Sicherheit, die in der Struktur steckt: VLANs, eigene WLANs und eine Firewall in der Mitte

Ein einziges, flaches Netz ist herrlich bequem – und genau deshalb gefährlich: Wer einmal drin ist, ist überall drin. Dieser Beitrag zeigt, wie man mit VLANs, mehreren WLANs und einer Firewall in der Mitte Sicherheit dorthin baut, wo sie keiner mehr eben so aushebelt – in die Struktur. Vom Tresor für Hypervisor und Backup über getrennte Funknetze für IoT und Gäste bis zur DMZ und zum sauberen Zugang für Externe.

Stand: Juni 2026 · von byteland software solutions

Stellen Sie sich ein Bürogebäude vor, in dem es keine einzige Tür gibt. Nur eine große Halle. Buchhaltung, Serverraum, der Empfang für Besucher, die Teeküche mit dem smarten Kühlschrank, das Archiv mit den Personalakten – alles im selben Raum, und jeder kann an jedes Regal. Solange ausnahmslos alle brav sind, geht das gut. Aber Sicherheit, die darauf baut, dass alle immer brav sind, ist keine Sicherheit. Sie ist Hoffnung mit Netzwerkkabel.

Die unbequeme Wahrheit lautet: Irgendein Gerät wird irgendwann kompromittiert. Die Phishing-Mail im richtigen Moment, die Kamera mit der Firmware von 2019, der Drucker, den seit Jahren niemand aktualisiert, der USB-Stick vom Praktikanten. Die spannende Frage ist nicht ob, sondern was der Angreifer dann erreichen kann. In einem flachen Netz lautet die Antwort: alles. Vom gekaperten Smart-TV im Besprechungsraum ist es nur ein kurzer Spaziergang („lateral movement", wie es im Fachjargon heißt) bis zum Buchhaltungs-PC und zum Backup-Server.

Schiffe lösen dieses Problem seit über hundert Jahren mit Schotten – wasserdichten Querwänden. Ein Leck flutet eine Kammer, nicht das ganze Schiff. Genau das ist Netzwerk-Segmentierung: Man zieht Schotten ein, damit aus einem Leck kein Untergang wird. Und das Schöne ist – anders als beim Schiffsbau muss man dafür kein einziges Kabel neu verlegen.

Was ein VLAN eigentlich ist

Ein VLAN (Virtual Local Area Network) zieht genau diese Wände ein – rein logisch, auf der vorhandenen Hardware. Auf derselben physischen Switch-Infrastruktur entstehen mehrere voneinander getrennte Netze. Technisch bekommt jedes VLAN eine Nummer, die VLAN-ID. Laufen mehrere VLANs über eine gemeinsame Leitung zwischen den Switches – einen Trunk –, heftet der Switch jedem Frame einen kleinen Tag nach IEEE 802.1Q mit dieser Nummer an, um die Netze auseinanderzuhalten. An der einzelnen Dose dagegen, dem Access-Port, an dem ein Gerät hängt, laufen die Frames ungetaggt; dort ergibt sich die VLAN-Zugehörigkeit allein aus der Konfiguration des Ports. So gehört ein Access-Port zu genau einem VLAN, während ein Trunk mehrere gebündelt transportiert.

Das Entscheidende dabei: Geräte in VLAN 10 und VLAN 20 leben in getrennten Broadcast-Domänen. Sie sehen einander auf Ebene 2 schlicht nicht – als hinge zwischen ihnen eine Wand, obwohl sie am selben Switch stecken. Wer von einem Netz ins andere will, muss geroutet werden (Ebene 3). Und genau diesen einen Übergang kann man bewachen, statt tausend einzelne Geräte hüten zu müssen. Aus „jeder darf überallhin" wird „der Übergang ist genau eine Stelle – und die hat einen Türsteher".

Sicherheit, die man nicht wegklicken kann

Der eigentliche Gedanke hinter Segmentierung ist eine Haltung: von einem Einbruch ausgehen, nicht ihn wegwünschen. Man baut das Netz nicht in der Annahme, dass nie etwas hineinkommt, sondern so, dass ein Eindringling möglichst wenig erreicht, wenn er drin ist. Fachleute nennen das die Begrenzung des „blast radius" – der Schadensradius soll klein bleiben.

Das Schöne daran: Diese Sicherheit steckt in der Struktur, nicht in der Disziplin einzelner Geräte. Sie verlässt sich nicht darauf, dass jeder Drucker gepatcht, jede Kamera gehärtet und jeder Benutzer wachsam ist. Eine Wand zwischen zwei VLANs steht auch dann noch, wenn das Gerät dahinter längst übernommen ist. Genau das macht strukturelle Sicherheit so belastbar: Man kann sie nicht aus Versehen wegklicken.

Die Kronjuwelen kommen in den Tresor

Hier wird Segmentierung zur Lebensversicherung. Die wertvollsten Systeme im Haus sind nicht die Arbeitsplätze, sondern die Fundamente: die Hypervisor-Hosts, auf denen Dutzende virtuelle Maschinen laufen; die Backup-Server; der zentrale Speicher; und die Out-of-Band-Verwaltung der Hardware (iLO, iDRAC, IPMI), über die man eine Maschine selbst dann steuert, wenn sie eigentlich aus ist. Kurz: Wer den Hypervisor besitzt, besitzt alle VMs darauf. Wer das Backup besitzt, besitzt den Notausgang.

Deshalb wandern diese Kronjuwelen in ein eigenes Management-VLAN – den Tresor. Darauf hat im Normalbetrieb niemand Zugriff: kein Arbeitsplatz, keine Server-Anwendung, kein WLAN, schon gar kein Gast und erst recht kein IoT-Gerät. Der einzige Weg hinein führt über einen klar definierten, eng bewachten Admin-Pfad – idealerweise über ein dediziertes Sprungsystem und mit zweitem Faktor. Der Hausmeisterschlüssel hängt nicht am Empfang.

Besonders die Backups verdienen diese Sorgfalt. Moderne Ransomware nimmt ganz gezielt die Datensicherung ins Visier – meist kurz vor der eigentlichen Verschlüsselung, denn ein Opfer mit intaktem Backup zahlt kein Lösegeld. Liegt der Backup-Server in einem isolierten VLAN, das die Produktivsysteme gar nicht erst erreichen können (und zieht er sich die Daten am besten selbst, statt sie sich zuschicken zu lassen), dann läuft ein Angreifer, der gerade einen Server gekapert hat, genau hier vor eine Wand. Das Backup ist der letzte Rückzugsort – der gehört hinter die dickste Tür.

Die Firewall in der Mitte – mit wachen Augen

Sobald Verkehr von einem VLAN ins andere soll, gibt es keine direkte Abkürzung: Er wird geroutet, und auf dem Weg steht eine Firewall. Die Grundhaltung heißt default deny – erlaubt ist nur, was ausdrücklich erlaubt wurde, alles andere ist verboten. Nicht „alles offen, bis es Ärger gibt", sondern „alles zu, bis es einen guten Grund gibt". Der Mitarbeiter-PC darf den Server auf Port 443 erreichen? Eine Regel. Er darf ins Management-VLAN? Niemals – dafür gibt es schlicht keine Regel, und ohne Regel ist die Tür zu.

In dieser Firewall sitzt nicht nur ein Türsteher, sondern auch eine wache Überwachung:

• Ein IDS (Intrusion Detection System) schaut dem Verkehr zu und schlägt Alarm, wenn es ein bekanntes Angriffsmuster erkennt. Es ist der aufmerksame Beobachter, der ruft: „Da stimmt was nicht!" – aber nicht selbst eingreift.
• Ein IPS (Intrusion Prevention System) geht den entscheidenden Schritt weiter: Es sitzt inline mitten im Datenstrom und blockt den Angriff sofort, statt nur zu petzen. Erkannt, geblockt, fertig.

Bei unseren UniFi Dream Machines übernimmt das eine Suricata-Engine, die den Verkehr in Echtzeit gegen laufend aktualisierte Signaturen prüft. Diese Signaturen stammen vom Sicherheitsspezialisten Proofpoint: Im kostenlosen Standard läuft der ET-Open-Regelsatz, mit dem Zusatz-Abo CyberSecure der deutlich umfangreichere ET-Pro-Satz (in der Oberfläche als „Enhanced" ausgewiesen) – die Engine bleibt dabei dieselbe Suricata, es kommen nur mehr und aktuellere Signaturen dazu. So bewacht ein und dasselbe Gerät die Übergänge zwischen den Zonen und hört gleichzeitig mit, ob in diesem Verkehr etwas Bösartiges steckt.

Ein ehrlicher Zusatz gehört dazu: Eine Firewall sieht nur, was tatsächlich über sie geroutet wird – den Verkehr zwischen den VLANs ebenso wie den ins und aus dem Internet. Was dagegen innerhalb desselben VLANs direkt von Gerät zu Gerät läuft, reicht der Switch auf Ebene 2 weiter; es erreicht die Firewall nie und bleibt ihr verborgen. Diesen seitlichen Verkehr im internen Netz nennt man Ost-West-Verkehr (East-West) – und ihn abzusichern ist gerade der Sinn der Segmentierung: Was getrennt gehört, gehört in verschiedene VLANs, sonst stehen die Geräte trotz Firewall wieder in derselben Halle.

Schematisch (VLAN-IDs beispielhaft): Internet und externe Zugänge betreten das Netz nur über die Firewall der Dream Machine. Dahinter liegt jede Geräteklasse in ihrem eigenen VLAN – und jeder Übergang zwischen den Zonen führt ausnahmslos durch die Firewall mit IDS/IPS.

Ein WLAN ist nicht genug: mehrere SSIDs

Was für die Kabelwelt gilt, gilt im Funk genauso – nur sieht man die Wände hier noch weniger. Die Lösung: mehrere WLANs, also mehrere SSIDs, von denen jede auf ein eigenes VLAN zeigt. Das Funknetz wird damit zur drahtlosen Verlängerung der Segmentierung. Wer sich mit dem „Gäste"-WLAN verbindet, landet im Gäste-VLAN; wer das „IoT"-WLAN nimmt, im abgeriegelten IoT-Netz. Typischerweise trennen wir mindestens:

• Mitarbeiter-WLAN: für die Arbeitsgeräte, mit Zugriff auf die internen Dienste, die sie brauchen – und nur auf die.
• Gäste-WLAN: nur Internet, sonst nichts – mit Client-Isolation, die die Gäste-Geräte voneinander abschottet. Der Besucher soll surfen, nicht das Netz erkunden.
• IoT-WLAN: für Kameras, Drucker, Sensoren, smarte Geräte. Streng abgeriegelt – diese Geräte dürfen ins Internet (wenn überhaupt) und zu ihrem Dienst, aber nicht in die Nähe von Arbeitsplätzen oder Servern.

Der Grund ist so simpel wie unbequem: IoT-Geräte sind notorisch unsicher. Die billige Kamera, der Saugroboter, der smarte Fernseher im Besprechungsraum – viele bekommen nie wieder ein Update und sind kleine, vergessliche Computer mit Netzwerkanschluss. So ein Gerät gehört nicht ins selbe Netz wie die Buchhaltung. Anders gesagt: Ihre Glühbirne muss nicht mit dem Lohnbüro reden. Und ganz nebenbei lassen sich über dieselbe Logik auch Benutzergruppen trennen – Verwaltung, Werkstatt, mitgebrachte Privatgeräte: jede Gruppe in ihre Zone, jede mit genau den Rechten, die sie braucht.

Die DMZ: der Vorraum für alles, was von außen erreichbar ist

Manche Dienste müssen aus dem Internet erreichbar sein – ein Webserver, ein Reverse Proxy, ein Mail-Relay, ein Portal für Kunden. Diese Systeme sind per Definition exponiert; sie stehen mit einem Bein draußen. Sie ins interne Netz zu stellen, wäre, als baute man die Eingangstür direkt ins Schlafzimmer.

Deshalb gibt es die DMZ, die demilitarisierte Zone: ein eigenes VLAN als Vorraum, eine Art Empfangsbereich mit Tresen. Von außen erreichbar, aber nach innen streng abgeriegelt. Wird ein öffentlicher Dienst gekapert, sitzt der Angreifer in der DMZ fest – die Firewall zwischen DMZ und internem Netz lässt ihn nicht weiter. Er ist im Empfangsbereich, und die Tür zum Rest des Hauses bleibt zu. Die Faustregel: Von der DMZ nach innen ist grundsätzlich verboten; von innen in die DMZ nur das, was wirklich nötig ist.

Externe Mitarbeiter: Zugang ja, Generalschlüssel nein

Dienstleister, Freelancer, der Support des Software-Herstellers, das Team im Homeoffice – sie alle brauchen manchmal Zugriff. Aber Zugriff heißt nicht freie Bahn. Der Klassiker zum Davonlaufen ist der VPN-Tunnel, der jeden Externen mitten ins flache LAN entlässt, mit Sicht auf alles. Das ist der Generalschlüssel für den Hausmeister-Notdienst, der danach nie zurückgegeben wird.

Sauberer geht es so: Externe kommen per VPN herein (bei UniFi etwa über WireGuard) und landen in einer eigenen Zone, die per Firewall nur genau die Systeme erreicht, die für den Auftrag nötig sind – das eine Zielsystem, nicht das ganze Netz. Das Prinzip heißt geringste Rechte (least privilege): So viel Zugang wie nötig, so wenig wie möglich. Der Monteur kommt an die Anlage, an der er schrauben soll – und sonst nirgendwo hin.

Womit wir das bauen: die UniFi Dream Machine

Theorie ist schön, aber es muss jemand bedienen. Bei uns übernimmt das eine UniFi Dream Machine – ein Gerät, das Router, Firewall, IDS/IPS und die Netzwerk-Verwaltung in einem vereint. Damit lässt sich die ganze Struktur an einer Stelle gießen:

• Netze = VLANs: Jedes Netz bekommt seine VLAN-ID, sein Subnetz und sein DHCP. Management, Server, Mitarbeiter, IoT, Gäste, DMZ – jede Zone ein paar Klicks.
• WLANs auf VLANs: Jede SSID wird einem Netz zugewiesen. Das Funknetz erbt damit automatisch die Trennung der Kabelwelt.
• Zonen-Firewall: Die neuere UniFi-Generation denkt in Zonen und einer Richtlinien-Matrix dazwischen – also genau in der Sprache der strukturellen Sicherheit. Wer darf von wo nach wo? Eine Tabelle, default deny.
• Threat Management: Das Suricata-basierte IDS/IPS lässt sich pro Bedrohungskategorie scharfschalten und hört am Übergang mit.
• VPN für Externe: WireGuard-Zugänge, die in eine eng begrenzte Zone münden.

Das Ergebnis ist kein Bastelwerk aus fünf Kisten verschiedener Hersteller, sondern eine durchgängige, überschaubare Struktur – wartbar, dokumentierbar und im Ernstfall nachvollziehbar.

Der Bauplan in Kurzform

Wenn man alles zusammensetzt, entsteht ein wiederkehrendes Grundmuster – eine Richtlinien-Matrix mit der Grundhaltung default deny, in der nur das Nötige ausdrücklich erlaubt wird:

# Grundhaltung: default deny zwischen ALLEN Zonen.
# Erlaubt ist nur, was hier ausdruecklich steht.

Mitarbeiter   -> Internet            : erlaubt
Mitarbeiter   -> Server (z. B. 443)  : erlaubt
Mitarbeiter   -> Management          : VERBOTEN

Server        -> Internet (Updates)  : erlaubt, eng gefasst
Server        -> Management          : VERBOTEN

IoT           -> Internet            : erlaubt (oder ganz gesperrt)
IoT           -> alle internen Zonen : VERBOTEN

Gaeste        -> Internet            : erlaubt (isoliert), sonst nichts

DMZ           -> internes LAN        : VERBOTEN
LAN           -> DMZ (definierte Ports): erlaubt

VPN-Extern    -> nur das Zielsystem  : erlaubt
*             -> Management (Tresor)  : VERBOTEN  (nur ueber Admin-Pfad)

Ergebnis: Ein Netz, das einen Einbruch nicht zur Katastrophe werden lässt. Die gekaperte Kamera bleibt im IoT-VLAN gefangen, der Gast sieht nur das Internet, der gehackte Webserver kommt nicht aus der DMZ heraus, und Hypervisor wie Backup liegen unberührt im Tresor – auch dann, wenn anderswo schon jemand sein Unwesen treibt. Sicherheit, die in der Struktur steckt, statt in der Hoffnung, dass schon nichts passiert.

Häufige Fragen