hagel IT-Services
Termin buchen
hagel IT
Termin buchen 040 284 10 26-0
Kontakt
6 Min.

Netzwerksicherheit für Unternehmen: Firewall, Monitoring & Zero Trust

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Laut BSI-Lagebericht 2025 stieg die Zahl neuer Schwachstellen um 24 Prozent — KMU sind besonders gefährdet
  • Zero Trust ersetzt das alte Perimeter-Modell: „Never trust, always verify” wird zum Standard
  • Netzwerk-Monitoring erkennt Angriffe und Ausfälle, bevor Schaden entsteht
  • Netzwerk-Forensik klärt nach einem Vorfall, was genau passiert ist

87 Prozent der deutschen Unternehmen waren laut Bitkom Wirtschaftsschutz 2025 von Datendiebstahl, Spionage oder Sabotage betroffen. Der Schaden: 202,4 Milliarden Euro. Die meisten Angriffe starten über das Netzwerk.

BSI-Lagebericht 2025: Was sich geändert hat

Der BSI-Lagebericht 2025 zeichnet ein klares Bild: Die tägliche Zahl neuer Schwachstellen stieg um 24 Prozent. Ransomware bleibt die größte Bedrohung. Und KMU sind laut BSI besonders verwundbar, weil grundlegende Schutzmaßnahmen fehlen.

+24%
Neue Schwachstellen täglich
202 Mrd. €
Schaden durch Cyberangriffe
87%
der Firmen betroffen

Das BSI empfiehlt fünf zentrale Maßnahmen:

  1. Einführung eines Informationssicherheitsmanagementsystems (ISMS)
  2. Regelmäßiges Patch- und Schwachstellenmanagement
  3. Mitarbeiter-Sensibilisierung
  4. Mehrschichtige Schutzmechanismen (Firewall, Endpoint Security)
  5. Kritische Prüfung von IT-Dienstleistern

Firewall: Ihre erste Verteidigungslinie

Eine Firewall kontrolliert, welcher Datenverkehr in Ihr Netzwerk rein und raus darf. Für Unternehmen reicht der Paketfilter eines Heimrouters nicht aus.

Was eine Business-Firewall können muss

  • Stateful Packet Inspection. Prüft den Kontext jedes Datenpakets, nicht nur die Adresse.
  • Intrusion Prevention System (IPS). Erkennt und blockiert bekannte Angriffsmuster automatisch.
  • VPN-Gateway. Sichere Verbindung für Mitarbeiter im Homeoffice oder unterwegs.
  • Content Filtering. Blockiert gefährliche oder unerwünschte Websites.
  • VLAN-Routing. Steuert den Datenverkehr zwischen Netzwerksegmenten.
  • Zentrale Verwaltung. Alle Regeln an einem Ort, nicht verteilt über mehrere Geräte.
Praxis-Tipp:

Viele Unternehmen in Hamburg haben noch eine Firewall aus 2018 oder 2019. Das Problem: Ältere Modelle haben nicht genügend Durchsatz für moderne Cloud-Anwendungen und VPN-Verbindungen. Prüfen Sie, ob Ihre Firewall noch zum aktuellen Bedarf passt.

Netzwerk-Verschlüsselung: Daten auf dem Transportweg schützen

Verschlüsselung schützt Daten nicht nur auf der Festplatte, sondern auch unterwegs im Netzwerk. Die wichtigsten Protokolle:

ProtokollEinsatzStatus
WPA3WLAN-VerschlüsselungAktueller Standard
TLS 1.3Webanwendungen, E-MailPflicht
IPsecVPN-VerbindungenStandard für Site-to-Site
MACsecLAN-VerschlüsselungEmpfohlen für sensible Bereiche

Besonders relevant für Unternehmen mit Compliance-Anforderungen: Die NIS2-Richtlinie verlangt „angemessene technische Maßnahmen” — Netzwerkverschlüsselung gehört dazu.

Zero Trust: Das neue Sicherheitsmodell

Das alte Modell: Alles hinter der Firewall ist vertrauenswürdig. Das neue Modell: Nichts ist vertrauenswürdig — auch nicht der Rechner im Büro.

Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Zero Trust in 5 Schritten umsetzen

  1. Identitäten absichern: Multi-Faktor-Authentifizierung (MFA) für alle Zugänge. Ohne Ausnahme.
  2. Geräte verifizieren: Nur verwaltete, aktuelle Geräte erhalten Netzwerkzugriff. Bring-Your-Own-Device nur mit Mobile Device Management.
  3. Netzwerk segmentieren: VLANs, Micro-Segmentierung. Kein flaches Netzwerk, in dem ein kompromittiertes Gerät alles erreichen kann.
  4. Least Privilege: Jeder Nutzer bekommt nur die Rechte, die er für seine Arbeit braucht. Kein Mitarbeiter ist Admin auf seinem Rechner.
  5. Kontinuierlich überwachen: Jeder Zugriff wird protokolliert und auf Anomalien geprüft. Automatisiert, nicht manuell.
Typische Fallstricke bei Zero Trust:

Zu viel auf einmal wollen. Zero Trust ist kein Projekt, sondern ein Prozess. Starten Sie mit MFA und Netzwerk-Segmentierung — das bringt den größten Sicherheitsgewinn bei geringstem Aufwand.

Netzwerk-Monitoring: Probleme erkennen, bevor sie eskalieren

Monitoring bedeutet: Ihre Netzwerkgeräte werden rund um die Uhr überwacht. Fällt ein Switch aus, steigt die Latenz oder verhält sich ein Gerät ungewöhnlich — werden wir sofort alarmiert.

Was wir bei unseren Kunden überwachen

  • Verfügbarkeit: Sind alle Switches, Router, Access Points erreichbar?
  • Auslastung: Wie hoch ist der Datenverkehr? Gibt es Engpässe?
  • Latenz: Reagiert das Netzwerk schnell genug für Videokonferenzen?
  • Fehler: Paketverlust, CRC-Fehler, Port-Ausfälle
  • Sicherheit: Unbekannte Geräte im Netz, ungewöhnliche Datenströme

Tools wie PRTG Network Monitor, Auvik oder die integrierten Dashboards von Managed-IT-Plattformen machen das möglich.

Netzwerk-Zugangskontrolle: Wer darf rein?

Network Access Control (NAC) stellt sicher, dass nur autorisierte und konforme Geräte Zugang zu Ihrem Netzwerk erhalten. Ein unbekanntes Gerät, das jemand an eine Netzwerkdose steckt? Wird automatisch in ein Quarantäne-VLAN geschoben.

Wie NAC funktioniert

  1. Gerät wird angeschlossen — kabelgebunden oder per WLAN
  2. NAC prüft: Ist das Gerät bekannt? Ist es verwaltet? Ist die Firmware aktuell?
  3. Entscheidung: Voller Zugang, eingeschränkter Zugang oder Quarantäne
  4. Protokollierung: Jeder Zugangsversuch wird dokumentiert

Lösungen wie FortiNAC oder Microsoft Entra ID (für Cloud-basierte Zugangskontrolle) machen NAC auch für KMU erschwinglich. Die Kombination mit Managed IT stellt sicher, dass die Regeln aktuell bleiben.

Perimeter-Sicherheit vs. Zero Trust

Die klassische Perimeter-Sicherheit — „alles hinter der Firewall ist sicher” — ist veraltet. Gründe:

  • Homeoffice: Mitarbeiter arbeiten von außerhalb des Perimeters
  • Cloud-Dienste: Daten liegen nicht mehr nur im lokalen Netzwerk
  • BYOD: Private Geräte im Firmennetz sind keine Seltenheit
  • Laterale Bewegung: Wenn ein Angreifer den Perimeter überwindet, hat er Zugriff auf alles

Zero Trust löst dieses Problem, indem jeder Zugriff einzeln geprüft wird — egal ob von innen oder außen.

Netzwerk-Forensik: Was nach dem Angriff passiert

Wenn ein Sicherheitsvorfall passiert, reicht „Stecker ziehen” nicht. Netzwerk-Forensik untersucht:

  • Wie ist der Angreifer eingedrungen? Phishing-Mail, offener Port, kompromittiertes VPN?
  • Was wurde kompromittiert? Welche Systeme, welche Daten?
  • Wie lange war der Angreifer im Netzwerk? Wochen? Monate?
  • Welche Daten wurden abgegriffen? Meldepflicht nach DSGVO beachten.

Ohne Forensik tappen Sie im Dunkeln und können den gleichen Angriff nicht verhindern. Deshalb ist Logging-Pflicht: Alle relevanten Systeme müssen Protokolle schreiben, die im Ernstfall auswertbar sind.

IT-Sicherheit ist Chefsache. Sprechen Sie mit uns.

15 Minuten. Kostenlos. Ihre aktuelle Sicherheitslage — ehrlich bewertet.

Erstgespräch buchen →

Aus der Praxis: Ransomware-Angriff auf ein Hamburger KMU

„Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage."

— Bernd Kühn, Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter

Solche Fälle sehen wir regelmäßig bei Unternehmen, die zu uns wechseln. Die häufigsten Ursachen: keine Netzwerk-Segmentierung, kein Monitoring, keine getesteten Backups.

Das Wichtigste: Netzwerksicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess. Firewall, Monitoring und Zero-Trust-Prinzipien bilden die Grundlage. Starten Sie mit MFA und Segmentierung — das kostet wenig und bringt den größten Schutz.

Tipp: Mehr über Netzwerk-Services von hagel IT erfahren.

Jens Hagel
Jens Hagel
Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2025 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Über uns
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

Zero Trust bedeutet: Kein Gerät und kein Nutzer wird automatisch als vertrauenswürdig eingestuft — egal ob im Büro oder von außen. Jeder Zugriff wird einzeln geprüft und autorisiert.

Ja, unbedingt. Selbst mit 5 Mitarbeitern. Die Firewall ist die erste Verteidigungslinie gegen Angriffe aus dem Internet. Eine Business-Firewall kostet ab 500 Euro und schützt das gesamte Netzwerk.

Bei hagel IT ist Netzwerk-Monitoring im Managed-IT-Festpreis enthalten. Standalone-Lösungen wie PRTG starten ab ca. 1.500 Euro Lizenzkosten pro Jahr plus Einrichtungsaufwand.

Netzwerk-Forensik analysiert den Datenverkehr nach einem Sicherheitsvorfall. Ziel: Herausfinden, wie ein Angreifer eingedrungen ist, welche Daten betroffen sind und wie man den Vorfall nachweisen kann.

Vertraglich vier Stunden Reaktionszeit. Unser Anspruch: sofort. Bei einem akuten Sicherheitsvorfall haben Sie die Geschäftsführung direkt als Ansprechpartner.

Das könnte Sie auch interessieren

IT-Sicherheit

NIS-2 Beratung Hamburg: Was Geschäftsführer jetzt tun müssen
IT-Sicherheit

WatchGuard Firewall vom Gold Partner in Hamburg: Warum der Partnerstatus für Sie zählt
IT-Sicherheit

Backup für Unternehmen: Der Komplett-Guide zu Datensicherung und Wiederherstellung