Rexoma IT· Rexoma IT Team · IT-Sicherheit · 5 min read
Netzwerksegmentierung mit VLANs: So schützen KMU ihr Netzwerk
Ein flaches Netzwerk ist die Einladung für Angreifer. Mit VLANs teilen KMU ihr Netz in sichere Zonen – ohne teure Hardware.
In vielen kleinen und mittleren Unternehmen teilen sich Büro-PCs, Kassensysteme, IP-Kameras und das Gäste-WLAN einen einzigen Netzwerkbereich. Das ist bequem einzurichten – aber es ist ein gravierendes Sicherheitsrisiko. Gelangt ein Angreifer oder ein infiziertes Gerät ins Netz, kann er sich ungehindert zu jedem anderen System vorarbeiten. Netzwerksegmentierung mit VLANs schließt genau diese Lücke, und sie lässt sich auch im KMU-Umfeld mit überschaubarem Aufwand umsetzen.
Was ist Netzwerksegmentierung – und warum reicht ein Passwort nicht?
Netzwerksegmentierung bedeutet, ein physisches Netzwerk in mehrere logisch getrennte Bereiche aufzuteilen. Jeder Bereich – auch VLAN (Virtual Local Area Network) genannt – funktioniert wie ein eigenes Netz mit eigenen Regeln. Geräte in verschiedenen VLANs können standardmäßig nicht miteinander kommunizieren, außer die Firewall erlaubt es explizit.
Das Problem mit dem “flachen” Netzwerk: Ein einziges kompromittiertes Gerät reicht, um das gesamte Unternehmensnetz zu gefährden. Ransomware nutzt genau diesen lateralen Bewegungsspielraum, um sich von Rechner zu Rechner zu verbreiten. Laut BSI-Lagebericht gehören Netzwerkinfektionen durch Seitwärtsbewegungen zu den häufigsten Angriffsmethoden gegen KMU.
Typische Szenarien ohne VLANs
- Ein Mitarbeiter öffnet im Büro einen Phishing-Anhang. Die Schadsoftware scannt das Netz und erreicht den Buchhaltungsserver – obwohl der Mitarbeiter dort nie regulären Zugriff hatte.
- Ein Gast verbindet sich mit dem WLAN und kann Drucker, NAS-Systeme oder interne Dienste ansprechen.
- Eine IP-Kamera mit veralteter Firmware wird kompromittiert und dient als Einstiegspunkt ins interne Netz.
Welche Netzwerkzonen braucht ein KMU?
Eine sinnvolle VLAN-Struktur für ein Unternehmen mit 10–150 Mitarbeitern in Sachsen sieht typischerweise so aus:
| VLAN | Bereich | Zweck |
|---|---|---|
| VLAN 10 | Management | Switches, APs, Router-Zugang nur für Admins |
| VLAN 20 | Büro / Clients | Arbeitsrechner, Laptops |
| VLAN 30 | Server | Dateiserver, ERP, Domänencontroller |
| VLAN 40 | Gäste | Gäste-WLAN – nur Internetzugang |
| VLAN 50 | IoT | Drucker, Kameras, Zeiterfassung |
| VLAN 60 | VoIP | IP-Telefonie (FreePBX) |
Diese Struktur ist kein Luxus für Konzerne. Sie ist der Minimalstandard für jedes Unternehmen, das produktiv und sicher arbeiten will.
Was wird technisch benötigt?
Für die Einrichtung einer VLAN-Segmentierung braucht es drei Komponenten:
1. Managed Switch
Im Gegensatz zu einem einfachen “Unmanaged Switch” lassen sich auf einem Managed Switch VLANs konfigurieren und einzelnen Ports zuweisen. Einsteigermodelle von Netgear, TP-Link oder MikroTik sind ab ca. 80–200 Euro erhältlich und für KMU völlig ausreichend.
2. VLAN-fähige Firewall
Die Firewall übernimmt die Kontrolle: Sie vergibt DHCP-Adressen pro VLAN, setzt Firewall-Regeln zwischen den Zonen und loggt den Datenverkehr. OPNsense – eine quelloffene Firewall-Distribution – unterstützt VLANs nativ und ist die bevorzugte Lösung für KMU in Dresden, die Kontrolle und Transparenz über ihr Netz behalten wollen.
3. VLAN-fähige Access Points
Damit das Büro-WLAN und das Gäste-WLAN getrennt bleiben, müssen die Access Points mehrere SSIDs auf verschiedene VLANs aufteilen können. Die meisten Business-APs von UniFi, Aruba oder TP-Link Omada unterstützen dies.
Schritt für Schritt: VLANs einrichten mit OPNsense
Schritt 1 – VLANs auf der Firewall anlegen
In OPNsense navigiert man zu Interfaces → Other Types → VLAN und legt für jede Zone eine eigene VLAN-ID an (z. B. VLAN 20 auf dem internen Interface em1). Anschließend werden die VLAN-Interfaces unter Interfaces → Assignments aktiviert und mit einer festen IP-Adresse als Gateway versehen (z. B. 192.168.20.1/24 für das Büro-VLAN).
Schritt 2 – DHCP pro VLAN aktivieren
Unter Services → DHCPv4 richtet man für jedes VLAN einen eigenen DHCP-Pool ein. So bekommen Geräte im Gäste-VLAN automatisch eine Adresse aus 192.168.40.0/24, während Büro-PCs Adressen aus 192.168.20.0/24 erhalten.
Schritt 3 – Managed Switch konfigurieren
Am Switch werden Ports als “Access Ports” dem jeweiligen VLAN zugewiesen (z. B. Port 1–12 für Büro = VLAN 20) und der Uplink zur Firewall als “Trunk Port” konfiguriert, der alle VLANs tagged weiterleitet.
Schritt 4 – Firewall-Regeln definieren
Jetzt kommt der entscheidende Teil: Welche VLANs dürfen miteinander reden? Grundregeln für KMU:
- Gäste → Internet: Erlaubt
- Gäste → interne VLANs: Gesperrt
- IoT → Internet: Nur wenn nötig, Port-spezifisch
- IoT → interne Server: Gesperrt
- Büro → Server: Erlaubt (spezifische Ports)
- Büro → Management: Gesperrt (nur Admins)
OPNsense setzt diese Regeln über das bekannte Interface unter Firewall → Rules. Wichtig: Die Default-Policy sollte immer “Block all” sein – nur explizit erlaubte Kommunikation passiert die Firewall.
Netzwerksegmentierung und NIS2
Für ostdeutsche KMU, die unter die NIS2-Richtlinie fallen, ist Netzwerksegmentierung keine Kür mehr. Die Richtlinie fordert ausdrücklich technische Maßnahmen zur Schadensbegrenzung – dazu gehört die Isolation sensibler Systeme. Eine dokumentierte VLAN-Struktur ist ein konkreter Nachweis gegenüber Prüfern und Versicherern.
Typische Fehler bei der VLAN-Einrichtung
Zu permissive Firewall-Regeln: Wenn alle VLANs untereinander kommunizieren dürfen, hat die Segmentierung keinen Effekt. Regeln immer nach dem Prinzip “so wenig wie nötig” anlegen.
Management-VLAN nicht gesichert: Das VLAN für Netzwerkgeräte muss am stärksten abgeschirmt sein. Nur der Admin-PC oder ein Jump-Host sollte Zugriff haben.
WLAN ohne VLAN-Trennung: Wenn der Gäste-AP im selben Broadcast-Bereich wie die Büro-PCs sitzt, hilft das schönste SSID-Passwort nichts. Die Trennung muss auf VLAN-Ebene erfolgen.
Unterstützung in Dresden gesucht?
Rexoma IT plant und implementiert Netzwerksegmentierung mit VLANs für KMU in Dresden, Leipzig, Chemnitz und ganz Sachsen. Ob Neubau eines strukturierten Netzwerks oder Nachrüstung bestehender Infrastruktur – wir richten OPNsense, Managed Switches und VLAN-fähige Zugangspunkte so ein, dass Ihr Netz sowohl sicher als auch alltagstauglich bleibt. Nehmen Sie Kontakt auf – erste Einschätzung kostenlos.
FAQ: Netzwerksegmentierung mit VLANs für KMU
Muss ich die gesamte Hardware austauschen, um VLANs einzuführen? Nein. In vielen Fällen reicht es, den vorhandenen Router durch eine OPNsense-Firewall zu ersetzen und einen Managed Switch anzuschaffen. Bestehende Verkabelung bleibt meist vollständig erhalten.
Wie viele VLANs sind sinnvoll für ein Unternehmen mit 20 Mitarbeitern? Vier bis sechs VLANs decken die meisten Anforderungen ab: Büro, Server, Gäste, IoT – und bei Bedarf VoIP und Management. Mehr ist nicht automatisch besser; jede Zone bedeutet auch mehr Wartungsaufwand bei den Firewall-Regeln.
Verlangsamen VLANs das Netzwerk? Nein. VLANs sind rein logische Konstrukte. Der Overhead ist vernachlässigbar. Bei modernen Managed Switches und einer leistungsfähigen Firewall wie OPNsense auf aktueller Hardware bemerken Nutzer keinen Unterschied.
Kann ich VLANs auch mit einem vorhandenen Fritz!Box-Router nutzen? Die Fritz!Box unterstützt VLANs nur eingeschränkt und ohne granulare Firewall-Regeln. Für echte Netzwerksegmentierung empfiehlt sich ein dediziertes Firewall-System wie OPNsense.
Ist Netzwerksegmentierung auch für Homeoffice relevant? Ja. Wer im Homeoffice auf Unternehmensressourcen zugreift, sollte zumindest das Arbeits-WLAN vom privaten Netz trennen. In Kombination mit einem WireGuard-VPN-Tunnel zum Firmenstandort entsteht eine robuste Homeoffice-Infrastruktur.