Inhalt in Kürze
- Cisco ISE = Enterprise-NAC. Die Plattform entscheidet zentral, wer mit welchem Gerät in welches Netzsegment darf — basierend auf Identität, Gerätezustand und Kontext.
- Kernfunktionen: 802.1X-Authentifizierung, Profiling (auch für Drucker und IoT), Posture (Compliance-Check), Gastzugang, BYOD-Onboarding, TrustSec-Mikrosegmentierung.
- Marktstand 2026: Der globale NAC-Markt liegt laut Coherent Market Insights bei rund 6,35 Mrd. US-Dollar und wächst mit zweistelligen Raten — getrieben von Zero Trust, IoT und Compliance-Druck (NIS2).
- KMU-Realität: ISE ist mächtig — und teuer. Für die meisten Hamburger Mittelständler unter 250 Endpoints sind Aruba ClearPass, FortiNAC oder Portnox Cloud wirtschaftlicher.
- Wann ISE Sinn macht: Reine Cisco-Umgebung, hohe Compliance-Anforderungen, IoT/OT-Integration, eigenes Security-Team oder erfahrener IT-Dienstleister.
Was ist Cisco ISE?
Cisco ISE (Identity Services Engine) ist eine Netzwerkzugriffskontroll-Plattform (NAC) von Cisco. Sie authentifiziert Geräte und Nutzer beim Netzwerkzugriff, prüft Compliance-Anforderungen (Posture Assessment) und vergibt Zugriffsrechte basierend auf Identität, Gerätetyp und Sicherheitsstatus. Cisco ISE ist die zentrale Policy-Engine in Cisco-Zero-Trust-Architekturen.
Aktuelle Version ist Cisco ISE 3.4 (Release-Linie 2025/2026) mit erweiterter Cloud-DNA-Integration für Cisco Meraki, API-First-Policies und nativer Anbindung an Catalyst Center. Cisco beschreibt die Plattform selbst als “next-generation NAC solution” für Zero-Trust-Architekturen.
Der Kerngedanke: Das Netzwerk wird vom passiven Transport-Layer zum aktiven Sicherheits-Layer. Statt jedem Endgerät am Switch-Port blind Zugang zu gewähren, prüft ISE bei jeder Verbindung:
- Wer ist das? (Identität via Active Directory, Zertifikat oder MAC)
- Was ist das? (Profiling — Notebook, Drucker, Kamera, IoT)
- In welchem Zustand ist das Gerät? (Posture — Patches, Virenschutz, Compliance)
- Was darf es jetzt? (Policy — VLAN-Zuweisung, dACL, Sicherheitsgruppe)
Erst nach dieser Prüfung wird der Port oder das WLAN freigeschaltet — oder das Gerät landet in Quarantäne, im Gast-VLAN oder im IoT-Segment.
NAC-Markt 2026 in Zahlen
- 6,35 Mrd. USD — Marktvolumen weltweit ([Coherent Market Insights](https://www.coherentmarketinsights.com/market-insight/network-access-control-market-4017))
- 20-27 % CAGR — projiziertes Wachstum bis 2030 (Branchen-Konsens)
- 40 % Wachstum bei Layer-2-NAC bis 2027 erwartet (Gartner)
- 5 Top-Anbieter dominieren: Cisco ISE, Aruba ClearPass, FortiNAC, Forescout, Portnox
Warum NAC heute Pflicht wird — nicht Kür
Die Zahl der Endgeräte in Unternehmensnetzen explodiert. In einem typischen Hamburger Mittelständler mit 80 Mitarbeitenden hängen heute leicht 250 bis 400 Geräte am Netz: Notebooks, Smartphones, Drucker, Kameras, Smart-TVs in Meetingräumen, Heizungssteuerungen, Zeiterfassungs-Terminals, Gast-Tablets. Viele davon sind IoT-Geräte ohne Sicherheits-Updates — und genau die werden zur Einfallstür.
Drei Treiber machen NAC ab 2026 zur Pflichtübung:
- NIS2. Die EU-Richtlinie verlangt für viele Mittelständler einen dokumentierten Zugriffsschutz. Ohne Identity-basierten Netzzugang ist das schwer nachzuweisen. Details zur Betroffenheit klären Sie schnell mit unserem NIS2-Betroffenheits-Check.
- Zero Trust. Das Sicherheitsmodell „intern = vertrauenswürdig” ist tot. Jedes Gerät muss sich authentifizieren — auch im LAN. NAC ist die Voraussetzung dafür.
- IoT/OT-Konvergenz. Produktion, Logistik, Gebäudetechnik wandern ins IP-Netz. Diese Geräte haben oft keinen 802.1X-Supplicant — sie brauchen MAC-basiertes Profiling und automatische Segmentierung.
„Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.”
—
Jens Hagel, Geschäftsführer hagel IT-Services GmbH
Cisco ISE Funktionen — die 5 Kern-Module
Wer „Cisco ISE Funktionen” googelt, will eine klare Modul-Übersicht. Hier die fünf tragenden Säulen — jede einzelne darunter ausführlich erklärt:
- 802.1X-Authentifizierung: Portbasierte Authentifizierung via RADIUS — jedes Gerät weist sich am Switch/AP per Credentials oder Zertifikat aus, bevor der Port freigeschaltet wird.
- BYOD-Onboarding: Self-Service-Portal mit Zertifikat-Provisionierung für private Smartphones, Tablets und Notebooks — ohne IT-Ticket.
- Posture Assessment: Compliance-Check vor Vollzugriff — prüft Patches, Virenschutz, Festplattenverschlüsselung und Firewall-Status des Endgeräts.
- Guest Access: Hotspot-Portal mit Sponsor-Approval, SMS-Code oder Social-Login — getrennt vom Produktivnetz, mit Zeitlimit und Bandbreitenkontrolle.
- TrustSec-Segmentierung: Security Group Tags (SGT) ersetzen statische VLAN-Listen — Mikrosegmentierung auf Identitätsbasis, durchsetzbar bis ins Rechenzentrum.
Cisco ISE Lizenz-Tiers 2026 (Essentials, Advantage, Premier)
| Tier | Preis (Listenpreis, USD/Endpoint/Jahr) | Enthaltene Funktionen |
|---|---|---|
| Essentials | ca. 6-8 USD | 802.1X, MAB, Gast-Portal, Basis-Profiling, RADIUS |
| Advantage | ca. 15-18 USD | + BYOD-Onboarding, Posture, TrustSec, pxGrid, Threat-Intel |
| Premier | ca. 22-26 USD | + Threat-Centric NAC, Rapid Threat Containment, AnyConnect-Bundle |
Richtwerte aus Cisco-GPL und Partner-Quotes, vor Rabatt. Für ein typisches Mittelstands-Deployment mit 500 Endpoints und Advantage-Tier liegen die reinen Lizenzkosten bei ~9.000 USD/Jahr — dazu kommen Hardware/VM, Implementierung (8-12 Wochen) und laufender Betrieb.
1. 802.1X-Authentifizierung
802.1X ist das Rückgrat moderner NAC-Lösungen. Beim Anschluss an einen Switch-Port oder beim WLAN-Verbindungsaufbau passiert Folgendes:
- Supplicant aktiv: Das Endgerät (Windows, macOS, iOS, Android) sendet seine Credentials oder ein Zertifikat über EAP (Extensible Authentication Protocol).
- Authenticator leitet weiter: Switch oder Access Point reicht die Anfrage per RADIUS an die ISE durch.
- ISE prüft: Validierung gegen Active Directory, interne CA, externe RADIUS-Quelle oder lokale Datenbank.
- Policy-Match: Welche Regel passt zu Identität + Gerät + Standort + Uhrzeit?
- Authorization-Result: ISE schickt VLAN-ID, dACL oder Security Group Tag zurück. Erst jetzt wird der Port freigeschaltet.
Geräte ohne 802.1X-Support (Drucker, ältere VoIP-Telefone, IoT) laufen über MAC Authentication Bypass (MAB) in Kombination mit Profiling.
2. Profiling — wer ist da eigentlich am Netz?
ISE erkennt Endgeräte automatisch anhand von Fingerprints: DHCP-Optionen, HTTP-User-Agent, MAC-OUI, SNMP-Daten, NetFlow, CDP/LLDP. Ergebnis: Das System weiß, dass an Port Gi1/0/12 ein „HP LaserJet M404” hängt — auch wenn niemand das je dokumentiert hat.
Profiling ist die Voraussetzung für automatisierte Segmentierung: Drucker landen automatisch im Drucker-VLAN, IP-Kameras im Video-VLAN, Smart-TVs im isolierten Gäste-Segment.
3. Posture — Compliance-Check vor Zugriff
Bevor ein Mitarbeiter-Notebook in das Vollzugriff-VLAN darf, prüft ISE über den Cisco Secure Client (AnyConnect):
- Ist Windows aktuell gepatcht?
- Läuft der Virenschutz mit aktuellen Signaturen?
- Ist die Festplattenverschlüsselung (BitLocker) aktiv?
- Ist die Personal Firewall an?
- Sind verbotene Programme (z. B. TeamViewer, BitTorrent) installiert?
Bei Verstößen landet das Gerät im Remediation-VLAN mit Zugriff nur auf Update-Server, WSUS oder Software-Repositories. Erst nach erfolgreicher Korrektur kommt der Zugriff aufs Produktivnetz zurück.
4. Gastzugang & BYOD
Gäste registrieren sich über ein Self-Service-Portal (mit Sponsor-Approval, SMS-Code oder Social-Login). BYOD-Geräte durchlaufen ein Onboarding-Wizard, der ein User-Zertifikat erzeugt — danach läuft der Zugang sauber per 802.1X statt über vorinstallierte Passwörter.
5. TrustSec & Mikrosegmentierung
Cisco TrustSec ersetzt klassische VLAN-Listen durch Security Group Tags (SGT). Statt „VLAN 20 darf mit VLAN 30” definieren Sie „Gruppe HR darf mit Gruppe HR-Server”. Die Tags wandern mit dem Paket durch das gesamte Netz — Switches und Firewalls setzen die Regel auf Hardware-Ebene durch. Cisco zeigt im aktuellen Next-Gen-Segmentation-Webinar, wie ISE und Catalyst Center das gemeinsam orchestrieren.
Architektur: Wie ISE im Netzwerk sitzt
ISE-Deployments laufen typischerweise in drei Personas:
| Persona | Rolle | Skalierung |
|---|---|---|
| PAN — Policy Administration Node | Konfiguration, GUI, Policy-Definition | 1-2 Stück (Aktiv/Standby) |
| MnT — Monitoring & Troubleshooting Node | Logs, Reports, Alerts | 1-2 Stück |
| PSN — Policy Service Node | RADIUS/Authentication, Profiling, Posture | 1-N (skaliert mit Endpoint-Zahl) |
Für ein KMU mit 200-500 Endpoints reicht oft ein All-in-One-Deployment auf 2 VMs (HA). Ab ~5.000 Endpoints lohnt sich die getrennte Architektur — und der Betriebsaufwand steigt deutlich.
Cisco ISE vs. Aruba ClearPass vs. FortiNAC — der ehrliche Vergleich
| Kriterium | Cisco ISE | Aruba ClearPass | FortiNAC |
|---|---|---|---|
| Mehrhersteller-Support | Stark in Cisco-Welt, OK bei Drittherstellern | Sehr stark, Multi-Vendor-Standard | Stark in Fortinet-Welt |
| Implementierungsaufwand | Hoch (Wochen bis Monate) | Mittel | Mittel-niedrig |
| TCO 3 Jahre, 500 Endpoints | sehr hoch | hoch | mittel |
| IoT/OT-Profiling | Sehr stark (mit Catalyst Center) | Sehr stark | Stark |
| Cloud-Deployment | Azure Marketplace, on-prem dominant | OnPrem, ClearPass Device Insight Cloud | OnPrem, FortiNAC-F Cloud |
| Integration Security-Fabric | Cisco SecureX, pxGrid | HPE/Aruba 360 Security Exchange | Fortinet Security Fabric (sehr eng) |
| Lernkurve | Steil, Cisco-Zertifizierung empfohlen | Moderat | Moderat |
| Beste Eignung | Reine Cisco-Welt, große Enterprises | Multi-Vendor-Umgebungen, Bildung, Healthcare | Fortinet-Kunden, Mittelstand |
Quellen für den Vergleich: Portnox NAC-Vergleich 2026, Purple AI Aruba vs. Cisco ISE sowie eigene Erfahrung aus Kundenprojekten in Hamburg und Norddeutschland.
Typische Use Cases — wann welche NAC-Variante passt
| Szenario | Empfehlung | Warum |
|---|---|---|
| 30 MA, flaches Netz, Microsoft 365, eine Niederlassung | Conditional Access + MFA, kein NAC | NAC wäre Overkill, MFA + Intune reicht |
| 80-150 MA, Cisco-Switches, Hamburg + Außendienst | Aruba ClearPass oder Portnox Cloud | Schnell, multi-vendor-tauglich, KMU-Lizenzmodell |
| 200+ MA, reine Cisco-Welt, Catalyst Center vorhanden | Cisco ISE | TrustSec-Integration, einheitliche Toolchain |
| 50 MA Produktion mit OT, viele IoT-Geräte | FortiNAC oder Forescout | Stärken bei OT-Erkennung |
| Bildungsträger, BYOD-Massendynamik | Aruba ClearPass | Eduroam, BYOD-Onboarding-Standard |
| 500+ MA, NIS2-pflichtig, eigenes SOC | Cisco ISE oder Aruba ClearPass | Reife, Reporting, Compliance-Fit |
Implementierungs-Phasen — was wirklich passiert
Wer ein NAC-Projekt unterschätzt, scheitert. Realistisches Vorgehen:
- Phase 1 — Discovery (2-4 Wochen): Endpoint-Inventar, Switch-Audit, Identitätsquellen, Use-Case-Workshop. Was hängt eigentlich am Netz?
- Phase 2 — Pilot Monitor Mode (4-6 Wochen): ISE läuft passiv mit, authentifiziert protokollierend, blockiert aber nichts. Hier kommen die Überraschungen ans Licht.
- Phase 3 — Low-Impact Mode (2-4 Wochen): Nur Gäste und BYOD werden enforced. Mitarbeiter-Geräte bleiben weiter offen — aber alles wird mitgeschnitten.
- Phase 4 — Closed Mode pro Standort (gestaffelt): 802.1X scharf, jeweils ein Standort/Gebäude pro Wochenende.
- Phase 5 — Posture & TrustSec (laufend): Compliance-Checks und Mikrosegmentierung folgen erst, wenn die Basis steht.
Faustregel: Für 200 Endpoints kalkulieren Sie 3-4 Monate brutto, für 1.000 Endpoints 6-9 Monate — wenn das Projekt gut geplant ist. Der häufigste Fehler: Closed Mode zu früh aktivieren und Mitarbeiter aussperren.
„Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.”
—
Was ISE NICHT ist — typische Missverständnisse
- Kein Ersatz für eine Firewall. ISE entscheidet über Zugang, die Firewall filtert den Verkehr. Beide werden gebraucht. Mehr zu unserer Managed Firewall.
- Keine SASE/ZTNA-Lösung. ISE ist on-premises orientiert. Wer hauptsächlich Cloud-Apps nutzt und Mitarbeiter im Homeoffice hat, braucht zusätzlich ZTNA (Zscaler, Cloudflare Access, Cisco Secure Access).
- Kein Set-and-forget-Produkt. ISE will gepflegt werden: Profiling-Datenbanken aktualisieren, Policies anpassen, Zertifikate erneuern, neue Endpoint-Typen einsortieren.
- Kein Schutz vor Phishing. Wenn ein Mitarbeiter-Account übernommen wird, hilft ISE nichts — dann müssen MFA, Conditional Access und EDR greifen.
Praxisbeispiel: Wann ISE wirklich Sinn ergibt
Ein Hamburger Logistikdienstleister mit 320 Mitarbeitenden und vier Standorten in Norddeutschland: vorhandene Catalyst-Switches, Meraki-WLAN, Active Directory mit drei Domains, dazu 80 Lager-Tablets, 40 Drucker, 20 Zeiterfassungs-Terminals. Die NIS2-Richtlinie greift, das Auditteam hat Mikrosegmentierung gefordert.
Hier wäre ISE eine sinnvolle Investition — vor allem, weil das vorhandene Cisco-Ökosystem die Profiling- und TrustSec-Vorteile voll ausspielt. Der Implementierungspartner liefert die ersten 90 Tage Hand in Hand mit dem Kunden, danach übernimmt das interne Team mit gelegentlichem Co-Managed-Support.
Im Kontrast: Eine Hamburger Steuerkanzlei mit 18 Mitarbeitenden, drei Druckern und einer Mischung aus Aruba- und Mikrotik-Hardware. Hier würde ISE Geld verbrennen — Portnox Cloud wäre in zwei Wochen produktiv, kostet einen Bruchteil und deckt die NIS2-Anforderungen genauso ab.
Cisco ISE für Hamburger Mittelstand — unsere ehrliche Position
Wir sind keine reinen Cisco-Partner. Wir bauen Netzwerk-Infrastrukturen und Cybersecurity-Setups so, dass sie zum Kunden passen — nicht zum Hersteller-Bonus. In den letzten Jahren haben wir festgestellt: Bei 90 % unserer Hamburger Kunden ist ISE überdimensioniert. Was wirklich Mehrwert bringt:
- Eine moderne Firewall mit Identity-Awareness (Managed Firewall)
- Microsoft 365 mit Conditional Access, MFA und Intune (Microsoft 365 Management)
- Sauberes WLAN mit getrennten SSIDs für Mitarbeiter, Gäste und IoT (Stichwort: Effizientes WLAN-Management mit Cisco Meraki)
- Netzwerksegmentierung auf VLAN-Ebene mit pragmatischen Regeln
- EDR auf jedem Endgerät als zusätzliche Verteidigungslinie
Erst wenn Compliance-Druck (NIS2, ISO 27001, KRITIS), eine reine Cisco-Welt oder massive IoT/OT-Integration ins Spiel kommen, wird ISE zur ernsthaften Option.
„Ich rate meinen Kunden immer: Nicht übertreiben, einfach anfangen. Die perfekte IT-Lösung gibt es nicht — aber eine, die morgen schon besser ist als heute. Und in drei Monaten sind Sie überrascht, wie weit Sie gekommen sind.”
—
Kundenstimme aus der Praxis
„Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie."
Genau das ist der Punkt. Ein NAC-Projekt steht und fällt nicht mit dem Produkt — sondern mit der Beratung davor. Ist die Bedarfsanalyse ehrlich? Werden Alternativen geprüft? Wird die TCO über drei Jahre seriös gerechnet? Wer Cisco ISE einkauft, ohne die Frage „Brauchen wir das wirklich?” beantwortet zu haben, zahlt jedes Jahr fünf- bis sechsstellig für ein System, das nie ausgereizt wird.
Migration & Integration — was zusätzlich gebraucht wird
ISE ist kein Inselsystem. Sinnvoll zusammen mit:
- Active Directory / Entra ID als Identitätsquelle
- Public-Key-Infrastructure (PKI) für 802.1X-Zertifikate (oft Microsoft AD CS)
- MDM/Intune für mobile Geräte (Microsoft 365 Praxisguide 2026)
- SIEM (Splunk, Microsoft Sentinel, Wazuh) für Log-Auswertung
- Cisco Catalyst Center (ehemals DNA Center) für Netzwerk-Orchestrierung
- Firewall mit Identity-Tags für durchgehende Policy-Enforcement
Wer die Vorarbeiten unterschätzt, scheitert nicht an ISE — sondern am chaotischen AD oder fehlender PKI.
Takeaways — die fünf wichtigsten Punkte
- NAC ist 2026 keine Frage mehr ob, sondern wie. Zero Trust, NIS2 und IoT machen Identity-basierten Netzzugang zur Pflicht.
- Cisco ISE ist die Premium-Lösung — nicht die Standard-Lösung. Top-Funktionsumfang, hoher Preis, anspruchsvoll im Betrieb.
- Für KMU unter 250 Endpoints sind Aruba ClearPass, FortiNAC oder Portnox Cloud meist die wirtschaftlichere Wahl. Schneller deployed, weniger Vendor-Lock-in.
- Implementierung ist ein Prozess, kein Projekt. 3-9 Monate realistisch, mit klaren Phasen (Monitor → Low-Impact → Closed Mode).
- Die wichtigste Frage kommt vor der Auswahl: Brauchen Sie überhaupt NAC — oder reichen Firewall, MFA und sauberes Microsoft 365 plus Intune?
Nächster Schritt — gemeinsam herausfinden, was passt
Wir setzen Ihnen kein Cisco-Logo aufs Datenblatt, weil es gut aussieht. Wir schauen uns Ihre tatsächliche Infrastruktur an, prüfen NIS2-Pflichten, nehmen den Endpoint-Bestand auf — und empfehlen die Lösung, die zu Ihrem Budget und Betriebsmodell passt. Manchmal heißt das ISE. Häufig heißt es ClearPass oder Portnox. Manchmal heißt es: „Sie brauchen kein NAC, Sie brauchen erst mal MFA und ein sauberes WLAN.” Mehr zu unserem Ansatz lesen Sie auf IT-Systemhaus Hamburg oder direkt bei Cybersecurity Hamburg.
NAC-Beratung, ehrlich und herstellerneutral.
15 Minuten Erstgespräch. Wir prüfen, ob Sie überhaupt NAC brauchen — und welche Plattform zu Ihrer Infrastruktur passt.
Erstgespräch buchen →
