Das Heimnetzwerk segmentieren: Wie Sie Ihr WLAN in Zonen einteilen

Warum Sie Ihr heimisches WLAN in mehrere Zonen aufteilen sollten und welche Vorteile die Netzwerksegmentierung bietet, erfahren Sie im Beitrag.

Smartphone und WLAN-Funk-Symbole im Raum verteilt
Netzwerksegmentierung. Foto AdobeStock

Unternehmen nutzen die Netzwerksegmentierung, um die IT-Sicherheit gegenüber verschiedenen Gefahren zu erhöhen und den Datenverkehr besser kontrollieren zu können. Darüber hinaus kann die Netzwerksegmentierung auch im privaten Bereich als Sicherheitsvorkehrung eingesetzt werden: In Haushalten, in denen mehrere Personen wohnen (zum Beispiel Wohngemeinschaften) oder Smart-Home-Systeme installiert sind, lassen sich sensible Daten dank Netzwerksegmentierung im Heimnetzwerk wesentlich besser schützen.

Wie funktioniert ein Netzwerk?

Als Netzwerk wird in der Informationstechnologie der Zusammenschluss von mindestens zwei Computersystemen bezeichnet. Die Verbindung für die Datenübertragung zwischen den einzelnen Komponenten des Netzwerks erfolgt kabelgebunden (LAN) oder per Funk (WLAN). Sind zwei Computer miteinander verbunden, spricht man auch von einem Peer-to-Peer-Netzwerk. Bei diesem Modell sind beide Computersysteme gleichberechtigt und können auf die Daten des anderen Rechners zugreifen sowie Ressourcen (Speicherplatz, Software) gemeinschaftlich nutzen.

Sind mehrere Teilnehmer in einem Netzwerk miteinander verbunden, stellt in der Regel ein Rechner (Server) als zentrale Schaltstelle seine Ressourcen allen anderen Teilnehmern (Clients) zur Verfügung. Dabei versendet der Client eine Anfrage (Request) an den Server, der diese auswertet und die relevanten Informationen – beispielsweise die zur Darstellung der gewünschten Ziel-Website benötigten Datenpakete – zurückschickt (Response). Auch das heimische WLAN-Netzwerk verfügt über eine Client-Server-Architektur: Der Router empfängt sämtliche Anfragen innerhalb des Heimnetzwerks, leitet diese an das Internet weiter und meldet sich dann mit den angeforderten Daten zurück.

Hinweis

Gegen welche Risiken sich Userinnen und User heimischer WLAN-Netzwerken absichern sollten, erfahren Sie im Beitrag „Gefahren für private WLAN-Netzwerke“.

Welche Vorteile bietet die Netzwerksegmentierung?

Bei der Netzwerksegmentierung handelt es sich um einen sogenannten Netzwerkarchitekturansatz: Ein Netzwerk wird dabei in mehrere Segmente beziehungsweise kleinere Netzwerk-Zonen unterteilt. Die Administratorinnen und Administratoren eines Netzwerks können dadurch den Datenverkehr zwischen den einzelnen Segmenten mit definierten Richtlinien steuern und leichter kontrollieren.

Häufig nutzen Unternehmen die Netzwerksegmentierung, um die Sicherheit gegen Cyberangriffe und Datenlecks zu erhöhen, um technische Probleme rasch zu lokalisieren und den Datenverkehr zu überwachen. Dadurch lässt sich das Risiko unbefugter Zugriffe auf sensible Informationen und wichtige Firmendaten (Kundendaten, Finanzunterlagen) wesentlich reduzieren.

Die Netzwerksegmentierung ist auch im Kontext von Smart-Home-Systemen eine sinnvolle Maßnahme zur Steigerung der Cybersicherheit. Mit Netzwerkzonen können Userinnen und User ihre Smart-Home-Systeme oder Heimnetzwerke – je nachdem, auf welche Komponenten der Angriff erfolgen kann – besser absichern. Dadurch kann das Risiko von Cyberangriffen (zum Beispiel durch Schadprogramme) beziehungsweise der damit verbundene Schaden reduziert werden.

Tipp

Wie Sie Ihr WLAN zu Hause effektiv absichern, können Sie im Beitrag „Basisschutz für private WLAN-Netzwerke“ nachlesen.

Das Heimnetzwerk segmentieren

Netzwerke können auf verschiedenste Weise segmentiert beziehungsweise in Zonen aufgeteilt werden. Dabei lassen sich Einstellungen am Router, bei einem Switch (Verteiler für Datenströme) und der Firewall (Antivirus-Programm) vornehmen. Folgende Methoden bieten sich an, um das Heimnetzwerk in voneinander abgegrenzte Bereiche zu unterteilen:

  • Gäste-WLAN einrichten. Mit einem Gäste-WLAN (Netzwerk 2) sichern Sie alle mit dem primären Heimnetzwerk verbundenen Geräte sowie Netzwerkfreigaben gegen unbefugte Zugriffe ab. Eine Gäste-WLAN hat einen eigenen IP-Adressbereich und ist daher vom Heimnetzwerk isoliert. Da es möglich ist, das sekundäre Netzwerk mit einem eigenen Passwort auszustatten, kann das persönliche WLAN-Passwort geheim gehalten werden. Bei vielen Routern lässt sich das Gästenetz sehr einfach per Mausklick aktivieren. In den Werkseinstellungen ist das Gäste-WLAN häufig auf bestimmte Anwendungen (Websites mit HTTP/HTTPS, E-Mail) beschränkt. Diese Beschränkungen können Sie bei Bedarf in den Einstellungen des Routers aufheben. Dies kann beispielsweise für die Segmentierung eines Smart-Home-Systems notwendig sein, wenn Sie ein solches aus Sicherheitsgründen in das Gäste-Netzwerk verlegen wollen. Wenn das sekundäre Netzwerk nicht mehr benötigt wird, sollte es abgeschaltet werden.
  • Router-Kaskade. Eine Router-Kaskade besteht aus dem primären Heimnetzwerk samt Modem-Router (Router 1) und einem sekundären Netzwerk. Letzteres wird von einem weiteren Router (Router 2) bereitgestellt, der mit dem Netzwerk von Router 1 verbunden ist. Mittels Firewall-Einstellungen der beiden Router können Sie den Datenverkehr regulieren und die beiden Netzwerke voneinander trennen. Da Router 2 an den Hauptrouter (Router 1) angeschlossen ist, spricht man von einer Router-Kaskade.
  • Multi-WAN-Router. Eine praktische Lösung, um das heimische WLAN in mehrere Zonen aufzuteilen, stellt der Multi-WAN-Router dar. Dieser besitzt mehrere WAN-Buchsen (Wide Area Network, Internet) sowie LAN-Anschlüsse. Somit können auch mehrere Internetanschlüsse eingerichtet werden, um beispielsweise Internetunterbrechungen zu vermeiden. Zudem bietet sich ein Multi-WAN-Router an, um WLAN-Zonen beziehungsweise Subnetze (WLAN-Bereiche und VLAN) zu konfigurieren.
  • VLAN-Netzwerke. VLAN (Virtual Local Area Network) ist ein virtuelles (logisches) Netzwerk, das auf einem physischen Netzwerk basiert. Durch VLAN kann die Sicherheit von Netzwerken, in denen sensible Daten übertragen werden, deutlich erhöht werden, indem Daten nur an ein spezifisches VLAN übertragen werden: Daten, die beispielsweise ein VLAN-Tag besitzen, werden dabei nur an Clients, Geräte und Ports (IP-Adressenzusatz in den Router-Einstellungen, um Datenverkehr gezielt bestimmten Anwendungen zuordnen zu können) weitergeleitet, die zu diesem logischen Netzwerk gehören. Um ein VLAN zu erstellen, wird neben einem VLAN-fähigen Router ein Managed Switch (Verteiler für Datenströme innerhalb eines Netzwerks) benötigt. Mit Managed Switches lassen sich Netzwerke sowie VLANs auf unterschiedliche Weise konfigurieren und der Netzwerkzugriff individuell steuern. So können mithilfe eines Managed Switch sogenannte Access Control Lists (ACLs) erstellt werden, die den Netzwerkverkehr von Userinnen und Usern filtern und kontrollieren.

Tipp

Welche zusätzlichen Maßnahmen der Absicherung heimischer WLANs dienen, erfahren Sie im Beitrag „Erweiterter Schutz für private WLAN-Netzwerke“.

Letzte Aktualisierung: 15. Juli 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria