Inhalt in Kürze
- Unternehmens-WLAN erfordert professionelle Planung — ein Heimrouter reicht nicht
- WPA3 ist seit 2026 der BSI-empfohlene Mindeststandard für Firmennetzwerke
- Gäste-WLAN muss zwingend vom internen Netz getrennt sein (VLAN-Segmentierung)
- Regelmäßige Ausleuchtungsmessungen verhindern Funklöcher und Performanceprobleme
„Unser WLAN ist langsam.” Dieser Satz fällt in fast jedem Erstgespräch mit neuen Kunden. Meistens liegt es nicht an der Internetleitung — sondern an einem WLAN, das nie richtig geplant wurde. Ein Router aus dem Elektronikmarkt, drei Repeater dazwischen, fertig. Das funktioniert zu Hause. Im Unternehmen nicht.
Warum Heim-WLAN im Büro scheitert
Ein Heimrouter ist für 5 bis 10 Geräte ausgelegt. In einem Büro mit 20 Mitarbeitern hängen schnell 60 bis 80 Geräte im Netz: Laptops, Smartphones, Drucker, Videokonferenzsysteme. Dazu kommen Gäste.
Der BSI-Lagebericht 2025 zeigt: Die Zahl neuer Schwachstellen stieg um 24 Prozent. Schlecht konfigurierte WLANs sind ein beliebtes Einfallstor. Besonders KMU sind laut BSI „zu leicht angreifbar”, weil grundlegende Schutzmaßnahmen fehlen.
WLAN richtig planen: Die 5 Schritte
- Bestandsaufnahme: Wie viele Mitarbeiter? Wie viele Geräte? Welche Anwendungen (E-Mail, Videokonferenzen, Cloud-Zugriff)? Das bestimmt die benötigte Bandbreite.
- Ausleuchtungsmessung: Ein Techniker misst vor Ort die Signalstärke in jedem Raum. Betonwände, Stahlträger und Glasfassaden dämpfen das Signal unterschiedlich stark.
- Access-Point-Planung: Faustregel: Ein professioneller Access Point pro 150-200 m² Bürofläche. Bei hoher Nutzerdichte oder Videokonferenzen mehr. Deckendeckende Ausleuchtung statt Wandmontage.
- Netzwerk-Segmentierung: Mindestens drei getrennte Netze (VLANs): Intern, Gäste, IoT-Geräte (Drucker, Kameras). Jedes VLAN hat eigene Firewall-Regeln.
- Dokumentation & Übergabe: Netzwerkplan, Passwörter, Konfiguration — alles sauber dokumentiert. Nicht im Kopf eines einzelnen Technikers.
WLAN-Sicherheit: Was das BSI empfiehlt
Das BSI-Grundschutz-Kompendium NET.2.1 definiert klare Anforderungen für den WLAN-Betrieb in Unternehmen:
- WPA3-Enterprise einsetzen. WPA2-Enterprise ist noch tolerierbar, WPA2-Personal (der Heimstandard) hat im Unternehmen nichts verloren.
- Standard-Passwörter ändern. Klingt banal, wird trotzdem ständig vergessen — bei Routern, Access Points und Management-Interfaces.
- SSID-Broadcast gezielt steuern. Das interne Netz muss nicht für jeden sichtbar sein. Gäste-WLAN dagegen schon.
- Firmware aktuell halten. Automatische Updates aktivieren oder feste Wartungszyklen einplanen.
- 802.1X-Authentifizierung nutzen. Statt eines gemeinsamen Passworts meldet sich jeder Mitarbeiter mit eigenen Zugangsdaten an.
- Rogue-AP-Erkennung aktivieren. Damit erkennen Sie unerlaubte Access Points, die jemand einfach an eine Netzwerkdose steckt.
Wi-Fi Direct — die Funktion, mit der Geräte sich direkt verbinden können — sollte in Unternehmensumgebungen deaktiviert werden. Es umgeht die Netzwerksicherheit und öffnet ein Einfallstor für Angreifer.
Gäste-WLAN: Rechtlich und technisch sauber
Ein offenes WLAN ohne Authentifizierung? Keine gute Idee. Seit der Abschaffung der Störerhaftung 2017 haften Sie zwar nicht mehr automatisch — aber Sie brauchen trotzdem ein Mindestmaß an Absicherung.
Laut Wifirst müssen Verbindungsdaten bei Gäste-WLAN in Deutschland 12 Monate aufbewahrt werden. Ein Captive Portal mit Nutzungsbedingungen und Benutzerauthentifizierung ist Standard.
So setzen wir das bei Kunden in Hamburg um:
| Merkmal | Internes WLAN | Gäste-WLAN |
|---|---|---|
| Verschlüsselung | WPA3-Enterprise | WPA3-Personal |
| Authentifizierung | 802.1X (pro Mitarbeiter) | Captive Portal |
| Netzwerkzugang | Voller Zugriff (je nach Rolle) | Nur Internet |
| Bandbreite | Priorisiert | Gedrosselt |
| VLAN | Internes VLAN | Separates Gäste-VLAN |
Aus der Praxis: WLAN-Probleme, die wir jede Woche sehen
Die meisten WLAN-Probleme lösen wir nicht mit besserer Hardware, sondern mit besserer Planung. Ein Büro in der HafenCity hatte drei Consumer-Repeater — und trotzdem Funklöcher. Wir haben zwei professionelle Access Points montiert, und seitdem läuft alles stabil.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Typische Fehler, die wir bei Neukunden finden:
- Repeater statt Access Points. Repeater halbieren die Bandbreite. Professionelle Access Points mit eigener Verkabelung nicht.
- Ein WLAN für alles. Mitarbeiter, Gäste und der smarte Kaffeeautomat im selben Netz. Das ist ein Sicherheitsrisiko.
- Keine Überwachung. Niemand merkt, wenn ein Access Point ausfällt — bis sich Mitarbeiter beschweren.
- Veraltete Firmware. Sicherheitslücken, die seit Monaten gepatcht sind, bleiben offen.
WLAN 7: Was bringt der neue Standard?
Wi-Fi 7 (802.11be) ist seit 2024 verfügbar und bringt für Unternehmen echte Vorteile:
- Multi-Link Operation (MLO): Geräte nutzen mehrere Frequenzbänder gleichzeitig. Das reduziert Latenz bei Videokonferenzen drastisch.
- Bis zu 46 Gbit/s theoretisch: In der Praxis relevanter — deutlich mehr Durchsatz bei vielen gleichzeitigen Nutzern.
- Bessere Verschlüsselung: WPA3 ist fest integriert.
Für die meisten KMU ist Wi-Fi 7 heute noch kein Muss. Aber bei Neuanschaffungen sollten Sie darauf achten, dass die Hardware Wi-Fi 7-fähig ist. Die Investition lohnt sich langfristig.
Skalierbare WLAN-Lösungen: Heute planen, morgen wachsen
Ihr Unternehmen hat heute 15 Mitarbeiter — in zwei Jahren vielleicht 30. Das WLAN muss mitwachsen, ohne dass Sie alles neu aufbauen.
Was skalierbar bedeutet
- Controller-basierte Lösung: Ein zentraler Controller verwaltet alle Access Points. Neuen AP anschließen — er konfiguriert sich automatisch.
- Cloud-Management: Lösungen wie Cisco Meraki oder Ubiquiti Cloud verwalten alle Standorte zentral. Ideal für Unternehmen mit mehreren Büros in Hamburg, Bremen oder Kiel.
- Modulare Hardware: Access Points, die sowohl Wi-Fi 6 als auch Wi-Fi 7 unterstützen. So sind Sie für die nächsten 5 Jahre gerüstet.
Kunden-WLAN als Kundenbindung
Für Unternehmen mit Kundenverkehr — Hotels, Restaurants, Arztpraxen, Autohäuser — ist Gäste-WLAN kein Nice-to-have. Es ist eine Erwartung. Ein stabiles, schnelles WLAN hinterlässt einen professionellen Eindruck. Ein WLAN, das ständig abbricht, das Gegenteil.
„Wir wollen möglichst wenig mit der IT zu tun haben — es muss funktionieren. Wenn ein neuer Mitarbeiter kommt: Laptop da, E-Mail eingerichtet, Telefon funktioniert."
— Niklas Roth, Geschäftsführer, Beteiligungsgesellschaft, 5-8 Mitarbeiter
IT, die einfach funktioniert. Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →Was kostet Unternehmens-WLAN?
Eine ehrliche Kalkulation für ein Büro mit 20 Mitarbeitern in Hamburg:
| Posten | Kosten (ca.) |
|---|---|
| 3-4 professionelle Access Points | 1.200 – 2.000 € |
| Netzwerk-Switch (PoE) | 500 – 800 € |
| Verkabelung (Cat 6a) | 500 – 1.500 € |
| Einrichtung & Konfiguration | 500 – 1.000 € |
| Gesamt einmalig | 2.700 – 5.300 € |
| Laufende Wartung & Monitoring | Teil des Managed-IT-Vertrags |
Bei hagel IT ist die WLAN-Betreuung im Managed-IT-Festpreis enthalten. Sie zahlen nicht extra, wenn ein Access Point getauscht oder die Konfiguration angepasst werden muss.
Tipp: Mehr über Netzwerk-Infrastruktur von hagel IT erfahren.
