Sichere Netzwerk-Infrastruktur
Netzwerk.
Geplant. Betrieben.
Überwacht.
Ein gutes Firmennetzwerk fällt im Alltag nicht auf. Es lässt Sie arbeiten, reduziert unerwünschte Zugriffe nach Stand der Technik und verbindet Standorte, ohne dass Sie an Tunnel, Switches oder Funkkanäle denken müssen. net-kom plant, betreibt und überwacht Ihr Netzwerk — herstellerunabhängig, aus einer Hand seit 2002.
01Architektur
Mehr als
ein flaches LAN.
Ein KMU-Netzwerk besteht aus mehreren Ebenen: Internet-Anschluss mit Firewall, internes Kabelnetz, Wi-Fi für Mitarbeiter und Gäste, Fernzugriff für Außendienst und Homeoffice, oft mit Standortkopplung für Zweigniederlassungen.
Wir planen diese Ebenen aufeinander abgestimmt — welcher Verkehr darf wohin, welche Gerätegruppen sind getrennt, welche Redundanzen schützen vor Komplettausfall.
Vier Ebenen · aufeinander abgestimmt
02Segmentierung
Sechs Zonen.
Eine kontrollierte Topologie.
Wenn ein einzelnes Gerät kompromittiert wird, soll der Angreifer nicht automatisch Zugriff auf den Buchhaltungs-Server oder die Produktionssteuerung bekommen. Genau das verhindert Segmentierung — und sie ist der erste, pragmatische Schritt in Richtung Zero-Trust für KMU.
VLAN 10Hauptzone
Mitarbeiter
Office-Workstations, Notebooks, Telefonie
VLAN 20
Server
Datei-, Datenbank- und Anwendungs-Server
VLAN 30
Drucker & IoT
Drucker, Scanner, Zutritts- und Klima-Geräte
VLAN 40
Gäste-Wi-Fi
Internet only, mit Bandbreitenlimit und Captive-Portal
VLAN 50
BYOD
Private Geräte, kontrolliert, kein interner Zugriff
VLAN 99
Management
Admin-Zugriff auf Netzwerk-Komponenten, separiert
03Fernzugriff
Wie sicher ist Ihr Fernzugriff?
VPN-Zugänge ohne zweiten Faktor sind heute eines der am häufigsten ausgenutzten Einfallstore. Wir richten neue VPN-Verbindungen daher grundsätzlich mit Multi-Faktor-Authentifizierung ein — auch bei Wunsch nach „einer kurzen Ausnahme". Das ist Stand der Technik und in Cyber-Versicherungen zunehmend Mindestanforderung.
MFA
Pflicht für jeden Tunnel
Geo
Conditional Access pro Land
Audit
Jede Session protokolliert
04Standortkopplung
Mehrere Standorte.
Ein logisches Netzwerk.
Mehrere Standorte sollen funktional zusammenarbeiten — gemeinsame Dateien, gemeinsame Telefonanlage, einheitliche Berechtigungen. Standortkopplung über Site-to-Site-VPN oder dedizierte Leitungen verbindet sie zu einem logischen Netzwerk. Mit einer zweiten Leitung (z. B. LTE) als Backup-Pfad lässt sich der Betrieb bei Ausfall der Hauptleitung in der Regel weiterführen — eine 100-prozentige Verfügbarkeit verspricht niemand, aber das Risiko-Niveau wird signifikant gesenkt.
Standort A
Beispiel · Hauptsitz
Site-to-Site VPN
+ LTE Failover
Standort B
Beispiel · Filiale
Authentifizierung
Zentral über AD, alle Standorte
Telefonie
Eine Anlage, standortübergreifend
Disaster-Recovery
Dokumentierter Plan pro Standort
05Wi-Fi
Funknetz.
Geplant, nicht gestellt.
Wi-Fi-Probleme sind selten Hardware-Probleme. Sie sind fast immer Planungs-Probleme: zu wenige Access-Points am falschen Ort, überlappende Kanäle, fehlende Trennung der Funkbereiche. Wir starten daher mit einem Site-Survey statt mit einer Bestell-Liste.
Was viele KMU heute haben
Flaches Wi-Fi
- Ein einziger Access-Point pro Etage — Funkschatten in Ecken
- Gäste, Geräte und Buchhaltung im gleichen SSID
- Kein Roaming — Verbindungs-Abbruch beim Etagenwechsel
- Provider-Router macht WLAN nebenher — keine Optimierung
- 2,4 GHz dauerüberlastet, 5 GHz ungenutzt
net-kom Standard
Geplantes Wi-Fi
- Site-Survey vor Installation — keine Pi-mal-Daumen-Platzierung
- Getrennte SSIDs für Mitarbeiter, Gäste, BYOD
- 802.11r Roaming — Wechsel ohne Unterbrechung
- Bandsteuerung — Geräte bevorzugt aufs 5-GHz-Band
- Captive-Portal DSGVO-konform mit Nutzungsbedingungen
Laufende Überwachung und Patch-Management der Netzwerkkomponenten gehören in unseren Managed Service. Tieferes Sicherheitskonzept inkl. NIS2-Mapping in unserer IT-Sicherheits-Leistung. Den Bestand auf NIS2-Reife prüfen wir im Einsteiger-Check ab 299 €.
06Grundprinzip & NIS2
Default-Deny.
Nicht Default-Allow.
Ein gutes Netzwerk lässt im Grundsatz nichts durch, was nicht explizit erlaubt ist — und nicht umgekehrt. Diese Haltung ist der Kern moderner Netzwerk-Architektur und der erste Schritt in Richtung Zero-Trust.
NIS2 · Art. 21 Abs. 2 d
Sicherheit der Netzwerke und Informationssysteme
Die seit 2024/25 in deutsches Recht überführte EU-Richtlinie NIS2 fordert für betroffene Unternehmen dokumentierte Netzwerk-Sicherheit nach Stand der Technik — Segmentierung, Zugangskontrolle, Protokollierung, Multi-Faktor-Authentifizierung für administrative Zugänge. Wir bauen Ihr Netzwerk so auf, dass diese Anforderungen technisch und dokumentarisch belegbar sind.
Firewall-Regelwerk
Jede Regel hat einen Auftraggeber, ein Datum und einen Zweck. Keine „temporären" Regeln, die fünf Jahre stehen bleiben.
Admin-Zugänge
Management-Interfaces niemals direkt aus dem Internet erreichbar. Zugriff ausschließlich über MFA-geschützten Sprungpunkt.
Protokollierung
Verbindungs- und Authentisierungs-Logs zentral gesammelt — Voraussetzung für Forensik im Ernstfall und für NIS2-Nachweise.
Patch-Stand
Firmware-Stände aller aktiven Netzwerk-Komponenten im Monitoring. Updates eingeplant, nicht improvisiert.
07Häufige Fragen
Was KMU am
häufigsten zum
Netzwerk fragen.
Frage nicht dabei? Rufen Sie an — 02173 99398140.
01Was kostet Managed Netzwerk für ein KMU?
Das hängt von Anzahl der Standorte, Mitarbeiter und gewünschtem Service-Level ab. Eine belastbare Größenordnung bekommen Sie nach dem Einsteiger-Check ab 299 € einmalig (bis 200 Arbeitsplätze). Wir liefern danach ein klar gegliedertes Angebot mit Hardware-Investition (einmalig) und laufender Betreuung (monatlich) — keine Pauschalen ohne Bestandsaufnahme.
02Müssen wir alle bisherigen Netzwerkkomponenten austauschen?
In der Regel nein. Wir prüfen den Bestand und übernehmen Komponenten, die zur geplanten Architektur passen und herstellerseitig noch mit Sicherheits-Updates versorgt werden. Ausgetauscht wird nur, was nicht ins Konzept passt oder am End-of-Life ist — und das wird begründet, nicht behauptet.
03Wie schnell merken Sie, wenn unsere Internetleitung ausfällt?
Über das laufende Monitoring in der Regel innerhalb weniger Minuten. Bei Kunden mit aktivem Service-Level prüfen wir den Vorgang umgehend und leiten die passenden Schritte ein — je nach Konstellation Failover auf eine Backup-Leitung (z. B. LTE) oder Provider-Eskalation mit Ticket-Eröffnung.
04Brauchen wir eine eigene Firewall oder reicht der Router des Internetanbieters?
Für KMU ab etwa fünf Arbeitsplätzen empfehlen wir eine dedizierte Firewall. Provider-Router bieten in der Regel weder Netzsegmentierung noch dokumentierte Regelwerke noch verlässliche Sicherheits-Updates — drei Punkte, die mit NIS2 und vielen Cyber-Versicherungen zunehmend zur Voraussetzung werden.
05Brauche ich überhaupt VLANs in einem kleinen Unternehmen?
Sobald sensible Daten, Drucker, IoT-Geräte und Gäste im selben Netz hängen, lohnt sich Segmentierung — auch bei 10 bis 30 Arbeitsplätzen. Ein kompromittierter Drucker oder ein infiziertes Gast-Notebook soll nicht direkt zum Buchhaltungs-Server kommen. VLANs sind ein Standard-Werkzeug, kein Enterprise-Luxus.
06Wie ist das mit BYOD — privaten Geräten der Mitarbeiter?
Private Geräte gehören grundsätzlich nicht ins Mitarbeiter-VLAN. Wenn der Einsatz fachlich nötig ist, richten wir ein separates BYOD-VLAN mit klar definierten Berechtigungen ein — typischerweise nur Internet-Zugriff, kein Zugriff auf interne Ressourcen. Ergänzend lässt sich vendor-agnostisches Mobile-Device-Management aufsetzen.
07Wie sicher ist unser Firmen-WLAN nach dem Aufbau?
Nach Stand der Technik (WPA3 oder WPA2-Enterprise, getrennte SSIDs, Gast-Isolation, Patch-Stand der Access-Points im Monitoring). Eine 100-prozentige Sicherheit gibt es nicht — aber das Risiko-Niveau lässt sich gegenüber einem unkonfigurierten Provider-WLAN signifikant senken und nachvollziehbar dokumentieren.
08Was passiert bei einem Strom-Ausfall?
Kritische Netzwerkkomponenten (Firewall, Core-Switch, Telefonanlage) hängen an unterbrechungsfreien Stromversorgungen (USV). Dimensionierung erfolgt nach Schutzziel — meist 30 bis 60 Minuten Überbrückung, um den Standort kontrolliert herunterzufahren oder einen kurzen Stromausfall zu überbrücken.
09Kontakt
Bereit für IT,
die einfach funktioniert?
Ein Anruf, ein Termin vor Ort, ein Einsteiger-Check — Sie entscheiden, wie wir starten. Versprochen: kein Verkaufsgespräch.
Adresse
net-kom Systemhaus
Hausinger Str. 6
40764 Langenfeld (Rheinland)
Hausinger Str. 6
40764 Langenfeld (Rheinland)
Servicezeiten
Mo – Fr · 8:00 – 16:30 Uhr
Mobil für Notfälle
(für unsere Kunden)
Mobil für Notfälle
(für unsere Kunden)
Schnellstart