Inhalt in Kürze
- RemoteApp streamt einzelne Programme vom Server auf den lokalen Rechner — sichtbar als “Work Resources” im Startmenü, ohne kompletten Remote-Desktop.
- Vier Optionen für Remote-Arbeiten 2026: klassisches RDP/RemoteApp auf Terminalserver, Azure Virtual Desktop, Windows 365 Cloud-PC oder Microsoft 365 nativ ohne Remote-Layer.
- Sicherheit ist Pflicht: RDP direkt im Internet ist laut BSI Top-10-Liste eines der größten Ransomware-Risiken — NLA, MFA und Tunnel sind kein Optional.
- Welche Lösung passt: Hängt an Anzahl der Anwender, Spezial-Software und Lizenzbestand. Wir rechnen drei Modelle gegenüber.
Remote-Arbeiten ist seit 2020 vom Notbetrieb zum Standard geworden. Die Technik dahinter heißt heute aber selten noch “Terminalserver”. Microsoft hat das Thema unter neuen Namen sortiert: Remotedesktopdienste (RDS), Azure Virtual Desktop (AVD) und Windows 365 Cloud-PC. Plus die alte Klassik: RemoteApp.
Dieser Artikel räumt auf — was unterscheidet sich, was passt für welches Hamburger KMU, und wie wird das Ganze sicher.
Was ist RemoteApp wirklich?
Eine RemoteApp ist ein einzelnes Windows-Programm, das auf einem Server läuft, dessen Bildausgabe aber direkt auf dem Anwender-Rechner erscheint. Der Anwender klickt im Startmenü auf “Word”, “SAP” oder die ERP-Anwendung — und das Programm öffnet sich, als wäre es lokal installiert. Es kommt nur ein Fenster, kein zweiter Desktop.
Technisch hängt RemoteApp am gleichen Protokoll wie der klassische Remote Desktop via RDP: RDP. Der Unterschied liegt im Modus. Beim klassischen RDP bekommt der Anwender eine komplette Windows-Sitzung. Bei RemoteApp nur das eine Fenster.
Die veröffentlichten Apps tauchen auf Anwenderseite in einem Bereich auf, den Microsoft seit Server 2008 R2 unverändert “Work Resources” nennt. Das ist der RD-Webfeed, eingerichtet über die Windows-Einstellung “Auf RemoteApp- und Desktopverbindungen zugreifen”. Wer in der Suchmaske bei Google nach “work resources” sucht, landet daher mit hoher Wahrscheinlichkeit auf dieser Funktion.
RemoteApp eignet sich besonders, wenn Anwender nur eine Spezial-Software brauchen (z.B. eine Steuerberater-Lösung oder eine Branchen-Software), aber den restlichen Arbeitsalltag mit lokalem Office bestreiten. Für komplette Remote-Desktops sind Cloud-PCs heute meist die bessere Wahl.
Vier Wege, Remote zu arbeiten — der Vergleich
Welche Lösung passt zu Ihrem Unternehmen? Vier Modelle stehen zur Auswahl. Wir nutzen alle in Kundenumgebungen — die Wahl hängt von Größe, Software-Mix und vorhandener Infrastruktur ab.
| Lösung | Wofür gemacht | Abrechnung | Aufwand | Wann sinnvoll |
|---|---|---|---|---|
| Klassisch RDS / RemoteApp (Windows Server On-Prem oder VM) | Einzelne Apps oder Vollsitzung vom eigenen Server streamen | Server-Lizenz + RDS-CALs pro Nutzer | Hoch — Server pflegen, patchen, absichern | Bestehende Server-Infrastruktur, Spezial-Software ohne Cloud-Variante |
| Azure Virtual Desktop (AVD) | Multi-Session Cloud-Desktops, hohe Skalierbarkeit | Verbrauch + M365-/E-Lizenzen | Mittel-hoch — Microsoft pflegt die Plattform, Sie das Image | Schwankende Last, große Anzahl Nutzer, Mischlast |
| Windows 365 Cloud-PC | Pro Mitarbeiter ein dedizierter Cloud-PC | Festpreis pro Nutzer/Monat | Niedrig — quasi “Cloud-PC out of the box” | Geringer Admin-Aufwand, planbare Kosten, klassische Anwender |
| Microsoft 365 nativ (ohne Remote-Layer) | Office-Apps lokal, Daten in OneDrive/SharePoint | Pro Nutzer/Monat (E3, E5, Business Premium) | Niedrig | Standard-Office-Arbeit, kein Spezial-Programm-Zwang |
Vertieft hatten wir das schon im Artikel Windows 365 vs. Azure Virtual Desktop und im Glossar-Beitrag zu Terminal Server vs. Azure Virtual Desktop.
Die meisten unserer Neukunden haben Microsoft 365 bereits — nutzen aber nur E-Mail und vielleicht Word. Da liegt so viel Potenzial brach: Teams, SharePoint, Intune, Autopilot. Wir helfen, das freizuschalten.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Wann Sie überhaupt einen Terminalserver brauchen
Klare Ansage: Die meisten KMU brauchen 2026 keinen klassischen Terminalserver mehr. Die Standard-Anwender arbeiten mit Office, Teams, einer CRM-Software und einem ERP-System — alles davon gibt es als Cloud-Variante oder als App, die mit lokalem Windows 11 läuft.
Ein Terminalserver oder eine RDS-Farm mit RemoteApps lohnt sich heute, wenn:
- Spezial-Software ohne Cloud-Pendant. Ältere Branchen-Software, die nur als Fat Client auf Windows läuft und nicht modernisiert wird.
- Lizenzkosten sprechen dafür. Manche Anbieter berechnen pro installierte Instanz — RDS reduziert das auf wenige Server-Installationen.
- Datenhaltung bleibt zwingend lokal. Wenn Compliance- oder Vertragsgründe Cloud-Speicher ausschließen.
- Außenstandorte mit schwacher Anbindung. RemoteApp komprimiert nur die Bildausgabe — sparsamer als ein Cloud-Office mit ständigem Datenupload.
- Sehr kurzlebige Saison-Arbeitsplätze. Wer 50 Saisonkräfte für 3 Monate braucht, baut keine 50 Cloud-PCs.
Für alles andere ist heute meist Microsoft 365 mit Modern Workplace oder direkt ein Cloud-PC in Microsoft 365 die bessere Wahl. Wir hatten das bei einer Hamburger Spedition mit 15 Arbeitsplätzen genau so durchgespielt — das alte Citrix mit RemoteApps ist gegen Windows 365 mit Intune in der Total-Cost-Rechnung deutlich abgeschlagen.
Sicherheit: Warum direktes RDP im Internet 2026 tabu ist
Hier ist der ehrlichste Teil dieses Artikels. Viele Unternehmen haben in der Pandemie schnell reagiert: TCP-Port 3389 freigegeben, RDP angeflanscht, fertig. Das funktioniert — und es ist die häufigste Einfallstür für Ransomware in Deutschland.
Das BSI listet das Monitoring von RDP auf Platz 1 der Detektionsmaßnahmen gegen Ransomware-Angriffe. Bei vielen Cyberversicherungen ist offen exponiertes RDP heute bereits ein Ablehnungsgrund. Mit gutem Grund: Brute-Force-Bots scannen 24/7 das gesamte IPv4-Netz nach offenen 3389-Ports, und sie sind effizient.
Pflicht-Bausteine für jede RDP-/RemoteApp-Lösung
- Niemals Port 3389 direkt ins Internet. Stattdessen RD-Gateway, Reverse-Proxy, VPN-Tunnel oder Zero-Trust-Network-Access vorschalten. Ein Tunnel ist Pflicht — kein Empfehlung.
- Network Level Authentication (NLA) erzwingen. Ohne NLA bekommt jeder Verbindungsversuch eine RDP-Logon-Maske präsentiert — perfekt für Brute-Force. Mit NLA muss erst authentifiziert werden, bevor die Sitzung überhaupt aufgebaut wird.
- Multi-Faktor-Authentifizierung (MFA). Pflicht für jeden Remote-Zugang. Microsoft verlangt für AVD und Windows 365 die Conditional-Access-MFA — bei eigenem RDS-Server muss MFA per RD-Gateway oder Azure-MFA-Extension erzwungen werden.
- Patch-Management und Logging. RDP-Schwachstellen wie BlueKeep zeigen jedes Jahr neu, dass ein nicht gepatchter Server in Stunden kompromittiert ist. Patches innerhalb von 7 Tagen einspielen, Anmeldeversuche zentral loggen.
- Konditionierte Zugriffe. Nur aus erlaubten Ländern, nur von compliant Geräten, nur mit gültigem Endpoint-Protection-Status. Conditional Access in Entra ID oder ein VPN mit Geräte-Zertifikat lösen das sauber.
Die ehrliche Antwort auf “Reicht ein VPN?” — nein, nicht alleine. VPN ist ein Tunnel, kein Authentifizierungs-Layer. Ein gestohlenes VPN-Passwort öffnet sonst direkt die Tür. Mehr Tiefe dazu im Artikel Homeoffice sicher gestalten — VPN, MDM, Zero Trust und in der Übersicht zu Remotedesktop oder Virtual Private Network.
Wir haben mehrere Neukunden in Hamburg übernommen, deren ehemaliger Dienstleister Port 3389 offen exponiert hatte — ohne MFA, ohne Geo-Blocking, ohne aktuelle Patches. In zwei Fällen war ein Brute-Force-Angriff bereits erfolgreich, in einem davon kam es zur Vollverschlüsselung. RDP direkt im Internet ist 2026 grob fahrlässig.
Aus der Praxis: Cloud-PC statt Citrix bei Hamburger Spedition
Eine Spedition mit 15 Innendienst-Arbeitsplätzen in der HafenCity hatte 2020 schnell auf Citrix mit RemoteApps gewechselt — ein eigener Windows-Server in der Cloud, RDS-CALs, Citrix-Lizenzen, Anwendungs-Veröffentlichungen für Buchhaltung und das Speditions-System. Funktionierte, aber bei jedem Software-Update lief der Sysadmin (extern) zwei Tage hinterher, und die Lizenzkosten lagen bei knapp 8.000 Euro im Jahr — ohne den Server selbst.
Wir haben durchgerechnet: Windows 365 Business mit dem Frontline-Modell für 15 Lizenzen, Microsoft 365 Business Premium statt der losen Office-Lizenzen, Anwendungspaketierung mit Intune. Ergebnis nach 12 Monaten: Lizenzkosten ähnlich, Wartungsaufwand 70 % weniger, kein Citrix-Renewal mehr, MFA und Conditional Access durchgängig. Der Speditions-GF beschreibt es so:
Wir wollen uns nicht um IT kümmern müssen. Wenn ein neuer Mitarbeiter kommt: Laptop da, E-Mail eingerichtet, Telefon funktioniert. Wenn jemand geht: Zugänge gesperrt. Einfach. Zuverlässig.
Vertieft als Praxis-Bericht: Fallstudie zur IT-Betreuung einer Hamburger Spedition.
Wie hagel IT die Lösung baut — vom Erstgespräch bis Rollout
Der Weg vom “wir brauchen Remote-Arbeiten” zum sicheren Cloud-PC dauert bei uns 4 Wochen — vorausgesetzt, die Microsoft-365-Mandanten sind sauber.
- Cyber-Risikoanalyse + IT-Bestandsaufnahme. Welche Anwendungen müssen mit (Anzahl, Hersteller, Cloud-Eignung)? Welche Lizenzen liegen vor? Wer arbeitet wo, mit welchem Endgerät?
- Lösungsentscheidung. Drei Modelle (RDS, AVD, Windows 365) gegenüber stellen, mit 12-Monats-TCO. Bei den meisten Hamburger Kunden mit 10–50 Arbeitsplätzen gewinnt Windows 365.
- Pilotphase. 3–5 Anwender als Pilotgruppe für 2 Wochen. Realer Tagesbetrieb, alle Spezial-Apps testen.
- Rollout in Wellen. Pro Woche eine Abteilung, mit Anwender-Schulung (60 Minuten online).
- Abschluss-Sicherheits-Härten. Conditional Access, Intune-Compliance-Policies, MFA-Erzwingung, Logging in Sentinel oder Defender XDR.
Mit unseren Managed IT Services läuft danach der Betrieb auf festem Monatspreis ab — Patches, Anwender-Support, Lizenz-Management, Sicherheits-Monitoring inklusive. Ergänzend bauen wir die Lösung mit Cybersecurity-Bausteinen aus: Endpoint-Schutz, Conditional Access, Phishing-Tests.
Was schief geht, wenn man’s “mal eben” macht
In den letzten 24 Monaten haben wir gut zwei Dutzend Remote-Setups übernommen, die ein Vorgänger eingerichtet hatte. Die häufigsten Patzer:
- Offenes RDP im Internet, kein NLA. Klassiker — 80 % der übernommenen Setups hatten das.
- Lokaler Admin-Account auf dem Terminalserver. Mit dem gleichen Passwort wie auf 5 anderen Servern. Pass-the-Hash war damit eine Schande einfach.
- Keine RDS-CALs gekauft. Der Server lief im 120-Tage-Trial — irgendwann ging die ganze RemoteApp-Veröffentlichung aus, und keiner wusste, warum.
- Backup vom RDS-Server, aber nicht von den User-Profilen. Bei einem Vorfall waren alle gespeicherten Anwender-Einstellungen weg — ein Wochenende Mehrarbeit für die ganze Belegschaft.
- Kein zweiter Internet-Anschluss. 4G-Backup ist heute Mindeststandard für jedes Office, das auf Cloud-PCs setzt.
Was kostet das? Ehrliche Hausnummern
Damit Sie eine Vorstellung haben — Werte für ein Hamburger KMU mit 20 Anwendern, alles inklusive Microsoft-Lizenz und Wartung. Echte Erfahrungswerte aus unseren Projekten:
Plus einmalige Setup-Kosten zwischen 2.500 € (Windows 365 Standard-Rollout) und 12.000 € (komplexe AVD-Hostpool-Architektur mit Anwendungspaketierung). Genau aufgeschlüsselt im IT-Kosten-Kalkulator.
Externe Vertiefungen
- Microsoft Learn: Was ist Azure Virtual Desktop? — die offizielle Microsoft-Dokumentation zu AVD
- Microsoft Learn: Windows 365 Übersicht — Aufbau, Editionen, Lizenzierung
- BSI: Top 10 Maßnahmen zur Detektion von Ransomware — RDP-Monitoring auf Platz 1
Ihr nächster Schritt
Sie überlegen, Ihre Remote-Arbeit zu modernisieren oder einen alten Terminalserver abzulösen? Bringen Sie 15 Minuten mit. Wir schauen gemeinsam auf Ihre Lizenzen, Anwendungen und Anwender — und sagen Ihnen ehrlich, ob Windows 365, AVD oder klassisches RDS zu Ihnen passt.
Remote-Arbeiten neu denken?
15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →Wenn Sie ein Hamburger Unternehmen sind, kommen wir auf Wunsch auch direkt vorbei — wir sind IT-Dienstleister in Hamburg in der Spaldingstraße. Lieber per E-Mail oder Telefon? Dann nutzen Sie unsere Kontakt-Seite.
