzten Wochen als Ersatz für klassische VPN-Zugänge in der eigenen Lab-Umgebung evaluiert. Dieser Beitrag fasst zusammen, was uns überzeugt hat und wo wir genauer hingeschaut haben.

Stand Mai 2026, betrachtet wurden NetBird Cloud und die aktuelle Self-Hosted-Version.

Warum jetzt eine VPN-Alternative?

Drei Entwicklungen treffen gerade aufeinander:

Regulatorik: NIS2 ist in der Umsetzung, DORA verpflichtet Finanzdienstleister zu strenger Kontrolle über kritische ICT-Lieferanten, und Datenschutzbehörden schauen genauer auf die Frage, wer wann auf Verbindungsdaten zugreifen kann.

Vendor-Souveränität: Der US-CLOUD-Act bleibt ein Thema, und immer mehr Unternehmen wollen ihre Sicherheits-Infrastruktur unter europäischem Recht betreiben.

Technische Schuld: Der klassische Concentrator-Ansatz mit einem zentralen Gateway, durch das aller Traffic geleitet wird, passt nicht mehr zu einer Welt mit verteilten Workloads, Edge-Standorten und hybriden Clouds.

"Ein VPN-Gateway, das jeder Mitarbeiter zum Zugriff auf interne Systeme braucht, ist heute weniger ein Schutzwall und mehr ein Single Point of Failure mit Anwesenheitspflicht."

Mesh-VPNs drehen diese Logik um: Jeder Client baut direkte, verschlüsselte Verbindungen zu jedem anderen autorisierten Client auf. Zentral sind nur noch Identität, Policy und Schlüsselverteilung. Genau dieses Modell ist die Grundlage von NetBird.

Was NetBird ist

NetBird ist ein WireGuard-basiertes Peer-to-Peer-Overlay mit zentralem Management-Plane. Kein Concentrator, kein Tunnel-In-Tunnel, sondern ein flaches Overlay, in dem jeder Knoten jeden anderen direkt erreichen kann, sofern es die Policies erlauben.

Drei Eigenschaften sind dabei besonders relevant:

• Zero Trust by default: Zugriff ist an Identität und Policy gebunden, nicht an Netzwerkperimeter. Jede Verbindung wird gegen die zentrale Policy geprüft.
• Open Source, BSD-3: Sämtliche Komponenten (Management, Signal, Relay, Dashboard, Clients) liegen auf GitHub und stehen unter einer permissiven Lizenz. Kein Open-Core-Modell mit künstlich kastriertem Self-Hosting.
• Made in Berlin: Das Unternehmen wurde 2021 von Misha Bragin und Maycon Santos gegründet, hat im Januar 2026 eine Series A über €8.5 Mio. (geführt von Pace Capital) abgeschlossen und tritt offen mit dem Anspruch an, eine europäische Antwort auf etablierte US-Anbieter zu sein.

Das ist keine Marketing-Garnitur, sondern eine konkrete Eigenschaft, die in NIS2- und DORA-Kontexten zunehmend in Lieferantenbewertungen einfließt.

Architektur in einem Bild

Auch ohne Diagramm lässt sich die Architektur in fünf Punkten erfassen:

• Clients verbinden sich direkt peer-to-peer via WireGuard, sobald ein Pfad zwischen ihnen aufgebaut werden kann.
• Die Management Plane verteilt Konfiguration, Routen und Policies an alle Knoten.
• Der Signal Service koordiniert das NAT-Traversal, damit Clients hinter NATs zueinander finden.
• Coturn fungiert als TURN/STUN-Relay, falls eine direkte Verbindung nicht möglich ist (typisch bei restriktiven Netzen).
• Eine IdP-Anbindung mit SSO und MFA ist der Identitäts-Anker, an dem die Policy-Entscheidungen hängen.

Der Traffic selbst geht in der Regel an der Management Plane vorbei. Selbst wenn man die NetBird Cloud nutzt, sieht der Anbieter Steuerinformationen, aber keine Nutzlast.

Self-Hosting: vollständig oder gar nicht

Hier wird es für viele Unternehmen interessant. NetBird ist eines der wenigen Produkte in diesem Segment, bei dem Self-Hosting kein abgespecktes Nebenprodukt ist. Alle Komponenten der Cloud-Version stehen quelloffen zur Verfügung und können auf eigener Infrastruktur betrieben werden.

Was Sie brauchen:

• Eine Linux-VM bei einem Hoster Ihrer Wahl (idealerweise EU).
• Docker (oder Podman) mit Compose und das jq-Tool.
• Eine eigene Domain mit öffentlicher IP.
• Offene Ports: mit Reverse-Proxy reichen TCP 80/443 und UDP 3478 für Coturn.

Bei den IdPs hat man echte Wahlfreiheit:

Besonders die Kombination NetBird + Zitadel ist aus EU-Sicht charmant: Beide Komponenten sind in Europa entwickelt, beide quelloffen, beide voll self-hostbar.

Der Quick-Start mit dem mitgelieferten Zitadel-Setup ist ein einzelner Befehl:

1curl -fsSL https://github.com/netbirdio/netbird/raw/main/infrastructure_files/getting-started-with-zitadel.sh \
2  | bash -s -- --setup-with-zitadel

Das Skript bringt Management, Signal, Relay, Dashboard und einen eingebetteten Zitadel als IdP in einer Docker-Compose-Umgebung hoch. Für Produktivszenarien empfehlen wir, die Komponenten und das IdP getrennt zu betreiben und einen Reverse-Proxy (Caddy oder Traefik) vorzuschalten.

Wichtiger Hinweis: Wir haben in der Doku und im Code keine künstlichen Feature-Gates gefunden, die SSO, ACLs, Policies oder Audit-Funktionen für Self-Hosted-Setups einschränken. Auch Posture-Checks und Event-Streaming sind technisch verfügbar. Wer sich den Betrieb selbst zutraut, bekommt funktional dieselbe Plattform wie in der Cloud.

Cloud-Tarife: Was zahlt man wann?

Wer das Self-Hosting nicht selbst stemmen will, kann NetBird auch als gehostete Cloud nutzen. Die Tarife (Stand Mai 2026):

Zwei Details, die in Praxis-Diskussionen regelmäßig aufschlagen:

• Abrechnung pro aktivem User: Gezählt werden nur Nutzer, die sich im jeweiligen Monat mindestens einmal verbunden haben. Das wirkt fair, kann bei stark fluktuierenden Teams (Berater, Saisonkräfte) aber zu unerwarteten Schwankungen führen.
• 15% Jahresrabatt bei jährlicher Zahlung sowie ein eigenes MSP-/Partner-Programm auf Anfrage.

Für ein klassisches KMU mit 30 Vollzeit-Mitarbeitern, das auf eine eigene private Cloud zugreifen will, landet man im Team-Tier bei rund $150/Monat. Das ist deutlich unter dem, was eine vergleichbare Concentrator-Lösung an Lizenz- und Hardware-Kosten allein verursachen würde.

Clients und Alltagskomfort

Die unterstützten Plattformen decken den typischen Enterprise-Mix ab: Linux, Windows, macOS, iOS, Android, dazu Docker-Container und Router. Auf Desktop-Systemen gibt es eine grafische Oberfläche, auf Servern und Containern arbeitet man mit der CLI.

Was uns in der Evaluation positiv aufgefallen ist:

• Setup eines 3-User-Test-Tenants: unter zehn Minuten, von der Registrierung bis zur ersten Verbindung.
• Interne DNS-Auflösung: Hostnamen lassen sich zentral verwalten und über das Overlay-Netz auflösen, vergleichbar mit MagicDNS bei Tailscale.
• Auto-Updates der Clients sind aktivierbar und sparen den klassischen VPN-Client-Rollout-Aufwand.

Was im Vergleich zu Tailscale noch ausbaufähig ist: Die mobilen Clients fühlen sich an ein, zwei Stellen weniger poliert an, und der Funktionsumfang der Browser-Admin-UI wächst noch.

EU-Souveränität: Substanz oder Schlagwort?

Diese Frage stellen wir bei jedem Anbieter mit „Made in EU"-Etikett. Bei NetBird sind die Antworten konkret:

• Firmensitz Berlin, deutsches Gesellschaftsrecht, deutsche Rechtsbeziehung im Vertragsfall.
• BSD-3-Lizenz bedeutet volle Code-Auditierbarkeit. Sie können jede Zeile prüfen, anpassen und betreiben.
• GDPR, ISO 27001 und DORA-Zertifizierung liegen vor (siehe trust.netbird.io).
• On-Premises-Deployment ist möglich, und zwar nicht als „Enterprise-Add-on" mit Sonderlizenz, sondern als ganz normale Self-Hosted-Installation.

In Kombination mit der freien IdP-Wahl (insbesondere Zitadel, ebenfalls aus dem deutschsprachigen Raum) lässt sich damit ein Remote-Access-Stack bauen, der vollständig unter europäischer Kontrolle steht, ohne dass dabei Funktionalität verloren geht. Für Unternehmen, die im Zuge ihrer NIS2-Umsetzung gerade ihre Lieferantenketten überprüfen, ist das ein relevantes Argument.

Wo NetBird heute glänzt, und wo nicht

Stärken

• Echte BSD-3-Open-Source-Plattform, komplett self-hostbar, ohne künstliche Gates.
• EU-Firma mit klarer Compliance-Lage (GDPR, ISO 27001, DORA).
• Solide IdP-Auswahl, von Zitadel und Keycloak bis Entra ID und Okta.
• Posture-Checks und SIEM-Event-Streaming schon ab Cloud-Business-Tier verfügbar, also nicht in einen teuren Enterprise-Tier eingesperrt.
• Klares, einfaches Preismodell mit großzügigem Free-Tier zum Testen.

Limitierungen

• Ökosystem ist jünger und kleiner als das von Tailscale. Community-Plugins, Drittanbieter-Tools und Tutorials wachsen, aber sind noch nicht auf dem gleichen Niveau.
• Mobile-Clients sind funktional, aber an Politur und Komfort hinter Tailscale.
• Active-User-Abrechnung kann bei sehr dynamischen Teams unerwartet ausschlagen.
• HA- und Hochlast-Setups beim Self-Hosting sind machbar, erfordern aber Eigenleistung. Die offizielle Doku adressiert den Einstieg sehr gut, fortgeschrittene Betriebsszenarien sind teils noch Community-Wissen.

Wann NetBird die richtige Wahl ist

Vier Szenarien, in denen NetBird aus unserer Sicht klar nach vorne rückt:

1) "Wir müssen NIS2- oder DORA-konform liefern."

NetBird liefert hier ein seltenes Gesamtpaket: EU-Anbieter, BSD-3-Quelloffenheit, einschlägige Zertifizierungen und die Option, On-Premises zu betreiben. In Lieferantenbewertungen ist das wertvoll, weil Sie nahezu jede Frage mit „ja, prüfbar" beantworten können.

2) "Wir wollen unsere private Cloud souverän anbinden."

Wenn der Zweck ein sicherer, identitätsbasierter Zugang zu eigenen Workloads in Hetzner, IONOS, OVH, einer eigenen On-Prem-Umgebung oder einem Mix daraus ist, eignet sich NetBird hervorragend. Sie können das gesamte System auf eigener EU-Infrastruktur betreiben.

3) "Wir wollen ein klassisches SSL-VPN ablösen."

Der typische Concentrator-VPN-Stack (Hardware-Appliance plus Client) verursacht Lizenz-, Wartungs- und Operations-Kosten, die in Summe oft jenseits dessen liegen, was NetBird im Team- oder Business-Tier kostet. Gleichzeitig erhalten Sie ein modernes Mesh-Modell mit Zero Trust.

4) "Wir wollen kostenfrei einsteigen."

Bis fünf User und 100 Maschinen ist der Cloud-Tarif schlicht $0. Für ein Bastler-Setup oder einen ersten Proof-of-Concept ist das ohne Risiko. Wer noch weiter gehen will, hostet sich die Plattform mit Docker Compose selbst und zahlt nur die VM.

Fazit

NetBird ist im Mai 2026 unsere Top-Empfehlung, wenn EU-Souveränität und vollständige Self-Hosting-Freiheit gleichzeitig auf dem Wunschzettel stehen. Das Produkt ist technisch ausgereift genug für den Produktivbetrieb, die Lizenz ist permissiv, der Anbieter sitzt in Berlin, und das Preismodell ist im Marktvergleich freundlich.

In den nächsten Tagen folgen zwei weitere Vorstellungen in dieser Serie: Tailscale als US-Marktführer mit der gepoliertesten User-Experience und Headscale als Community-getriebene Open-Source-Alternative zur Tailscale-Control-Plane. Den direkten Vergleich aller drei Lösungen entlang der Achsen Self-Hosting, private Cloud, Lizenzkosten, Client-Komfort und EU-First gibt es dann in einem abschließenden vierten Beitrag.

Wenn Sie in Ihrem Unternehmen gerade vor der Ablöse eines klassischen VPNs stehen, ein NIS2- oder DORA-Programm aufsetzen oder eine private Cloud souverän anbinden wollen, unterstützen wir Sie bei Infralovers gerne. Gerne beraten wir Sie rund ums Thema Souveräne Cloud. Wir bringen Erfahrung aus Architektur, Migration und Betrieb mit und kombinieren das mit unseren Schulungsangeboten zu NIS2-Compliance und Cloud Native Essentials.