Netzwerksegmentierung für KMU: Warum ein flaches Netzwerk ein Sicherheitsrisiko ist

In vielen kleinen Unternehmen sieht das Netzwerk so aus: Ein Router vom Internet-Provider, alle Geräte hängen dran — PCs, Laptops, Smartphones, Drucker, IP-Kameras, vielleicht eine smarte Kaffeemaschine. Alles im selben Netzwerk, alle können miteinander reden.

Das ist bequem. Und es ist ein Sicherheitsproblem.

Das Problem mit dem flachen Netzwerk

Wenn alle Geräte im selben Netzwerk sind und ein Gerät kompromittiert wird, hat der Angreifer freie Sicht auf alle anderen. Der infizierte Laptop eines Mitarbeiters kann den Fileserver ansprechen, die IP-Kamera abfragen, den Netzwerkdrucker erreichen und nach weiteren verwundbaren Geräten scannen.

Das nennt sich Lateral Movement — die Fähigkeit eines Angreifers, sich nach einem ersten Einbruch durch das Netzwerk zu bewegen.

Segmentierung begrenzt das: Ein Angreifer der in Segment A einbricht, kommt nicht automatisch an Segment B.

Was VLANs sind

VLAN steht für Virtual Local Area Network — ein logisch getrenntes Netzwerksegment auf derselben physischen Infrastruktur.

Statt drei physische Netzwerke mit drei Switches zu bauen, erstellt man drei VLANs auf demselben Switch. Verbindungen zwischen VLANs werden explizit über die Firewall geregelt — und nur was erlaubt ist, darf kommunizieren.

VLAN 10 — Büro-PCs und Laptops (Mitarbeiter)
VLAN 20 — Server (Fileserver, Druckserver, interne Dienste)
VLAN 30 — Gäste-WLAN (externe Besucher, Smartphones)
VLAN 40 — IoT / Infrastruktur (IP-Kameras, smarte Geräte, Drucker)

Typische Segmentierung für ein KMU

Büro-Segment (VLAN 10)

Mitarbeiter-PCs, Laptops, Arbeitssysteme. Darf Server in VLAN 20 über definierte Ports erreichen (Dateifreigabe, Drucker). Kein Zugriff auf Kamera-System.

Server-Segment (VLAN 20)

Fileserver, interne Dienste, Backup-Server. Strikt abgeschirmt. Nur erlaubter Traffic von VLAN 10 und von außen über VPN.

Gäste-WLAN (VLAN 30)

Kunden, Besucher, Smartphones der Mitarbeiter für private Nutzung. Nur Internet-Zugang. Kein Zugriff auf interne Systeme. Völlig isoliert.

IoT-Segment (VLAN 40)

IP-Kameras, Zugangskontrolle, smarte Geräte, Drucker. Diese Geräte haben oft schwache Sicherheit und selten Updates — sie gehören isoliert. Kein Zugriff auf Büro- oder Server-Segment.

Warum das Gäste-WLAN so wichtig ist

Das Gäste-WLAN ist oft unterschätzt. Wer „kurz das WLAN-Passwort" an einen Besucher weitergibt und alle Geräte im selben Netz hat, gibt diesem Besucher — und jedem mit dem er das Passwort teilt — potenziell Zugriff auf interne Systeme.

Ein separates Gäste-WLAN ist eine der einfachsten und wirksamsten Sicherheitsmaßnahmen die ein KMU umsetzen kann. Die meisten Managed-Access-Points unterstützen das ohne Aufpreis.

Was dafür benötigt wird

Hardware:

• Managed Switch — muss VLAN-fähig sein (z.B. Cisco SG Serie, TP-Link TL-SG108E, Ubiquiti)
• VLAN-fähige Access Points — die meisten Unternehmens-APs (Ubiquiti, Cisco Meraki, Extreme Networks) unterstützen Multiple SSIDs / VLANs
• Firewall — regelt welcher Traffic zwischen VLANs erlaubt ist (Palo Alto, pfSense, Fortinet)

Ein typisches KMU-Setup mit 10–20 Mitarbeitern kostet in der Hardware zwischen 800 und 2.000 € — je nach vorhandener Infrastruktur und gewählten Komponenten.

Was Segmentierung nicht leistet

Segmentierung ist kein Allheilmittel. Sie begrenzt den Schaden nach einem Einbruch — verhindert ihn nicht. Sie ersetzt keine:

• Aktuellen Patches
• Starke Authentifizierung (MFA)
• Mitarbeiterschulungen
• Regelmäßige Backups

Segmentierung ist eine Schicht im mehrschichtigen Sicherheitskonzept (Defense in Depth) — nicht die einzige.

Erste Schritte

1. Bestandsaufnahme: Welche Geräte sind im Netzwerk? In welche Kategorien fallen sie?
2. Switch prüfen: Ist der aktuelle Switch VLAN-fähig? Managed oder Unmanaged?
3. Firewall prüfen: Kann die aktuelle Firewall Inter-VLAN-Routing kontrollieren?
4. Priorität setzen: Gäste-WLAN separieren ist oft in einem halben Tag erledigt und bringt sofortigen Gewinn.

Rapid Conversion IT plant und implementiert Netzwerksegmentierung für KMU — VLAN-Design, Switch-Konfiguration, Firewall-Regeln und Dokumentation. Anfragen →