Netzwerk 29. März 2026 5 Min

Managed Switch, VLANs und Netzwerksegmentierung: Einfach erklärt für KMU

Was ist der Unterschied zwischen Unmanaged und Managed Switch? Wann brauche ich VLANs? Konkrete Beispiele für Büro, Arztpraxis und Werkstatt — ohne Fachjargon.

Managed Switch · VLAN · Segmentierung

Im Netzwerk-Schrank hängen zwei Arten von Switches: solche, die einfach durchschalten — und solche, bei denen man einstellen kann, wer mit wem spricht. Den Unterschied kennen viele KMU nicht, bis es ein Problem gibt.

Unmanaged Switch: Einfach und günstig

Ein Unmanaged Switch verbindet Geräte im gleichen Netzwerk. Strom an, Kabel rein, fertig. Konfiguration gibt es nicht. Jeder Port spricht mit jedem Port.

Das funktioniert gut für:

  • Kleine Büros mit 5–10 Geräten, alle im gleichen Netzwerk
  • Drucker, die nur Drucken müssen und kein Internet brauchen
  • Erweiterung vorhandener Port-Anzahl ohne Segmentierungsbedarf

Kosten: 20–150 €. Kein Wartungsaufwand. Aber auch keine Kontrolle darüber, wer was sieht.

Managed Switch: Kontrolle über den Datenfluss

Ein Managed Switch lässt sich konfigurieren. Ports können Gruppen zugewiesen werden, Prioritäten gesetzt, der Datenverkehr überwacht werden. Das Werkzeug dafür heißt VLAN.

Kosten: 150–800 € für KMU-taugliche Geräte (Cisco, HP Aruba, UniFi, Netgear ProSafe). 8-Port-Einstieg: ab 150 €. 24-Port mit PoE+ für mittlere Büros: 400–600 €.

Was VLANs sind — ohne Fachjargon

VLAN steht für "Virtual Local Area Network". Stellen Sie sich vor, Sie haben einen Schreibtisch mit mehreren abgeschlossenen Schubladen. Jeder darf nur in seine eigene Schublade — außer Sie geben ausdrücklich eine Ausnahme frei.

Technisch: Der Switch teilt seine Ports logisch in Gruppen auf. Geräte in Gruppe 1 sehen Geräte in Gruppe 2 nicht — auch wenn beide am gleichen physischen Switch hängen. Der Datenverkehr zwischen VLANs läuft nur über einen Router/Firewall, der die Verbindung explizit erlaubt.

Drei konkrete Anwendungsbeispiele

Beispiel 1: Gäste-WLAN trennen

Ein Betrieb hat ein WLAN für Mitarbeiter und eins für Kunden/Gäste. Ohne VLAN: Kunden landen im gleichen Netzwerk wie die Buchhaltungs-PCs. Mit VLAN: Das Gäste-WLAN bekommt ein eigenes VLAN (z.B. VLAN 20), der Traffic geht direkt ins Internet, aber nie ins interne Netzwerk.

Das ist nicht optional. Das ist eine grundlegende Sicherheitsmaßnahme.

Beispiel 2: Arztpraxis — Datenschutz durch Segmentierung

In einer Arztpraxis hängen am Netzwerk: Praxissoftware-Server, Empfangs-PCs, medizinische Geräte (Röntgen, EKG), Drucker, ggf. ein Gäste-WLAN.

Mit VLANs:

  • VLAN 10: Praxissoftware + Server — nur autorisierte PCs
  • VLAN 20: Medizinische Geräte — isoliert, nur interner Traffic
  • VLAN 30: Drucker — alle dürfen drucken, niemand sieht den Druckserver-Inhalt
  • VLAN 40: Gäste-WLAN — nur Internet, nichts Internes

Das reduziert Angriffsfläche und unterstützt DSGVO-konforme Netzwerkarchitektur.

Beispiel 3: Handwerksbetrieb mit Werkstatt und Büro

Büro mit Buchhaltung und CRM — schützenswert. Werkstatt mit Maschinen, die per Netzwerk gesteuert werden (CNC, Lasercutter) — kritisch, aber andere Sicherheitsanforderungen. Mitarbeiter-Tablets für Berichte — sollen intern kommunizieren, aber nicht alles sehen.

Drei VLANs, sauber getrennt, Firewall regelt den Übergang. So verliert ein infizierter Tablet nicht die Kontrolle über die Buchaltung.

PoE: Was das ist und wann es relevant wird

PoE (Power over Ethernet) versorgt Geräte über das Netzwerkkabel mit Strom. Access Points, IP-Kameras, IP-Telefone, Türstationen — all das läuft heute über PoE. Kein extra Netzteil, kein Elektriker für eine zusätzliche Steckdose.

Relevante Standards:

  • PoE (802.3af): bis 15,4 W pro Port. Für einfache APs und IP-Kameras.
  • PoE+ (802.3at): bis 30 W. Für leistungsstärkere APs, PTZ-Kameras.
  • PoE++ (802.3bt): bis 60/90 W. Für Thin Clients, Displays, Hochleistungs-APs.

Wichtig: Das PoE-Budget des Switches muss reichen. Ein 8-Port-Switch mit 65 W PoE-Budget versorgt keine acht 30-W-Geräte gleichzeitig. Vor dem Kauf rechnen — oder fragen lassen.

Wann Managed Switch und VLANs sich lohnen

Faustregel: Ab 15–20 Netzwerkteilnehmern oder wenn einer dieser Punkte zutrifft:

  • Es gibt Gäste-WLAN, das vom internen Netz getrennt sein soll
  • Es sind schützenswerte Systeme im Netz (Buchhaltung, Patientendaten, ERP)
  • Es hängen IoT-Geräte oder Maschinen im Netz, die nicht "alles sehen" dürfen
  • IP-Kameras, IP-Telefonie oder PoE-Access-Points werden eingesetzt
  • Mehr als ein Standort oder mehrere Gebäude sind verbunden

Fazit

Ein Managed Switch ist kein Luxus für große Unternehmen. Er ist die Grundlage für eine kontrollierbare, sichere Netzwerkarchitektur — auch im Büro mit 15 Mitarbeitern.

Die Mehrkosten gegenüber einem Unmanaged-Switch amortisieren sich bei der ersten Sicherheitslücke, die durch saubere Segmentierung verhindert wird. Oder beim ersten Gast, der aus Versehen auf dem Buchhaltungsserver landet.

Netzwerkplanung muss nicht kompliziert sein. Sie muss nur gemacht werden.

T
Tobias Dietrich
Elektrotechnikmeister, WIRVER
Teilen:

Interesse geweckt?

Projekt besprechen — kostenlos und unverbindlich.

Mo–Fr 8–12 Uhr telefonisch erreichbar. E-Mail jederzeit.

Beratung anfragen 06202 9530190
Zurück zur Blog-Übersicht