Cisco Meraki ist Cloud-verwaltetes Netzwerk: ein Dashboard, alle Standorte, alle Geräte. Drei Hauptfamilien: MX (Firewall/SD-WAN), MS (Switche), MR (WLAN). Lizenzpflichtig — ohne aktive Lizenz steht die Hardware still. Lohnt sich ab 20 Arbeitsplätzen oder zwei Standorten. 2025 mehrere Sicherheits-Patches (CVE-2025-20271, CVSS 8,6) — Updates sind Pflicht, kein Selbstläufer.
Cisco Meraki taucht in fast jedem Netzwerk-Pitch auf, der heute auf dem Tisch landet. „Cloud-managed”, „Zero-Touch”, „eine Oberfläche für alles” — die Versprechen sind stark. Die Frage, die uns IT-Leiter und Geschäftsführer in Hamburg jede Woche stellen: Lohnt sich das wirklich für unser Unternehmen, oder ist das Marketing?
Dieser Leitfaden räumt auf. Was Meraki kann, was es kostet, wo die Stolperfallen liegen — und wann ein klassischer Catalyst-Stack oder eine UniFi-Lösung die bessere Wahl ist. Geschrieben aus der Sicht eines Hamburger IT-Systemhauses, das Meraki bei Mandanten produktiv betreibt — vom Architekturbüro mit zwei Standorten bis zum Mittelständler mit 120 Arbeitsplätzen.
Was Cisco Meraki von klassischem Networking unterscheidet
Klassisches Enterprise-Networking funktioniert so: Sie kaufen einen Switch, loggen sich per SSH oder Web-Oberfläche ein, konfigurieren VLANs, Routing, ACLs. Bei mehreren Geräten brauchen Sie einen Controller — und der Controller will gepflegt, gepatcht und ausfallsicher betrieben werden. Bei mehreren Standorten wird das schnell teuer und komplex.
Cisco Meraki dreht das Modell um. Jedes Gerät — Firewall, Switch, Access Point — verbindet sich nach dem Auspacken mit der Meraki-Cloud. Sie loggen sich im Browser unter dashboard.meraki.com ein, sehen alle Geräte aller Standorte und konfigurieren zentral. Updates, Backups, Logs, Alerts: alles im Dashboard.
Der zitierfähige Satz: Cisco Meraki ist die einzige Cloud-Plattform im Cisco-Portfolio, die ein Multi-Site-Netzwerk mit Firewall, Switching und WLAN aus einer Oberfläche steuert — und das ohne lokalen Controller im Rack.
Das klingt trivial, ist aber operativ ein Bruch. Wer einmal mit Meraki gearbeitet hat, will selten zurück zur SSH-Konsole. Der Preis dafür: Sie sind auf eine aktive Internet-Verbindung und auf eine gültige Lizenz angewiesen. Beide Themen kommen weiter unten dran.
Die drei Hauptfamilien: MX, MS, MR
Meraki hat ein konsistentes Buchstaben-Schema. Wer einmal verstanden hat, wofür MX, MS und MR stehen, kann jeden Datenblatt-Code lesen.
| Familie | Funktion | Typische Modelle (2026) | Sweet Spot |
|---|---|---|---|
| MX | Security Appliance: Firewall, SD-WAN, VPN, Content-Filter | MX67 / MX75 / MX85 / MX95 / MX250 | Standorte mit 5 bis 250 MA |
| MS / Catalyst | Layer-2/3 Switch mit Meraki-Dashboard | MS120 / MS220 / Catalyst 9300-M | Verteilung im Rack, PoE für APs/Telefone |
| MR / CW | Access Point (Wi-Fi 6, 6E, 7) | MR36 / MR46 / MR57 / CW9166 / CW9172I | Büro, Lager, Empfangshalle, Multi-AP-Setups |
| MV | Cloud-managed Smart-Kamera | MV12 / MV32 / MV93 | Standort-Überwachung ohne NVR |
| MT | IoT-Sensor (Temperatur, Tür, Strom) | MT10 / MT20 / MT40 | Serverraum-Monitoring, Türkontakt |
| MG | Cellular-Gateway (4G/5G) | MG21 / MG41 / MG52 | LTE-Backup, Pop-Up-Standorte, Baustellen |
Für die meisten KMU sind MX, MS und MR der Kern. MV-Kameras, MT-Sensoren und MG-Gateways sind Add-ons, die einzeln Sinn machen können — etwa eine MT10-Sonde im Serverraum, die meldet, wenn die Klima ausfällt. Wir kennen Kunden, die wegen einer einzigen MT10-Meldung vor einem Wochenend-Ausfall gerettet wurden.
MX — Security Appliance & SD-WAN
Die MX-Serie ist die Schaltzentrale. Jeder Standort braucht eine. Sie verbindet das LAN mit dem Internet, terminiert das VPN, setzt Firewall-Regeln um und macht SD-WAN, wenn Sie zwei Internet-Leitungen haben (DSL plus LTE-Backup zum Beispiel). Die MX-Serie wird von Cisco offiziell als „cloud-managed Security & SD-WAN” geführt und ist das Pendant zur klassischen Managed Firewall in unserem Portfolio.
Wichtig: Die Lizenz entscheidet über den Funktionsumfang. „Enterprise” deckt das Basispaket ab. Wer Intrusion Prevention, AMP-Malware-Scanning oder Threat-Protection will, braucht „Advanced Security” — das kostet rund das Doppelte pro Jahr.
MS — Switching im Dashboard
Meraki MS sind klassische Layer-2- und Layer-3-Switches mit PoE+. Sie sehen aus wie ein normaler 24-Port-Switch — sind in der Bedienung aber komplett anders. Statt CLI klicken Sie VLANs zusammen. Seit der Catalyst-Integration (heise hat das im Test gezeigt) lassen sich auch viele Catalyst-9300- und 9500-Modelle im Meraki-Dashboard verwalten. Cisco hat die beiden Welten zusammengeführt — gut für Bestandskunden, die schrittweise migrieren wollen.
MR / CW — WLAN
Die MR-Serie (jetzt teilweise als Catalyst Wireless CW umbenannt) sind die Access Points. Vom kleinen MR36 für 30–40 Endgeräte bis zum Wi-Fi-7-fähigen CW9172I für High-Density-Umgebungen. Für die meisten Hamburger KMU reicht MR46 (Wi-Fi 6) — Wi-Fi 7 lohnt sich erst, wenn die Endgeräte es auch beherrschen, und das ist 2026 noch eher die Ausnahme. Vergleich der Optionen: Managed WiFi für Unternehmen.
Das Meraki-Dashboard: Single Pane of Glass
Wer aus der klassischen Cisco-Welt kommt, erlebt das Dashboard erstmal als Befreiung. Sie sehen alle Standorte auf einer Karte. Sie klicken auf Hamburg-Eppendorf, sehen sofort: 47 Clients online, 3 APs, 1 Switch, MX85 als Firewall, Internet-Auslastung 68 Mbps Up / 240 Mbps Down. Sie klicken auf einen Client, sehen IP, MAC, Anwendungs-Profil (was nutzt der Mitarbeiter — Teams, YouTube, Salesforce?), Throughput-Verlauf der letzten 24 Stunden.
Was das Dashboard besonders macht:
- Zero-Touch-Provisioning: Sie geben einem Mitarbeiter im neuen Standort einen MX in der Schachtel mit. Er steckt ihn ein, das Gerät meldet sich, lädt seine Konfiguration aus dem Dashboard, ist online. Kein Techniker-Vor-Ort-Termin für Standard-Setups.
- Live-Topologie: Wer hängt an welchem Switch-Port? Wer roamt zwischen welchen APs? Antwort in Sekunden — bei klassischem Networking braucht das oft halbe Tage Doku-Suche.
- Verlaufsdaten ohne Extra-Tool: Performance-Graphen, Client-Historie, Wi-Fi-Heatmaps. Was sonst PRTG, LibreNMS oder SolarWinds liefern, ist hier eingebaut.
- API-First: Jede UI-Aktion ist auch ein API-Call. Wer Konfigurationen versionieren will (Git-Style), kann das mit der Meraki-API tun. Skripte für Bulk-Roll-Outs sind in 100 Zeilen Python erledigt.
- Mobile-App: Tablet-fähig. Geschäftsführer im Urlaub kann sehen, ob ihr Standort online ist. Hamburger Kunden nutzen das mehr, als wir anfangs erwartet hätten.
Mein erstes Meraki-Projekt war ein Architekturbüro mit drei Standorten — Hamburg, Lübeck, Norderstedt. Vorher: drei verschiedene Router, drei VPN-Konfigurationen, jede Änderung ein Auto-Termin. Nach der Umstellung: ein Dashboard, der Geschäftsführer kann selbst sehen, wenn jemand mit dem Gäste-WLAN streamt. Das war kein „besseres Netzwerk", das war ein anderer Job für meine Techniker.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Wann lohnt sich Meraki — und wann nicht
Cloud-Netzwerk klingt für jeden gut. Die ehrliche Antwort: Meraki ist nicht für jeden die richtige Wahl. Es gibt Situationen, da fahren Sie mit UniFi oder TP-Link Omada günstiger. Und es gibt Situationen, da brauchen Sie einen klassischen Catalyst-Stack mit lokaler Verwaltung.
Meraki passt, wenn …
- Mehrere Standorte. Zwei oder mehr — der Multi-Site-Vorteil ist der Killer-Use-Case.
- Schlanke IT-Mannschaft oder externer Dienstleister. Kein Vollzeit-Netzwerker im Haus.
- Zero-Touch-Anforderung. Neue Standorte oder Filialen sollen ohne Techniker vor Ort live gehen.
- Cloud-First-Strategie. Microsoft 365, Cloud-Apps, kein dicker On-Premise-Server-Park mehr.
- Multi-Site-Wi-Fi mit einheitlicher SSID. Gäste-WLAN, Roaming zwischen Etagen, separate VLANs für IoT.
- Compliance braucht Auditierbarkeit. Wer was wann konfiguriert hat — alles im Audit-Log.
Meraki ist Overkill, wenn …
- Nur ein Standort, unter 15 Arbeitsplätze. Da reicht eine Sophos XGS, ein UniFi-AP, ein 8-Port-Switch.
- Höchst spezialisierte Anforderungen. Sehr granulare QoS, exotische Routing-Protokolle, MPLS-Integration.
- Strikt offline / air-gapped Umgebung. Meraki braucht Cloud — wenn Cloud verboten ist (manche Behörden, Forschung), fällt es raus.
- Hartes Budget, kein OPEX. Lizenzgebühren als laufende Kosten passen nicht zu jedem Buchhaltungs-Modell.
Ohne aktive Lizenz funktioniert Meraki-Hardware nach 30 Tagen Karenz nicht mehr. Das ist anders als bei klassischer Cisco-Hardware. Wer einen MX85 für 2.500 € kauft, muss bei der Total-Cost-of-Ownership die Lizenz über 5 Jahre einrechnen — sonst rechnet sich das Modell komplett anders, als die Erstkalkulation zeigt.
Lizenzmodell und echte Kosten
Hier wird es konkret. Beispielrechnung für ein typisches Hamburger Architekturbüro: 1 Standort, 25 Arbeitsplätze, 1 Empfang mit Gäste-WLAN, 1 Server-Raum.
| Komponente | Hardware (einmalig) | Lizenz/Jahr | 5-Jahres-TCO |
|---|---|---|---|
| 1× MX75 (Firewall, ca. 150 MA-Cap) | ~1.800 € | ~450 € (Enterprise) | 4.050 € |
| 1× MS220-24P (Switch, 24× PoE) | ~2.200 € | ~280 € | 3.600 € |
| 3× MR46 (Wi-Fi 6) | 3× ~700 € = 2.100 € | 3× ~150 € = 450 € | 4.350 € |
| Summe | ~6.100 € | ~1.180 €/Jahr | ~12.000 € |
Das ist die Größenordnung — Listenpreise variieren, Distributoren geben Rabatte, und Service-Pakete von Partnern wie hagel IT bündeln Hardware, Lizenz und Betrieb. Im Vergleich: Eine UniFi-Lösung für dasselbe Setup landet ohne Lizenzkosten bei rund 4.000–5.000 €. Eine Sophos XGS plus Sophos APX kommt auf 6.000–8.000 €. Meraki ist in der Hardware mittel, in der Total-Cost-of-Ownership eher oben — was Sie zurück bekommen, ist das Dashboard und die Plattform-Konsistenz.
Der Bitkom Cloud-Report 2025 zeigt: 90 % der deutschen Unternehmen nutzen Cloud-Anwendungen, vor einem Jahr waren es 81 %. Cloud-managed Networking ist Teil dieses Trends. Wer 2026 ein Netzwerk neu plant, sollte die Cloud-Option zumindest geprüft haben — sonst plant er an der Realität vorbei.
Implementierung: Wie ein Meraki-Roll-Out praktisch läuft
Wir machen das im Schnitt 5–10 Mal pro Jahr. Der Ablauf ist standardisiert — und genau das macht den Unterschied zu einem Catalyst-Projekt, wo jeder Standort eine eigene Welt ist.
- Bestandsaufnahme: Aktuelles Netzwerk dokumentieren. VLANs, IP-Plan, statische Routen, VPN-Konfiguration, Switch-Ports, Wi-Fi-SSIDs. Wer das nicht hat, fängt hier an — egal ob Meraki oder nicht.
- Lizenzen + Hardware bestellen. Wichtig: Lizenz wird in der Meraki-Org an die Seriennummer gebunden. Falsche Lizenz, falscher Account — wir haben Kunden, die Hardware gekauft haben und drei Wochen auf Re-Licensing gewartet haben.
- Dashboard-Org anlegen. Networks, Tags, Admin-Rollen, 2FA für alle Admins. Default-Passwörter raus.
- Konfig vorbereiten: VLANs, Firewall-Regeln, SSIDs, RADIUS — alles im Dashboard fertig konfigurieren, bevor die Hardware ankommt.
- Hardware ausrollen: MX an Internet-Anschluss, Switches dahinter, APs an PoE-Ports. Alles online — claimen — Konfiguration läuft automatisch drauf.
- Cutover: Alte Firewall raus, Meraki rein. Bei sauberer Vorbereitung ist das ein Sonntagabend, kein Wochenend-Marathon.
- Monitoring + Alerting einrichten: Welche Events sollen wohin? E-Mail an die IT, Teams-Channel, Slack? Alarm bei Switch-Port-Down? Heat-Anomalie?
- Übergabe & Schulung: Internes IT-Team in das Dashboard einarbeiten — oder den laufenden Betrieb an einen Cisco-Partner übergeben.
Bei einer Hamburger Steuerkanzlei mit 35 Mitarbeitern haben wir den kompletten Wechsel von einem alten Mix aus Lancom plus Aruba-Controller auf Meraki an einem Sonntag erledigt. Montag früh um 7 Uhr: Erste Mitarbeiterin steckt das Gerät an, alles läuft. Das ist der Standard, nicht die Ausnahme — wenn die Vorarbeit stimmt. Mehr dazu in unserem Praxis-Leitfaden zum Netzwerk-Aufbau in KMU.
Sicherheit: Cloud-managed heißt nicht automatisch sicher
Das ist der Punkt, den viele übersehen: Auch Meraki braucht Pflege. Cisco hat 2025 mehrere ernste Schwachstellen gepatcht — wer nicht aufpasst, hat eine offene Tür im Dashboard.
Im Juni 2025 wurde CVE-2025-20271 (CVSS 8,6) veröffentlicht — eine Schwachstelle im AnyConnect-VPN auf MX- und Z-Geräten, über die Angreifer VPN-Verbindungen unterbrechen konnten. Das BSI hat im selben Zeitraum mehrfach Cybersicherheitswarnungen zu Cisco-Produkten herausgegeben, darunter zu Cisco-Firewalls mit persistenter Malware. Die Lehre: „Cloud-managed” befreit Sie nicht von der Pflicht, Patches zeitnah einzuspielen und Admin-Zugänge mit MFA abzusichern.
Mehrfaktor-Authentifizierung für alle Admin-Konten. Read-Only-Rollen für Mitarbeiter, die nur monitoren sollen. API-Keys nicht in Skripten committen. Audit-Log regelmäßig prüfen. Patches auf MX und Switches innerhalb von 30 Tagen einspielen. Wer das nicht selbst stemmt, übergibt es an einen Cisco-Partner mit [Managed-Firewall-Vertrag](/leistungen/firewall "Managed Firewall — hagel one firewall").
Cisco Meraki vs. klassische Alternativen — ehrlicher Vergleich
| Kriterium | Cisco Meraki | UniFi (Ubiquiti) | Sophos XGS + APX | Klassisch Cisco Catalyst |
|---|---|---|---|---|
| Cloud-Management | Ja, native | Ja, optional | Sophos Central | Nein (oder DNAC, separat) |
| Lizenzpflicht | Ja, Pflicht | Nein | Ja, Module | Optional (DNA) |
| Multi-Site sinnvoll | Sehr stark | Mittel | Stark | Stark, aber komplex |
| Wi-Fi 7 verfügbar | Ja (CW9172I etc.) | Ja (U7 Pro) | Teilweise | Catalyst CW |
| Firewall-Tiefe (IPS, AMP) | Mit Advanced-Lizenz | Begrenzt | Stark (UTM) | Sehr stark (FTD) |
| 5-Jahres-TCO 25-MA-Setup | ~12.000 € | ~5.000 € | ~7.000 € | ~10.000 € |
| API-Tiefe | Sehr gut | Gut | Mittel | Gut (NETCONF) |
| Sweet Spot | 20–500 MA, Multi-Site | <30 MA, Single-Site | 20–150 MA Security-Fokus | Enterprise, Carrier |
Es gibt keinen Sieger über alle Spalten. Meraki gewinnt bei Multi-Site und Plattform-Konsistenz, UniFi bei Hardware-Preis, Sophos bei reiner Security-Tiefe ohne Cloud-Dashboard-Komfort, Catalyst bei extremen Anforderungen. Welches passt — kommt auf das Unternehmen an. Für eine fundierte Entscheidungshilfe lohnt der Blick in unseren Vergleich Meraki vs. traditionelle Netzwerkarchitektur.
Wir wollen uns nicht um IT kümmern müssen. Wenn ein neuer Mitarbeiter kommt: Laptop da, E-Mail eingerichtet, Telefon funktioniert. Wenn jemand geht: Zugänge gesperrt. Einfach. Zuverlässig.
Genau für diese Erwartung ist Meraki gebaut. Die Cloud-Plattform reduziert den Aufwand des laufenden Betriebs. Der Preis dafür ist die Lizenzgebühr und die Cloud-Abhängigkeit — beides muss man bewusst akzeptieren.
Multi-Site-Praxis: Wo Meraki seine Stärken ausspielt
Drei reale Szenarien aus unserer Hamburger Praxis, anonymisiert:
Szenario 1 — Architekturbüro, 3 Standorte (Hamburg, Lübeck, Norderstedt), 45 MA. Vor Meraki: Drei verschiedene Router, manuell konfigurierte Site-to-Site-VPNs, jede Änderung ein Vor-Ort-Termin. Nach Meraki: Ein Dashboard, automatische Auto-VPN-Mesh zwischen allen Standorten, neue Mitarbeiter im Lübecker Standort sehen die Hamburger Pläne ohne Konfigurationsaufwand. Aufwand-Ersparnis: ein Techniker-Tag pro Monat. Mehr lokale Beispiele: IT-Dienstleister Lübeck.
Szenario 2 — Logistik-Unternehmen, 2 Standorte plus 5 LKW-Fahrer mit Tablets. Meraki MX mit MG-Cellular-Backup. Wenn die DSL-Leitung im Hauptstandort ausfällt, springt das LTE-Backup ein, ohne dass jemand klickt. SD-WAN priorisiert Voice-over-IP automatisch über die stabilere Leitung. Zugriff der Außendienstler über AnyConnect-VPN — alles im Dashboard sichtbar.
Szenario 3 — Steuerkanzlei in der Hamburger Speicherstadt, 25 MA, 1 Standort, hohe Compliance-Anforderung. Hier war Meraki nicht primär wegen Multi-Site die Wahl, sondern wegen Audit-Logs und Compliance. Jede Konfigurationsänderung wird im Dashboard mit Zeitstempel und Admin-Account protokolliert — wertvoll für DSGVO-Nachweise und Berufsrechtsprüfungen. Verwandt: IT für Steuerberater & Kanzleien.
Häufige Fehler beim Meraki-Einsatz
- Unterdimensionierung beim MX: Der MX67 sieht günstig aus, schafft aber nur 450 Mbps Firewall-Throughput. Bei einer Glasfaser-Leitung mit 1 Gbit ist die Firewall der Flaschenhals. Lieber MX75 oder MX85 nehmen.
- Lizenz-Verlängerung verpassen: Auto-Renew ist nicht Standard. Wer das im Kalender vergisst, hat nach 30 Tagen einen Stillstand. Wir setzen Reminder 90 Tage vor Ablauf.
- Default-Konfiguration in Production: SSID „MerakiWLAN" mit WPA2-Passwort „password" — nicht lachen, haben wir schon vorgefunden.
- Keine MFA für Admins: Das Meraki-Dashboard ist die Krone. Wer da rein kann, kann jeden Switch-Port abschalten. MFA ist Pflicht — Punkt.
- Falsche Lizenz-Stufe: Enterprise reicht für Basisnetzwerke. Wer aber Threat Protection braucht (z. B. Steuerkanzleien wegen Ransomware-Risiko), muss Advanced Security buchen.
- Kein Backup der Konfiguration: Ja, alles ist in der Cloud — aber wer eine Org versehentlich falsch konfiguriert, will rollbacken. Cisco bietet Konfigurations-Templates und Snapshots, viele Kunden nutzen sie nicht.
Meraki im Hamburger Mittelstand — was wir bei hagel IT erleben
In Hamburg betreuen wir aktuell rund zwei Dutzend Meraki-Installationen, von der 8-Mann-Steuerkanzlei in Eppendorf bis zum Logistiker mit 120 MA in Wilhelmsburg. Was wir sehen:
- Geschäftsführer lieben das Dashboard. Endlich verstehen sie, wo das Internet hängen bleibt — und können selbst Trends erkennen, ohne IT-Kollegen zu fragen.
- IT-Leiter sind erst skeptisch, dann überzeugt. Die Lizenzkosten ärgern. Aber wenn der Pager-Alarm nachts seltener wird, weil das Dashboard proaktive Alerts schickt, kippt die Stimmung.
- Multi-Site-Wechsel rentieren sich am schnellsten. Spätestens beim zweiten Standort, der ohne Vor-Ort-Techniker live geht, ist die Investition durch.
- Branchenspezifische Vorteile: Steuerkanzleien lieben Audit-Logs, Logistik liebt LTE-Backup, Architekturbüros lieben das Wi-Fi-Roaming für mobile CAD-Workstations.
Verwandte Pillar-Artikel auf unserem Blog: Effizientes WLAN-Management mit Cisco Meraki, Cisco AnyConnect/Secure Client und der HPE-Aruba-Vergleich für die Alternative ohne Cisco-Lock-in.
Ihr nächster Schritt
Wenn Sie überlegen, ob Meraki für Ihr Unternehmen die richtige Wahl ist, helfen drei Schritte: Bestandsaufnahme Ihres Netzwerks, eine ehrliche TCO-Rechnung über fünf Jahre, ein Vergleich mit zwei Alternativen. Wir machen das im Erstgespräch in 15 Minuten — keine Verkaufsshow, eine ehrliche Einschätzung.
Wer Meraki bereits einsetzt und den laufenden Betrieb an einen Hamburger Cisco-Partner übergeben will, findet bei uns 24/7-Monitoring, Patch-Management und Lizenz-Tracking als Festpreis-Bestandteil unserer Managed IT Services.
Cisco Meraki einführen oder optimieren?
15 Minuten. Kostenlos. Ehrliche Bewertung Ihrer Netzwerk-Optionen — Meraki, Catalyst, UniFi oder Sophos.
Erstgespräch buchen →
