Inhalt in Kürze
- Cisco AnyConnect ist seit 2023 Cisco Secure Client — der Endpoint-Agent bündelt VPN, Umbrella-Roaming, Secure Endpoint (früher AMP) und ISE Posture in einem Client.
- Pflicht-Bausteine im Unternehmen: MFA am VPN, Split-Tunneling mit klaren Regeln, Posture-Check vor Freigabe ins Netz, zentrales Rollout per Intune/SCCM.
- Lizenzmodell: Es gibt keine kostenlose Business-Version. Secure Client läuft über Advantage- oder Premier-Lizenzen plus Cisco-Gegenstelle (ASA/FTD/Meraki).
- Praxis: In Hamburger KMU sehen wir AnyConnect oft als Alt-Installation ohne MFA und ohne Posture-Check. Das ist heute nicht mehr haltbar — der Wechsel zu Secure Client 5.x, MFA über Duo oder Entra ID und ggf. ein Schritt Richtung ZTNA gehören auf die Agenda.
Wenn bei uns als IT-Dienstleister aus Hamburg jemand nach „Cisco AnyConnect” fragt — oder auch bei Kunden am Standort Hamburg direkt vor Ort, steckt fast immer dieselbe Situation dahinter: Homeoffice seit 2020 etabliert, das VPN läuft, niemand hat die Software seitdem angefasst — und jetzt steht eine Cyberversicherung, ein Audit oder NIS2 vor der Tür. Genau dann stellt sich heraus, dass der Name nicht mehr stimmt, die Version veraltet ist und MFA fehlt. Dieser Artikel räumt mit den wichtigsten Missverständnissen auf und zeigt, was 2026 tatsächlich Stand der Technik ist.
Was ist Cisco AnyConnect / Cisco Secure Client?
Cisco AnyConnect Secure Mobility Client heißt seit 2022 Cisco Secure Client. Es ist Ciscos Endpoint-Security- und VPN-Client für Windows, macOS, iOS, Android und Linux. Funktionen: SSL-VPN, IPSec-VPN, Posture Assessment, Endpoint Compliance, Network Access Manager.
Cisco Secure Client (ehemals Cisco AnyConnect Secure Mobility Client) ist der Endpoint-Agent von Cisco, der VPN-Zugang, Netzwerksicherheit, Endpoint Protection und Cloud-Security-Integrationen in einer Software bündelt. Die Umbenennung erfolgte 2022/2023 — Cisco hat den Produktstrang konsolidiert und mehrere frühere Einzelprodukte (AnyConnect, AMP for Endpoint, Umbrella-Roaming, ISE Posture) unter ein gemeinsames Dach geschoben. In der Praxis läuft auf den meisten Firmen-Laptops noch lange die alte Bezeichnung — weil IT-Teams den Client nur selten updaten.
AnyConnect 2026 — was vom Namen geblieben ist
Der Wechsel vom Namen „AnyConnect” zu „Cisco Secure Client” ist keine Über-Nacht-Aktion gewesen, sondern eine schrittweise Konsolidierung. Wer 2026 das Setup prüft, sollte den Zeitstrahl im Kopf haben:
- Bis 2022 — AnyConnect 4.x: „Cisco AnyConnect Secure Mobility Client” ist das offizielle Produkt. Module wie ISE Posture, NVM und Umbrella Roaming hängen sich an.
- Oktober 2022 — Rebranding angekündigt: Cisco bündelt AnyConnect, AMP for Endpoint, Umbrella Roaming und ISE Posture unter dem Dachnamen „Cisco Secure Client”. Der Installer heißt fortan
cisco-secure-client-*. - 2023 — Secure Client 5.0 rollt aus: Erste GA-Releases unter dem neuen Namen, parallel laufen AnyConnect 4.10 LTS-Builds für Bestandskunden.
- 2024/2025 — Secure Client 5.1.x wird Standard: SAML-Flows mit Entra ID Conditional Access, Passkey-Support über IdP, System Extensions auf macOS 14/15, Windows-11-Optimierungen.
- 2026 — aktuelle Version Cisco Secure Client 5.1.x: AnyConnect 4.x bekommt nur noch Security-Fixes, kein Feature-Release mehr. Cisco empfiehlt für alle Neu-Deployments Secure Client 5.1 oder neuer.
Was vom Namen „AnyConnect” geblieben ist: das VPN-Protokoll (SSL-DTLS, IPsec/IKEv2) und das XML-Profilformat sind unverändert. Wer von AnyConnect 4.x auf Secure Client 5.1 wechselt, kann seine bestehenden Profile in der Regel ohne Anpassung übernehmen. Geändert haben sich Lizenzname (Plus/Apex → Advantage/Premier), Installer-Layout (Modul-Auswahl) und auf macOS die Kernel-Extension-Architektur (jetzt System Extensions).
Der Client selbst ist keine Universallösung, sondern das Frontend zu einer Cisco-Backend-Infrastruktur. Ohne eine Gegenstelle (Cisco ASA, Firepower Threat Defense, Meraki MX oder Cisco Secure Access) macht er keinen Sinn. Wer also „nur den Client” installieren will, findet keinen sinnvollen Weg ins Netz.
Seit Cisco Secure Client 5.x ersetzen die neueren Komponenten auf macOS die alten Kernel Extensions durch System Extensions — wichtig für Apple-Silicon-Geräte und alle, die ihre Flotte auf macOS 14/15 heben. Unter Windows 11 läuft der Client stabil, braucht aber die aktuelle Version 5.1 oder höher, um mit modernen Authentifizierungsverfahren (SAML mit Entra ID Conditional Access, Passkeys, Zertifikatsketten aus Intune) sauber zu arbeiten.
Der neue Name ist kein Marketing-Gag. Wenn Sie einen Vertrag verlängern, prüfen Sie, ob Sie noch eine „AnyConnect Plus"-Lizenz haben oder schon auf „Secure Client Advantage/Premier" umgezogen sind. Cisco zieht Lizenzen sukzessive in das neue Modell — unterschiedliche Feature-Sets, unterschiedliche Preise.
Die Komponenten von Cisco Secure Client
Cisco Secure Client ist modular. Sie installieren nicht zwangsläufig alle Teile — nur die, die Ihre Lizenz abdeckt und die Sie brauchen. Die wichtigsten Module:
| Modul | Früherer Name | Funktion |
|---|---|---|
| VPN (SSL/IPsec) | AnyConnect VPN | Verschlüsselter Tunnel zu ASA/FTD/Meraki — SSL (TLS) oder IKEv2/IPsec. Kern-Komponente. |
| Cisco Secure Endpoint | AMP for Endpoint | Endpoint Protection mit Cloud-Telemetrie, Sandbox-Analyse, Retrospective Detection. |
| ISE Posture | AnyConnect Posture | Prüft Geräte-Status (AV, Patchlevel, Verschlüsselung) vor VPN-Freigabe. |
| Cisco Umbrella | Umbrella Roaming | DNS-Security auch außerhalb des Firmennetzes — blockiert Phishing- und Malware-Domains. |
| Secure Endpoint Behavior | — | Verhaltensanalyse mit MITRE-Mapping (in Premier-Tier enthalten). |
| Network Visibility Module (NVM) | NVM | Liefert Flow-Daten (IPFIX) für SIEM und SOC — wer sprach mit wem? |
Das richtige Paket hängt davon ab, was Sie sonst einsetzen. Wer auf Microsoft Defender for Endpoint steht, braucht Secure Endpoint nicht mitzulizensieren — das Modul bleibt deaktiviert. Wer ein reines VPN-Szenario hat, zahlt mit Secure Client Advantage deutlich weniger als mit Premier.
Cisco AnyConnect / Secure Client einrichten – Schritt für Schritt
Eine saubere Einrichtung ist kein Einzeiler. Folgende Reihenfolge hat sich in unseren Projekten bewährt:
- Gegenstelle vorbereiten: ASA, FTD oder Meraki MX mit gültigem SSL-Zertifikat (keine Self-Signed!), aktueller Firmware und einem dedizierten VPN-Pool. Firepower lieber mit FDM/FMC, Meraki direkt im Dashboard.
- Authentifizierung festlegen: SAML mit Entra ID oder Okta ist 2026 Standard. RADIUS zu Duo, Azure MFA oder NPS bleibt möglich. Zertifikate als zusätzlichen Faktor einplanen — per Intune SCEP/PKCS-Verteilung.
- Split-Tunneling entscheiden: Full Tunnel (alles durch die Firma) ist sicher, aber Bandbreiten-fressend. Split Tunnel (nur interne IPs durch VPN) ist performant, braucht aber saubere Policies — sonst läuft Web-Traffic ungeschützt ins Internet.
- AnyConnect-Profil (XML) bauen: Legt Gateway, Fallback-Server, Automatismus und Zertifikats-Auswahl fest. Einmal zentral gepflegt, nicht pro User verändert.
- Rollout planen: Per Intune als Win32-App (MSI + XML-Profil), per SCCM oder als GPO-Verteilung. Manuelle Installation nur für Ausnahmen — in drei Monaten weiß sonst niemand mehr, welche Version wo läuft.
- Posture-Check aktivieren: ISE-Policy bauen, die z. B. BitLocker + Defender + aktueller Patchstand verlangt. Non-Compliance führt in Quarantäne-Netz, nicht direkt in die Produktion.
- Monitoring scharfstellen: VPN-Logins nach SIEM (Sentinel, Elastic, Splunk), fehlgeschlagene MFA-Logins nachverfolgen, geografische Anomalien alarmieren.
Wenn Sie all diese Schritte ernsthaft durchziehen, sind Sie schon weit vor dem Durchschnitt. Die aktuelle BSI-Empfehlung zu sicheren VPN-Lösungen betont genau diese Bausteine: aktuelle Software, MFA, dokumentierte Konfiguration, regelmäßige Tests.
In den meisten VPN-Setups, die wir bei Neukunden in Hamburg finden, läuft das Ding seit Jahren unverändert. AnyConnect 4.x, keine MFA, Split-Tunneling wild konfiguriert. Der VPN-Server ist dann kein Sicherheits-Gateway mehr, sondern eine offene Tür. Das muss man geradeziehen, bevor man über NIS2 oder Cyberversicherung überhaupt reden kann.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Cisco Secure Client vs. Alternativen
Die Entscheidung für oder gegen Secure Client sollte selten emotional fallen. Es geht um drei Fragen: Welche Firewall steht bei Ihnen? Wie viele Nutzer müssen verbunden werden? Und wohin will das Unternehmen architektonisch (klassisches VPN oder Zero Trust)?
| Lösung | Stärken | Schwächen | Passt, wenn … |
|---|---|---|---|
| Cisco Secure Client | Tiefe Integration mit ASA/FTD, Duo, Umbrella; Posture-Check; Enterprise-Support | Teuer ohne Cisco-Gegenstelle; komplex; Lizenz-Dschungel | Sie bereits auf Cisco-Infrastruktur stehen |
| FortiClient | Bundle mit FortiGate-Firewall günstiger als AnyConnect; ZTNA-Agent integriert | Ohne Fortinet-Backend schwach; Updates bleiben manchmal hängen | Sie FortiGate nutzen (siehe FortiClient Deep Dive) |
| OpenVPN (Access Server) | Plattform-unabhängig, bewährt, erschwinglich | Kein integriertes EPP, manuelle Pflege, langsamer als WireGuard | Heterogenes Umfeld, kein Hersteller-Lock-in |
| WireGuard | Sehr schnell, schlanker Code, moderne Kryptographie | Kein native-MFA im Protokoll; 2FA drumherum bauen; kein Posture-Check | Technik-affine IT mit eigenem Ops-Team |
| Zscaler Private Access (ZTNA) | Zero Trust, keine öffentliche VPN-Adresse, App-basiert | Teuer, Abhängigkeit von Cloud-Dienst, komplexe Policies | Sie weg von „Netzwerk-VPN” hin zu App-Zugang wollen |
| Microsoft Entra Private Access | In M365-E5-Lizenz enthalten, tiefe Entra-Integration | Noch in Entwicklung, Feature-Paritaet mit Zscaler fehlt | Sie sowieso Entra ID + Intune nutzen |
Für viele unserer Hamburger KMU ist die ehrliche Antwort: Die Cisco-Infrastruktur ist in Ordnung, aber das Lizenzmodell ist überdimensioniert. Entweder ziehen wir das Paket auf Advantage zurück oder wir migrieren in ein bis zwei Jahren auf WireGuard + Entra ID oder komplett in Richtung ZTNA. Wer sich generell im Thema Cybersecurity neu aufstellt, sollte VPN nicht als isoliertes Projekt sehen, sondern als Teil einer Zero-Trust-Roadmap.
MFA und Posture-Check
Ein VPN ohne Multi-Faktor-Authentifizierung ist 2026 kein Sicherheitsprodukt mehr, sondern eine Checkbox. Zwei-Faktor-Authentifizierung macht laut BSI rund 99 % aller Ransomware-Angriffe wirkungslos — das gilt besonders für gestohlene VPN-Zugänge, die im Darknet als „Initial Access” gehandelt werden. Cisco Secure Client unterstützt alle gängigen MFA-Wege:
- SAML mit Entra ID / Okta / Ping: Der Client öffnet den Browser, der Nutzer authentifiziert sich beim IdP, ggf. mit Conditional Access, Passkey oder Duo. Kommt eine Token-Antwort, baut AnyConnect den Tunnel. Best Practice ab 2026.
- RADIUS + Duo Security: Duo ist Cisco-Tochter, die Integration ist der einfachste Weg für bestehende ASA-Setups. Push-Benachrichtigung aufs Handy, fertig.
- Zertifikate: Per Intune an die Geräte verteilt, als zweiter Faktor neben Passwort oder als erster mit User-Zertifikat. Unsichtbar für den Nutzer, stark gegen Phishing.
- FIDO2 / Passkeys: Über den SAML-Weg möglich. Roadmap 2026/2027 — heute noch Ausnahme, aber die Zukunft.
Der Posture-Check ist das zweite scharfe Schwert. In der klassischen VPN-Welt prüft niemand, ob der Laptop im Café seit Wochen kein Windows-Update gesehen hat. Mit Cisco Identity Services Engine (ISE) Posture ändert sich das: Vor der Freigabe ins Produktivnetz läuft eine Compliance-Prüfung — Festplattenverschlüsselung, aktuelles Antivirus, Patchlevel, Firewall-Status. Wer durchfällt, landet in einem Remediation-Netz. In der Praxis fangen wir damit im ersten Monat 15–20 % der Geräte ab, die sich sonst unbemerkt eingeklinkt hätten.
Wir haben zwei Jahre mit AnyConnect gearbeitet, ohne MFA. Als die Cyberversicherung die Frage gestellt hat, wurde uns klar: Das war Glück, kein Sicherheitskonzept. Seit dem Umstieg auf Duo schlafe ich besser — und die Prämie ist auch runtergegangen.
Lizenzierung und Kosten
Cisco hat das Lizenzmodell mehrfach umgebaut. Der aktuelle Stand (2026):
- Cisco Secure Client Advantage — VPN, ISE Posture, Umbrella Roaming, AnyConnect-Management. Der Brot-und-Butter-Tier für die meisten Mittelständler.
- Cisco Secure Client Premier — zusätzlich Secure Endpoint (EDR) und Network Visibility Module. Für alle, die Endpoint Security konsolidieren wollen.
- Cisco Secure Client VPN Only — nur VPN, ohne Zusatzmodule. Günstig, aber ohne Posture-Check und ohne zentrales Management unbrauchbar.
Die Lizenzen laufen als Subscription pro User und Jahr, verwaltet im Smart Account. Dazu kommt die Gegenstelle (ASA-Plus-/Premier-Lizenz, FTD-Subscription oder Meraki Advanced Security) — die ist oft der teurere Posten. Preise verhandelt Ihr Cisco-Partner; Richtwerte hängen stark von Userzahl und Laufzeit ab, realistisch bewegen sich mittelständische Setups bei 30–80 € pro User/Jahr netto plus Backend-Kosten.
Eine Alternative, die wir öfter empfehlen: Secure Client VPN weiter nutzen und parallel Managed Firewall als Service einkaufen — dann stecken Lizenz, Betrieb und Monitoring im Festpreis und es gibt einen Ansprechpartner statt drei Verträge. Für kleine Unternehmen lohnt der Blick auf Meraki-Bundles mit integrierter Advanced Security — weniger Flexibilität, aber klarer Preis.
Die alten „AnyConnect Plus" und „AnyConnect Apex" Lizenzen werden von Cisco sukzessive auf das neue Modell umgezogen. Wenn Ihre Renewal-Ankündigung plötzlich anders aussieht als in den Vorjahren, ist das kein Fehler — prüfen Sie vor der Verlängerung, ob Sie auf Advantage oder Premier wechseln und ob der Funktionsumfang stimmt.
Häufige Fehler bei Cisco AnyConnect / Secure Client
Nach über 100 VPN-Audits in Hamburg und Norddeutschland sind das unsere Top 7 der vermeidbaren Fehler:
- Keine MFA am VPN. Der klassische Ransomware-Eintrittspunkt. Ohne zweiten Faktor ist das VPN heute eine Haftungsfrage.
- Alte AnyConnect-4.x-Version im Einsatz. Bekommt nur noch Security-Fixes, unterstützt keine modernen SAML-Flows, macht auf macOS Ärger.
- Split-Tunneling unkontrolliert. Entweder läuft der gesamte Traffic durchs Firmennetz (Performance-Problem) oder wichtige SaaS-Dienste umgehen die Firewall (Security-Problem). Dokumentierte Policy, nicht Bauchgefühl.
- Zertifikate laufen leise aus. SSL-Zertifikat auf der ASA läuft ab, VPN fällt am Wochenende aus, Montag kollektiver Produktivitäts-Blackout. Monitoring auf Zertifikatsablauf gehört Pflicht.
- Kein Posture-Check. Jeder Laptop kommt rein, auch wenn BitLocker aus und der Defender seit drei Monaten deaktiviert ist. Absurd — und mit ISE Posture in einer Woche gelöst.
- VPN-Accounts ehemaliger Mitarbeiter. Offboarding läuft in der IT anders als in HR. Vierteljährliche Audits, besser: SCIM-Provisioning zwischen Entra ID und VPN.
- Keine Überwachung der Logins. Fehlgeschlagene MFA, geografische Anomalien (Login aus Südostasien für einen Mitarbeiter in Altona), parallele Sessions — all das muss in ein SIEM. Ohne Alerting merken Sie den Einbruch erst nach Wochen.
Wer diese sieben Punkte strukturiert angeht, hat das Gros der VPN-Risiken bereits erschlagen. Wenn dann noch eine zweite Schicht mit Netzwerk-Segmentierung und Endpoint Protection dazukommt, ist das Fundament solide. Für den Remote-Anteil ist der Leitfaden zu sicherem Homeoffice mit VPN, MDM und Zero Trust eine gute Ergänzung.
Checkliste: Cisco Secure Client sauber aufsetzen
- Aktuelle Version: Cisco Secure Client 5.1 oder neuer ausgerollt, Alt-Installationen entfernt.
- MFA aktiv: SAML + Entra ID oder RADIUS + Duo, dokumentiert und getestet.
- Split-Tunneling definiert: Policy schriftlich, in XML umgesetzt, regelmäßig überprüft.
- Posture-Check: ISE-Policy vorhanden, Non-Compliance-Netz aufgebaut, Remediation-Flow dokumentiert.
- Zertifikats-Monitoring: Ablaufwarnung mind. 60 Tage vorher im Ticketsystem und per E-Mail.
- Rollout per MDM: Intune/SCCM kontrolliert Version und Konfiguration, keine händischen Installationen.
- Logging ins SIEM: Alle VPN-Events, MFA-Failures, Geolocation-Anomalien werden auswertbar erfasst.
- Lizenzstand geprüft: Smart Account-Audit alle 6 Monate, nicht genutzte Lizenzen abbauen.
- Offboarding-Prozess: SCIM oder zumindest Checkliste für den Austritt, VPN-Zugang binnen 24 h deaktiviert.
- Notfallplan: Was tun, wenn der VPN-Dienst ausfällt? Zweite ASA? Backup-Zugang über Meraki? Mindestens dokumentiert.
Was Sie heute tun können
Sie müssen nicht alles auf einmal ändern. Drei Schritte, die Sie diese Woche anstoßen können:
- Version prüfen: Öffnen Sie auf einem Laptop den Secure Client / AnyConnect, schauen Sie im Menü „Über …” nach der Version. Alles unter 5.1 gehört auf die Update-Liste.
- MFA-Status klären: Fragen Sie Ihren IT-Verantwortlichen: Läuft der VPN-Login über MFA? Wenn die Antwort nicht eindeutig „Ja, über Duo/Entra/RADIUS-MFA” ist, dann ist sie „Nein”.
- Audit-Termin setzen: Planen Sie eine kurze Review Ihres VPN-Setups. Intern oder extern — aber mit Ergebnis-Protokoll. Wenn Sie dabei Unterstützung brauchen, reicht ein Erstgespräch, um Prioritäten zu sortieren.
Wir machen solche VPN-Reviews bei Neukunden als Teil der Cyber-Risikoanalyse — meist finden wir dabei 2–3 Quick Wins, die sofort umgesetzt werden können, ohne gleich die ganze Architektur umzukrempeln.
VPN-Audit gefällig? Wir prüfen Ihr Cisco-Setup in 30 Minuten.
Kostenloses Erstgespräch. Ohne Vertriebsdruck. Mit konkreten Handlungsempfehlungen.
Termin buchen →Fazit
Cisco AnyConnect hat einen neuen Namen, aber die alten Probleme bleiben, wenn niemand das Setup pflegt. Cisco Secure Client ist ein solides Enterprise-Produkt — vorausgesetzt, Sie setzen MFA, Posture-Check und ein zentrales Rollout konsequent um. Ohne diese drei Bausteine ist jeder VPN-Client, egal welcher Hersteller, ein Einfallstor. Für Hamburger KMU empfehlen wir in den meisten Fällen: Version 5.x ausrollen, Duo oder Entra ID als MFA, ISE Posture aktivieren — und parallel prüfen, ob der nächste Schritt Richtung ZTNA nicht die bessere Investition ist. Wer VPN, Firewall, Endpoint und Monitoring ohnehin nicht mehr selbst betreiben will, fährt mit Managed IT Services zum Festpreis meist günstiger als mit drei getrennten Verträgen.
Der Umstieg muss nicht teuer oder disruptiv sein. Er muss nur geplant passieren, bevor der nächste Audit oder Cyberversicherer die Lücken für Sie findet.
