diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex
index 094f9cb..fa95318 100644
--- a/MA-Inhalt.tex
+++ b/MA-Inhalt.tex
@@ -307,7 +307,7 @@ Damit die VPN-Serverkomponente die aktuelle CRL der PKI über HTTP abrufen kann,
 \section{Gesamtkonzept des VPN-Dienstes} \label{sct:whole_abstract_concept}
 Die geplante Konfiguration des VPN-Servers und dessen Platzierung im DMZ-Netz der Abteilung Informatik wurde in Kapitel~\ref{sct:vpn_concept} bereits dargelegt.
 Ein Konzept für die Installation der PKI auf einem separaten Server im Mitarbeiter-Netz wurde in Kapitel~\ref{sct:user_concept} erläutert.
-Abbildung~\ref{fig:vpn_service_concept} zeigt die in diesem Kapitel geschaffenen Konzepte 
+Abbildung~\ref{fig:vpn_service_concept} zeigt das Konzept des VPN-Dienstes logisch zusammengefasst.
 
 \begin{figure}[ht]
 \centering
@@ -316,12 +316,18 @@ Abbildung~\ref{fig:vpn_service_concept} zeigt die in diesem Kapitel geschaffenen
 \label{fig:vpn_service_concept}
 \end{figure}
 
-\todo{More text, refine this!}
+In der Abbildung sind zunächst die drei Netzwerk-Sicherheitszonen zu sehen, die in Kapitel~\ref{cpt:netarchitecture} bereits vorgestellt wurden: Das Internet, das DMZ-Netz und das Mitarbeiter-Netz.
+Diese Firewall der Abteilung Informatik agiert als Router zwischen diesen Netzen für im Regelwerk der Firewall erlaubte Kommunikation.
 
-VPN-Serverkomponente wird auf VPN-Server in DMZ-Netz installiert.
-VPN-Clientkomponente baut Sitzung zu VPN-Serverkomponente auf und benötigt dafür Firewallfreigabe.
-VPN-Serverkomponente aktualisiert selbst, oder über einen Cronjob, über HTTP ihre Kopie der CRL via Zugriff auf den PKI-Server im Mitarbeiter-Netz und benötigt dafür eine Firewallfreigabe.
-Die aktuelle CRL wird über den Webserver auf dem PKI-Server bereitgestellt und durch die PKI (beziehungsweise einen Cronjob) automatisiert aktualisiert.
+Im Mitarbeiter-Netz soll der CA-Server platziert werden, auf dem die PKI eingerichtet wird.
+Damit die öffentlichen Daten der PKI, so wie Anleitungen und Konfigurationsdateien abrufbar sind, wird auf dem CA-Server zusätzlich eine Webserver-Komponente eingeplant.
+
+Im DMZ-Netz soll der VPN-Server platziert werden, auf dem die VPN-Serverkomponente installiert wird.
+Da die VPN-Serverkomponente eine aktuelle CRL von der PKI benötigt, muss der HTTP-Zugriff vom VPN-Server auf den CA-Server in der Firewall der Abteilung Informatik erlaubt werden.
+
+Im Internet steht beispielhaft der Clientcomputer eines VPN-Benutzers.
+Die auf dem Clientcomputer installierte VPN-Clientkomponente baut über ein VPN-Protokoll eine VPN-Sitzung mit der VPN-Serverkomponente auf.
+Diese Kommunikation zwischen Clientcomputern im Internet und dem VPN-Server im DMZ-Netz muss ebenfalls in der Abteilungsfirewall erlaubt werden.
 
 
 \chapter{Softwareauswahl} \label{cpt:choosing_software}