LAN (Local Area Network) verstehen: Der Praxisguide für IT-Entscheider 2026

Inhalt in Kürze

• Ein LAN ist das lokale Netzwerk innerhalb Ihres Unternehmens — kabelgebunden nach IEEE 802.3 (Ethernet), mit Switches, Router, Access Points und strukturierter Cat6a-Verkabelung als Rückgrat. Alles Geschäftskritische läuft darüber, bewusst oder unbewusst.
• LAN vs. WLAN vs. WAN: Das LAN verbindet Geräte im Gebäude (Kabel), das WLAN ist die Funkversion desselben LANs (jeder Access Point hängt am LAN-Kabel), das WAN koppelt Standorte über Internet oder MPLS.
• Für KMU reichen 1 Gbit/s am Arbeitsplatz aus — aber Server-Uplinks, NAS und WiFi-6-Access-Points gehören an 2,5 oder 10 Gbit/s. Cat6a ist bei Neuverkabelung 2026 der einzig sinnvolle Standard.
• VLAN-Segmentierung und 802.1X sind seit NIS-2 faktisch Pflicht. Ein kompromittierter Drucker darf nicht mehr im selben Segment wie die Buchhaltung hängen — sonst wird aus einem Mini-Vorfall ein Totalausfall.
• Die sieben häufigsten LAN-Fehler im Mittelstand sind Consumer-Switches, Cat5e im Neubau, flaches Netz, zu schwache AP-Uplinks, fehlende Messprotokolle, keine USV am Core-Switch und keine Port-Dokumentation. Jeder einzelne davon kostet später das Zehnfache der Einsparung.

Sie sehen kein LAN. Sie sehen Outlook, Teams, den Netzwerkdrucker im Flur, das ERP. Aber unter jedem dieser Klicks läuft dasselbe Fundament: ein lokales Netzwerk, das entweder ruhig seinen Dienst tut — oder alles andere mit runterreißt, wenn es stolpert.

Dieser Guide erklärt LAN kompakt für Geschäftsführer und IT-Verantwortliche in Hamburg und Norddeutschland: Was ein LAN ist, welche Komponenten rein müssen, wie die Architektur in einem gesunden Business-Netz aussieht und wo die typischen Fehler sitzen. Geschrieben auf Basis unserer täglichen Arbeit als IT-Dienstleister für Hamburger KMU.

Was ist ein LAN (Local Area Network)?

Ein LAN (Local Area Network) ist ein lokales Netzwerk, das Endgeräte wie Computer, Server, Drucker und Telefone innerhalb eines begrenzten geografischen Bereichs miteinander verbindet — typischerweise ein Büro, eine Etage oder ein Firmencampus. Technisch basiert es in über 95 Prozent der Fälle auf dem IEEE-802.3-Standard (Ethernet), verwaltet wird es von einem oder mehreren Switches, und die Grenze zum Internet zieht ein Router oder eine Firewall.

Der entscheidende Unterschied zu größeren Netzwerktypen ist die Reichweite und die Kontrolle: Ein LAN gehört Ihnen, es endet an der Firewall, und Sie bestimmen, was darin erlaubt ist. Sobald Datenverkehr das Haus verlässt — zur Cloud, zur Filiale, zum Homeoffice — reden wir von einem WAN.

Ein paar Kernbegriffe, die wir im Rest des Artikels benutzen:

• Ethernet: Die kabelgebundene LAN-Technologie, standardisiert als IEEE 802.3
• Switch: Zentrales Verteilergerät, das die Ports im LAN miteinander verbindet
• Router/Firewall: Gateway zwischen LAN und Internet, regelt den Verkehr nach außen
• VLAN: Virtuelles LAN, logische Trennung innerhalb eines physischen Netzwerks (IEEE 802.1Q)
• DHCP: Vergibt automatisch IP-Adressen an alle Geräte im LAN
• Access Point (AP): Funkbrücke zwischen WLAN-Clients und kabelgebundenem LAN

Historisch geht Ethernet auf Robert Metcalfe bei Xerox PARC (1973) zurück. Standardisiert als IEEE 802.3 seit 1983, transportiert es heute laut heise Netze weit über 80 Prozent des weltweiten lokalen Netzwerkverkehrs — auch dann, wenn der Nutzer am Laptop nur das WLAN-Icon sieht. Jeder Access Point hängt am Ende am Ethernet-Switch. Wer tiefer einsteigen möchte, findet in unserem Artikel zu den Ethernet-Grundlagen für IT-Entscheider Details zu Kabel-Kategorien, PoE und den aktuellen Geschwindigkeiten.

LAN vs. WAN vs. WLAN vs. MAN — was ist was?

Die Begriffe werden in der Praxis gern durcheinander geworfen. Die folgende Tabelle zieht die Linien sauber:

In der Praxis spielen fürs KMU vor allem LAN, WLAN und WAN eine Rolle. MAN taucht bei mehreren Hamburger Standorten im gleichen Stadtteil auf (dunkle Glasfaser), PAN ist Consumer-Technik.

Wichtig zu verstehen: WLAN ist keine Alternative zum LAN. Es ist eine Erweiterung. Jeder Access Point hängt per Ethernet-Kabel am Switch. Ein schlechtes LAN macht kein gutes WLAN — eher umgekehrt. Wenn das WLAN ruckelt, liegt das Problem in 70 Prozent der Fälle im kabelgebundenen Unterbau, nicht in der Funkstrecke. Wer einen zentral gemanagten Funkteil sucht, ist mit unserem Managed-WiFi-Angebot gut beraten — Access Points, Controller, Reporting und Firmware-Pflege im Festpreis.

LAN-Komponenten: Switch, Router, NIC, Kabel

Ein Business-LAN besteht aus Passivtechnik (Kabel, Dosen, Patchfeld) und Aktivtechnik (Switches, Router, Access Points). Beides muss zusammenpassen — der teuerste Switch bringt nichts, wenn er an müder Cat5e-Verkabelung hängt.

Passivtechnik: strukturierte Verkabelung

• Verlegekabel: 2026 standardmäßig Cat6a (10 Gbit/s, 100 m, PoE++-tauglich). Cat5e ist im Bestandsbau noch ok, bei Neuverlegung nicht mehr sinnvoll
• Doppeldosen: Jeder Arbeitsplatz bekommt zwei RJ45-Ports — einer für PC, einer für IP-Telefon oder Zweitgerät
• Patchpanel: Zentraler Punkt im Serverraum oder Netzwerkschrank, an dem alle Kabel münden
• Messprotokoll: Nach der Installation muss jede einzelne Strecke durchgemessen werden (Fluke-Messprotokoll). Ohne Protokoll keine Abnahme

Aktivtechnik: Switches und Router

• Access-Switches: Der Switch, an dem die Arbeitsplätze hängen. Managed, mindestens 24 Ports, PoE++ für Telefone und APs, 1 Gbit/s am Client-Port, 2,5–10 Gbit/s am Uplink
• Core-Switch / Aggregation: Bei größeren Installationen ein zentraler Knoten, an dem die Access-Switches zusammenlaufen. 10 Gbit/s aufwärts
• Router / Firewall: Trennt das LAN vom Internet, inspiziert den Verkehr. Bei KMU oft eine Next-Generation-Firewall (NGFW), die gleichzeitig VPN und Intrusion Detection liefert
• Access Points: Für die WLAN-Versorgung, hängen per LAN-Kabel am Switch. Mit PoE++ versorgt, WiFi 6/6E als Standard 2026

Endgeräte: Netzwerkkarten (NIC)

Jeder PC, Server und jedes Telefon hat eine Network Interface Card (NIC) — die Netzwerkschnittstelle, meist direkt aufs Mainboard gelötet. Bei Servern kommen oft zwei oder vier NICs zum Einsatz (Redundanz, NIC-Teaming). Moderne Business-Laptops haben entweder einen eingebauten RJ45-Port oder einen USB-C-Adapter für stationäre Nutzung.

In 20 Jahren habe ich kein einziges Unternehmen gesehen, das beim LAN-Aufbau zu viel ausgegeben hat — aber Dutzende, die beim Sparen das Zehnfache an Folgekosten produziert haben. Ein gutes LAN hält 15 Jahre. Die 2.000 Euro, die Sie heute am Cat6a-Kabel sparen, zahlen Sie 2030 beim Umrüsten auf WiFi 7.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Typische Business-LAN-Architektur (Core, Access, VLANs, DHCP)

Ab etwa 20 Mitarbeitern reicht ein „alles in einem großen Topf”-Netzwerk nicht mehr. Stattdessen bauen wir eine klare Hierarchie — und das schon seit Cisco sie vor 20 Jahren als Best Practice definiert hat (siehe die öffentliche Cisco Enterprise Campus Architecture).

Das Drei-Ebenen-Modell (vereinfacht für KMU)

• Access Layer: Die Switches, an denen die Endgeräte hängen. Meist ein Switch pro Etage oder Bereich. Hier landen die Arbeitsplatz-Kabel
• Distribution / Core Layer: Zentraler Switch im Serverraum, an dem die Access-Switches per Uplink hängen. Bei kleinen KMU fällt Distribution und Core oft in einem Gerät zusammen
• Edge / Gateway: Router oder Firewall, der das LAN mit dem Internet, VPN-Partnern und der Cloud verbindet

VLAN-Segmentierung — das 2026er Minimum

Auf dieser Hardware legen wir logische Teilnetze (VLANs) an. Ein sinnvolles Segmentierungs-Schema für ein 50-Mitarbeiter-KMU in Hamburg sieht typischerweise so aus:

DHCP, DNS und zentrale Dienste

Zentral im Server-VLAN laufen DHCP (vergibt IP-Adressen), DNS (Namensauflösung) und bei Microsoft-Umgebungen Active Directory. Eine saubere Netzwerkinstallation für kleine Unternehmen startet immer mit dem IP-Adresskonzept — welcher Bereich gehört welchem VLAN, wie viele Geräte sind maximal zu erwarten, wo sind die Reserven für Wachstum.

LAN-Performance: 1 / 2,5 / 10 Gigabit Ethernet im Alltag

Die häufigste Frage aus der Geschäftsführung: „Wie schnell muss das sein?” Die kurze Antwort: Für Arbeitsplätze reicht 1 Gbit/s in fast allen Fällen. Flaschenhälse liegen woanders.

Wo die echten Engpässe sitzen

Aus unserer täglichen Praxis in Hamburger Unternehmen sind die wirklichen Bremsen selten der Client-Anschluss. Stattdessen:

• WLAN-Access-Points an 1-Gbit-Ports — ein WiFi-6-AP kann im Peak 2,5 Gbit/s aus der Funkstrecke liefern. Hängt er an einem 1-Gbit-Port, ist das die Decke für alle Clients zusammen
• Server-NICs mit 1 Gbit/s bei File-Shares für 30+ Mitarbeiter — wenn morgens alle gleichzeitig das ERP starten, steht die Welt
• Schlechte Kabel bei 80-100 m Länge — Messprotokoll fehlt oft, Paketverluste fallen erst unter Last auf
• Gemischte Duplex-Einstellungen zwischen Switch und Endgerät (Half-Duplex wo Full-Duplex sein sollte) — legacy, aber kommt bei alten Switches noch vor

Latenz schlägt Bandbreite

Für Business-Anwendungen wie Teams-Telefonie, VoIP, Remote-Desktop oder VDI ist die Latenz wichtiger als die reine Datenrate. Am Ethernet-Kabel erreichen Sie typisch unter 1 ms — im WLAN je nach Auslastung 5 bis 30 ms. Deshalb unsere Faustregel: Was fest steht, gehört ans Kabel. Telefone auch. Nur Mobiles ins WLAN.

Genau deshalb sind die Themen Netzwerk-Performance und Netzwerk-Sicherheit bei uns nie getrennt. Ein LAN, das nur schnell ist, aber nicht segmentiert, macht im Ernstfall den Schaden nur schneller.

LAN-Sicherheit: 802.1X, MAC-Filter, VLAN-Segmentierung

Ein flaches LAN ohne Segmentierung ist 2026 fahrlässig. Sobald ein einziger Rechner kompromittiert wird — sei es per Phishing-Klick, USB-Stick oder präparierter Update-Server — hat der Angreifer Zugang zu allem: Fileserver, Backups, Buchhaltung, Telefonanlage. Das BSI empfiehlt Netzwerksegmentierung seit Jahren als Basismaßnahme, seit NIS-2 ist sie für betroffene Unternehmen faktisch Pflicht.

Die vier tragenden Sicherheits-Bausteine

• VLAN-Segmentierung. Clients, Server, Gäste, VoIP, IoT und Produktion werden in getrennte Broadcast-Domänen gelegt. Zwischen den VLANs routet die Firewall — und entscheidet, was erlaubt ist. Kein „Alles darf alles" mehr.
• 802.1X-Portauthentifizierung. Ein Ethernet-Port öffnet nur, wenn sich das angeschlossene Gerät per Zertifikat oder RADIUS authentifiziert. Der Besucher mit eigenem Laptop am Meetingraum-Port kommt ohne Credentials nicht ins Clients-VLAN — maximal ins Gäste-WLAN.
• Firewall-Policies zwischen den VLANs. Explizite Regeln statt impliziter Vertrauensverhältnisse. Die Clients dürfen z.B. auf den Fileserver (Port 445), aber nicht aufs Backup-System. Das IoT-VLAN erreicht nur den Update-Server, sonst nichts.
• Monitoring und Logging. Jeder Switch, jede Firewall, jeder Access Point schickt Logs an einen zentralen Collector. Ungewöhnliche Anmelde-Muster, Port-Scans, neue MAC-Adressen im Serverraum fallen auf, bevor es brennt.

MAC-Filter ist kein Sicherheits-Konzept

Viele ältere Installationen setzen auf MAC-Filter („nur bekannte Netzwerkadressen dürfen ins LAN”). In der Praxis ist das reine Kosmetik: Eine MAC-Adresse lässt sich in 30 Sekunden klonen, jede einigermaßen moderne Distribution hat den passenden Befehl eingebaut. MAC-Filter ersetzt weder 802.1X noch VLANs — es ist bestenfalls ein Schutz gegen den neugierigen Azubi.

Verschlüsselung im Inneren?

Zwischen LAN-Geräten selbst braucht es selten Transport-Verschlüsselung — das LAN ist ja das „innere” Netz. Wichtiger: Alle Fernzugriffe (VPN, RDP, Teams) laufen verschlüsselt, und die Backups gehen in ein separates Sicherheits-VLAN, auf das normale Clients keinen Zugriff haben. Wer sein Netzwerk gegen Ransomware härten will, startet bei der Segmentierung, nicht beim teuren Anti-Viren-Paket.

Die sieben häufigsten Fehler beim LAN-Aufbau

Aus unserer Hamburger Praxis — wir übernehmen pro Jahr um die 30 Neukunden-LANs — sehen wir dieselben Fehler immer wieder. Wenn Sie planen, ein LAN neu zu bauen oder zu sanieren, spielen diese sieben Punkte fast immer eine Rolle.

1. Consumer-Switches statt Managed Switches. Der 300-Euro-Switch vom Elektronikhändler kann keine VLANs, kein 802.1X, kein SNMP-Monitoring und bekommt keine Firmware-Updates. Im Business-LAN gehört er nicht rein.
2. Cat5e im Neubau. Wer 2026 neu verkabelt und aus 15 Euro Ersparnis pro Dose auf Cat6a verzichtet, hat die nächste große Investition in 5 Jahren. 10-Gbit-APs für WiFi 7 brauchen den Kabelstandard.
3. Flaches Netz ohne VLANs. Alles im selben Broadcast-Segment — Drucker, Buchhaltung, Kameras, Produktion. Ein Einfallstor reicht für den Komplettschaden.
4. WLAN-Access-Points an 100-Mbit-Ports. Klingt absurd, sehen wir häufig. WiFi 6 kann 2,5 Gbit, der AP hängt an Fast-Ethernet — Flaschenhals by Design.
5. Kein Messprotokoll nach Installation. Die Verkabelung wird abgenommen, obwohl keine einzige Strecke durchgemessen wurde. Monate später tauchen unerklärliche Paketverluste auf — niemand weiß, ob das am Kabel oder am Switch liegt.
6. Keine USV am Core-Switch. Stromschluckauf für 2 Sekunden — das komplette Netzwerk ist 15 Minuten lang am Rebooten. Eine kleine USV für 400 Euro verhindert das zuverlässig.
7. Keine Port-Dokumentation. Niemand weiß, welche Dose zu welchem Arbeitsplatz führt. Bei jeder Fehlersuche wird gesucht, gezogen, probiert — und irgendein anderer Mitarbeiter steht plötzlich ohne Netz da.

Checkliste: Ist Ihr LAN gesund?

Nehmen Sie sich fünf Minuten und gehen Sie die folgende Liste durch. Wenn Sie bei drei oder mehr Punkten „Nein” oder „Weiß nicht” antworten, lohnt sich ein genauerer Blick.

• Managed Switches im gesamten Netz. Jeder Switch ist konfigurierbar, hat eine Management-IP und liefert Logs.
• VLAN-Segmentierung aktiv. Mindestens Clients, Server, Gäste-WLAN und IoT sind getrennt.
• Aktuelles Messprotokoll der Verkabelung verfügbar und dokumentiert.
• Portbelegung dokumentiert — welche Dose geht an welchen Arbeitsplatz?
• USV am Core-Switch und an der Firewall — Stromschluckauf darf das Netz nicht umlegen.
• Firewall-Regeln zwischen den VLANs sind explizit gesetzt, nicht „any-any".
• Monitoring aktiv — Sie wissen im Betrieb, wenn ein Switch-Port down geht oder ein AP ausfällt.
• Firmware-Stand der aktiven Komponenten ist nicht älter als 12 Monate.
• Gäste-WLAN ist komplett isoliert vom internen Netz (eigene VLAN-ID, eigene Internet-Leitung empfohlen).
• Backup-Systeme erreichen die Clients — aber die Clients nicht die Backups (Zero-Trust-Prinzip).

Was Sie heute tun können

Drei konkrete Schritte, die Sie ohne große Investition sofort angehen können — auch wenn Sie keinen eigenen IT-Verantwortlichen haben:

• Lassen Sie die Verkabelung nachmessen. Ein Fachbetrieb macht das in wenigen Stunden. Das Messprotokoll ist die Grundlage jeder weiteren Entscheidung. Ohne Messprotokoll bauen Sie auf Sand
• Schauen Sie in Ihren Serverschrank. Ein Foto reicht. Wenn Sie keine Switch-Modelle erkennen, keine Beschriftung sehen oder Kabel am Boden liegen — das ist ein Symptom, kein Schönheitsproblem
• Fragen Sie Ihren aktuellen Dienstleister nach dem VLAN-Konzept. Wenn die Antwort „wir haben eins, aber nur ein großes” oder „brauchen wir eigentlich?” ist, sollten Sie ein Zweitgespräch suchen

Wir machen solche Netzwerk-Assessments für Hamburger Unternehmen regelmäßig — typischer Umfang ist ein halber Tag vor Ort plus ein schriftlicher Bericht. Kein Verkaufsdruck, Sie entscheiden, was Sie damit machen.

Fazit: LAN ist kein Thema, das man einmal löst

Ein gutes LAN ist unsichtbar. Es fällt nur dann auf, wenn etwas nicht stimmt — und dann ist es meistens teuer. Deshalb lohnt sich die Investition in eine saubere Architektur, in Managed-Hardware, in VLANs und in Dokumentation. Nicht weil es spannend aussieht, sondern weil es den Unterschied macht zwischen „geht irgendwie” und „läuft 10 Jahre ohne Drama”.

Für IT-Entscheider im Hamburger Mittelstand bedeutet das: LAN ist keine Einmalinvestition, die man einem Elektriker überlässt. Es ist ein Dauerthema — Planung beim Neubau, Anpassung bei jedem Umzug, Überprüfung alle 3 bis 5 Jahre. Wer das vernachlässigt, baut sich unsichtbare technische Schulden auf, die spätestens beim nächsten Ransomware-Vorfall oder WLAN-Ausbau sichtbar werden.