Netzwerksicherheit klingt nach einem Thema für Konzerne mit eigener IT-Abteilung. Das ist ein Irrtum, der KMU teuer zu stehen kommt. Ransomware-Angriffe treffen mittlerweile häufiger kleine und mittelständische Unternehmen als große, weil die Schutzmaßnahmen dort schwächer sind und die Angreifer das wissen. Eine funktionierende Firewall und ein sauber aufgebautes Netz sind kein Aufwand für Sicherheitsexperten. Sie sind Basisinfrastruktur.
Was eine moderne Firewall wirklich tut
Eine Firewall sitzt zwischen Ihrem Firmennetz und dem Internet. Sie entscheidet, welcher Datenverkehr durch darf und welcher nicht. Das klingt simpel, ist aber in der modernen Variante deutlich mehr als ein reines Filtergerät.
Ältere Firewalls haben Pakete nach Absende- und Zieladresse gefiltert, also nach IP und Port. Das war in den 1990ern ausreichend. Heute ist das zu wenig, weil ein großer Teil der Angriffe über legitime Verbindungen läuft, also über Port 443 (HTTPS), der aus nachvollziehbaren Gründen fast immer offen ist.
Moderne UTM-Firewalls (Unified Threat Management) können mehr:
Deep Packet Inspection prüft den Inhalt des Datenverkehrs, nicht nur Absender und Ziel. Das ermöglicht es, schädliche Inhalte zu erkennen, auch wenn sie über einen normalen HTTPS-Kanal übertragen werden.
Intrusion Detection und Prevention (IDS/IPS) erkennt bekannte Angriffsmuster und blockiert sie aktiv. Das ist der Unterschied zwischen einer Firewall, die meldet, dass etwas versucht wurde, und einer, die den Versuch direkt stoppt.
Virenschutz und Web-Filter auf Netzwerkebene fangen bekannte Schadsoftware ab, bevor sie auf einem Endgerät landet. Das ist kein Ersatz für Endpoint-Schutz auf den Rechnern, aber eine zusätzliche Schicht.
Logging und Reporting halten fest, was im Netz passiert. Ohne Logs hat man bei einem Vorfall keine Möglichkeit, nachzuvollziehen, wie ein Angreifer reingekommen ist oder was er gemacht hat.
Warum der Router vom Provider nicht reicht
Das Gerät, das Ihr Internetanbieter installiert hat, ist ein Zugangsgerät. Es stellt die Verbindung zum Internet her und verteilt sie im Haus. Mehr nicht.
Provider-Router haben keine IDS/IPS-Funktionen, keinen Deep-Packet-Filter, kein Logging, das für eine forensische Analyse taugt, und keine Segmentierungsmöglichkeiten, die einen Unternehmensstandard erfüllen. Die Firmware-Updates kommen unregelmäßig. Die Konfigurationsmöglichkeiten sind begrenzt.
Für einen Heimanschluss ist das ausreichend. Für ein Firmennetz, in dem Kundendaten, Buchhaltung und Korrespondenz laufen, ist es das nicht.
Das heißt nicht, dass der Provider-Router entfernt werden muss. Er bleibt häufig als Übergabepunkt zum Internet stehen. Dahinter kommt dann die eigentliche Firewall, die das Firmennetz schützt.
Netzwerksegmentierung: Warum getrennte Netze schützen
Stellen Sie sich vor, ein Angreifer schafft es, ins Gäste-WLAN Ihres Unternehmens einzudringen, weil ein Gast ein kompromittiertes Gerät mitgebracht hat. In einem unsegmentierten Netz ist das der erste Schritt ins gesamte Firmennetz: Buchhaltungsdaten, Mailserver, Dateiablage, alles erreichbar.
In einem segmentierten Netz ist das Gäste-WLAN ein eigenständiges Segment, das nur Internetzugang hat und vom Produktivnetz vollständig getrennt ist. Der Angreifer sitzt im Gäste-WLAN und kommt nicht weiter.
Drei Segmente gehören in fast jedes KMU-Netz:
Produktivnetz für Mitarbeiter-Rechner und Server. Hier laufen Unternehmensdaten und Anwendungen. Vollständiger Zugang nur für Mitarbeiter mit authentifizierten Geräten.
Gäste-WLAN für Besucher, Kunden, Lieferanten. Nur Internetzugang, kein Zugriff auf interne Systeme. Technisch getrennt vom Produktivnetz.
IoT-Segment für alle vernetzten Geräte, die nicht direkt von Mitarbeitern genutzt werden: Drucker, Türzugangssysteme, Überwachungskameras, smarte Kaffeemaschinen. Diese Geräte bekommen selten Sicherheitsupdates und sind häufig angreifbar. Ein eigenes Segment begrenzt den möglichen Schaden.
| Segment | Wer nutzt es | Zugang zu anderen Segmenten |
|---|---|---|
| Produktivnetz | Mitarbeiter mit Firmengeräten | Nur intern definierte Regeln |
| Gäste-WLAN | Besucher, externe Geräte | Nur Internet |
| IoT | Drucker, Kameras, Sensorik | Nur definierte Dienste |
| Server-DMZ | Öffentlich erreichbare Dienste | Begrenzt, strikt reglementiert |
Die Segmentierung wird über VLANs realisiert. Das sind logisch getrennte Netzwerkbereiche, die über dieselbe physische Infrastruktur laufen können. Die Firewall steuert, was zwischen den Segmenten erlaubt ist.
VPN: Sicherer Zugang von außen
Wenn Mitarbeiter von Zuhause oder unterwegs auf Firmensysteme zugreifen, brauchen Sie einen gesicherten Kanal. Das ist die Kernfunktion eines VPN (Virtual Private Network).
Ein VPN baut eine verschlüsselte Verbindung zwischen dem Endgerät des Mitarbeiters und dem Firmennetz auf. Für das Firmennetz sieht der Mitarbeiter aus, als säße er direkt vor Ort. Das ermöglicht Zugriff auf interne Anwendungen, Dateiserver und andere Ressourcen, die nicht öffentlich erreichbar sein sollen.
Wichtig: VPN ist kein Allheilmittel. Es schützt den Übertragungsweg, nicht das Gerät selbst. Wenn das Heimgerät des Mitarbeiters kompromittiert ist, bringt das VPN wenig. Deshalb gehört zu einem sauberen VPN-Konzept auch eine Endpoint-Schutzlösung auf den Geräten.
Für viele KMU ist Microsofts Always-On-VPN über Intune eine gute Lösung, weil es direkt mit der M365-Infrastruktur zusammenarbeitet und zentral verwaltet werden kann.
Monitoring: Eine Firewall, die niemand beobachtet
Eine Firewall, die niemand überwacht, ist nur halb so wertvoll. Die Geräte produzieren täglich Logs und Warnungen. Wer diese Informationen nicht liest, erfährt nicht, dass jemand seit drei Wochen versucht, ins Netz einzudringen, oder dass ein internes Gerät ungewöhnliche Mengen Daten ins Internet schickt.
Monitoring bedeutet nicht, dass jemand den ganzen Tag auf eine Konsole starrt. Moderne Firewall-Systeme senden automatisch Benachrichtigungen bei kritischen Ereignissen und erstellen regelmäßige Berichte. Die Frage ist, ob jemand diese Benachrichtigungen liest und reagiert.
Für KMU ist das der entscheidende Vorteil einer Managed Firewall: Der externe Dienstleister beobachtet die Meldungen, reagiert auf Auffälligkeiten und hält die Firmware und Signatur-Datenbanken aktuell. Eine Firewall mit veralteten Signaturen erkennt neue Angriffsmuster nicht.
Typische Schwachstellen im KMU-Netz
Was ITCC bei der Erstanalyse eines neuen Kunden am häufigsten vorfindet:
Kein separates Gäste-WLAN. Kunden und Besucher hängen im gleichen Netz wie die Mitarbeiter-Rechner. Das kostet 30 Minuten Einrichtungszeit, um es zu ändern.
Provider-Router als einzige Schutzebene. Keine dedizierte Firewall, keine Segmentierung, kein Logging.
Offene Ports, die niemand mehr braucht. Irgendwann wurde für ein bestimmtes System ein Port im Router freigegeben. Das System ist schon längst weg, der offene Port ist noch da.
Veraltete Firmware. Router und Switches haben Firmware-Updates, die eingespielt werden müssen. In der Praxis passiert das oft jahrelang nicht.
Shared WLAN-Passwörter. Das WLAN-Passwort wurde einmal eingerichtet, seit Jahren nicht geändert, und kennt es mittlerweile gefühlt jeder, der je im Büro war.
Was ein sauber aufgebautes Netz kostet
Netzwerksicherheit für ein KMU ist kein Millionenbudget. Eine UTM-Firewall, sauber aufgesetzt mit Segmentierung und VPN, liegt je nach Unternehmensgröße bei 1.000 bis 3.000 Euro einmalig plus laufende Betriebskosten. Dazu kommt Zeit für die Einrichtung und ein laufendes Managed-Service-Modell, wenn jemand das Monitoring übernehmen soll.
Das klingt nach Geld. Es ist aber erheblich weniger als ein Ransomware-Angriff kostet, der ohne funktionierenden Schutz auch ein kleines Unternehmen für Tage oder Wochen stilllegt. Die durchschnittlichen Kosten eines solchen Angriffs für ein KMU liegen deutlich im fünfstelligen Bereich, Lösegeldforderungen, Wiederherstellungsaufwand und Ausfallzeit eingerechnet.
Wenn Sie nicht wissen, wie Ihr Netz gerade aufgebaut ist, ist das ein guter Ausgangspunkt für ein Gespräch. ITCC analysiert bestehende Netzwerke und macht konkrete Empfehlungen, ohne Zwang zu einem sofortigen Komplettumbau.
Häufige Fragen
Verwandte Themen
- SpezialfälleE-Mail-Sicherheit: SPF, DKIM und DMARC verständlich erklärt
Was SPF, DKIM und DMARC tun, wie sie CEO-Fraud und Spoofing verhindern, und warum fehlende DNS-Einträge Ihre E-Mails im Spam-Ordner landen lassen.
- SpezialfälleHomeoffice sicher anbinden: VPN und Zero Trust für KMU
Risiken bei Remote-Arbeit, VPN vs. Zero Trust Network Access, Gerätemanagement, MFA und Richtlinien für ein sicheres Homeoffice im KMU.
- SpezialfälleMicrosoft Copilot 2026: Was er heute kann und warum er früher schwach war
Copilot hat sich seit dem Start stark verändert. Was er 2026 in Word, Excel, Outlook und Teams leistet, wo er immer noch Grenzen hat und wann er sich für KMU rechnet.