Inhalt in Kürze
- Ein Firmennetzwerk hat sieben Bausteine: Internet-Router, Firewall, managed Switch, Access-Points, Verkabelung mit Patchpanel, USV und ein Management-Layer (Monitoring, Patches). Fehlt einer, fällt das Netz unter Last oder wird zur Sicherheitslücke.
- Verkabelt UND WLAN — nicht entweder/oder: Feste Arbeitsplätze über CAT6a auf Gigabit oder 2,5 GbE, mobile Geräte über Wi-Fi 6E oder Wi-Fi 7. Reines WLAN-Büro ist für KMU mit Videokonferenz und Cloud-Backup zu instabil.
- Segmentierung via VLAN ist Pflicht: Mitarbeiter, Server, Drucker, IoT und Gäste gehören in getrennte Netze — sonst springt Ransomware aus dem Gast-WLAN direkt in die Buchhaltung.
- Kosten für 25 Arbeitsplätze: 12.000–22.000 € einmalig plus Managed-WLAN/Firewall ab ca. 50 €/Arbeitsplatz/Monat. Der Preis entscheidet sich an der Verkabelungssituation, nicht an der aktiven Hardware.
- NIS-2 macht das Netzwerkdesign zur Chefsache: Rund 30.000 Unternehmen in Deutschland müssen ab ca. 50 Mitarbeitern angemessene Segmentierung, Zugriffskontrolle und Monitoring nachweisen — sonst haftet die Geschäftsführung persönlich.
Das Firmennetzwerk ist das Nervensystem Ihres Betriebs. Im Zweifel merken Sie es erst, wenn es nicht funktioniert: Die Videokonferenz hakt, der Drucker ist „offline”, das Backup läuft nicht zu Ende, die Kasse steht still. In dem Moment geht es nicht mehr um IT — es geht um Umsatz, um Kundentermine, um Mitarbeiter, die nicht arbeiten können.
Dieser Artikel ist die Anleitung, die wir unseren Kunden in Hamburg und Norddeutschland in die Hand geben, wenn sie zum ersten Mal ein Firmennetzwerk planen, ein bestehendes Büro modernisieren oder umziehen. Keine Produkt-Werbung, sondern eine Entscheidungshilfe mit Zahlen, Komponenten und Fallstricken aus rund 150 Netzwerk-Installationen.
Was gehört zu einer professionellen Netzwerkinstallation?
Netzwerkinstallation ist die strukturierte Verkabelung, Hardware-Bestückung und Konfiguration eines Firmennetzwerks. Sie umfasst die CAT6a-Kabelverlegung mit Patchpanel im 19″-Rack, einen managed Switch, eine Business-Firewall, Wi-Fi-6E- oder Wi-Fi-7-Access-Points sowie die IP-Adressierung und VLAN-Segmentierung. Im Sprachgebrauch synonym: „Netzwerkaufbau", „Netzwerk-Einrichtung", „LAN-Installation" — gemeint ist immer dasselbe Projekt.
Faustregel: Für 5 Arbeitsplätze rechnet man mit ca. 3.000–5.500 €, für 25 Arbeitsplätze 12.000–22.000 € einmalig, jeweils plus Managed-Betrieb ab 50 €/AP/Monat.
Eine professionelle Netzwerkinstallation besteht aus sieben Bausteinen: Internet-Router (vom Provider), Business-Firewall, managed Switch mit VLAN-Support, PoE-Access-Points für WLAN, strukturierte CAT6a-Verkabelung mit Patchpanel im 19″-Rack, einer USV für den Rack und einem Management-Layer für Monitoring und Patches. Der Router ist das Tor zum Internet, die Firewall der Wächter, der Switch das Verteilernetz, die Access-Points das Funknetz — und die Verkabelung die Autobahn, auf der alles läuft. Fehlt einer dieser sieben Bausteine, hat das Netzwerk entweder Engpässe oder Sicherheitslücken.
Der Unterschied zum Heimnetzwerk ist nicht „größer, stärker, schneller”, sondern Trennung von Aufgaben: Im Wohnzimmer hängt alles am Provider-Router. Im Büro macht der Router ausschließlich Internetzugang, die Firewall kümmert sich um Sicherheit, der Switch verteilt intern und die Access-Points versorgen das WLAN. Damit lässt sich jede Komponente einzeln tauschen, skalieren und monitoren.
Komponenten im Überblick
| Komponente | Aufgabe | Typische Auswahl KMU | Kosten (25 User) |
|---|---|---|---|
| Internet-Router | Verbindung zum Provider | Vom Provider (Telekom, Vodafone, Wilhelm.tel) | inkludiert |
| Business-Firewall | Perimeter-Schutz, VPN, IDS | WatchGuard Firebox T45 / Fortinet 40F | 1.800–3.500 € |
| Core-Switch | VLAN, Gigabit/2,5 GbE | Ubiquiti UniFi / Cisco Catalyst 1200 / Aruba 6100 | 800–1.800 € |
| Access-Points | WLAN-Versorgung | Ubiquiti U7 Pro, Aruba AP-22, Cisco Meraki | 300–600 € pro AP (4–6 Stück) |
| Patchpanel + CAT6a | Verkabelung, strukturierte Verlegung | Keystone-System, 24-Port Patchpanel | 40–80 €/Dose installiert |
| 19″-Rack + USV | Hardware-Unterbringung | 12 HE Wandschrank + APC/Eaton USV 1500VA | 1.200–2.000 € |
| Monitoring/Management | Controller, Logs, Alarme | UniFi Controller, Aruba Central, Sophos Central | ab 30 €/Monat |
Die Spanne je Komponente ist groß. Ein 16-Port-Ubiquiti-Switch kostet unter 300 € und reicht für ein 10-Personen-Büro problemlos. Ein Cisco Catalyst 9300 fängt bei 4.000 € an und ergibt erst ab 50+ Ports Sinn. Der Fehler, den wir am häufigsten sehen: Enterprise-Hardware für Mittelstand — überdimensioniert, überbezahlt, ungenutzt. Genauso schlecht: Consumer-Hardware (FritzBox + TP-Link-Switch vom Discounter) für ein 30-Mann-Büro — das funktioniert drei Monate und zerbröselt dann unter der Last.
Planung in 7 Schritten
Die Reihenfolge macht die Musik. Wer mit Hardware-Bestellung anfängt, hat schon verloren. So läuft eine saubere Netzwerkplanung:
Bedarfsanalyse
Wie viele feste Arbeitsplätze? Wie viele mobile? Welche Anwendungen (Videokonferenz, CAD, Cloud-Backup, Kassensysteme, IP-Kameras)? Gibt es Außenstandorte oder Homeoffice-Anbindung? Ziel ist eine Zahl: benötigte Bandbreite ein- und ausgehend, Anzahl LAN-Ports, WLAN-Clients gleichzeitig.
Grundrissaufnahme
Büroplan zur Hand, Arbeitsplätze einzeichnen, Wandtypen markieren (Trockenbau, Beton, Glas — WLAN-Killer). Bei Bestandsbüros: vorhandene Leerrohre prüfen. Das ist der Schritt, der am häufigsten unterschätzt wird — 40 % der Installationsdauer hängt an der Verkabelungssituation. In Hamburg sehen wir drei Klassiker, die das Projekt teurer machen: massive Backsteinwände in der Speicherstadt (Bohrungen + Brandschotts), Glasfassaden in der HafenCity (WLAN-Reflexion, mehr Access-Points nötig) und Altbau-Decken in Eimsbüttel/Eppendorf mit Stuck, die nicht aufgemacht werden dürfen — dort wird oft über Sockelleisten oder Aufputz-Kanäle verkabelt. Wer das vorab klärt, vermeidet böse Überraschungen im Angebot.
Komponentenauswahl
Jetzt erst Hardware. Faustregel: ein Hersteller-Ökosystem pro Layer (Firewall von A, Switch+WLAN von B) spart Troubleshooting. Bei Wachstum auf 50+ User lieber managed Switches mit VLAN-Support kaufen — der Preisunterschied zu unmanaged ist minimal.
Verkabelung
CAT6a-Verlegung (nicht CAT5e, nicht CAT6 — CAT6a ist heute Standard und trägt 10 GbE über 100 m). Mindestens 2 Dosen pro Arbeitsplatz, zentrales Patchpanel im Rack, jede Dose beschriftet. Wer hier spart, zahlt in 3 Jahren doppelt beim Upgrade auf 10 GbE.
Segmentierung planen
VLAN-Konzept festlegen, bevor ein Kabel gesteckt wird. Klassische KMU-Segmentierung: 10=Clients, 20=Server, 30=Drucker/IoT, 40=Gast, 99=Management. IP-Ranges dokumentieren, DHCP-Scopes definieren. Ohne VLAN-Konzept wird das Netz später nie mehr sauber.
Sicherheits-Policies
Firewall-Regeln (wer darf zwischen welchen VLANs?), MFA für alle Admin-Zugänge, getrennte Admin-Accounts, Gast-WLAN ohne Zugriff auf interne Ressourcen. Monitoring scharfschalten — Logs, die niemand anschaut, helfen im Ernstfall nicht.
Dokumentation
Netzwerkdiagramm, Port-Belegung, IP-Plan, Passwörter im Passwort-Manager, Konfigurations-Backup. Das ist der Schritt, den 80 % der Netzwerke nicht haben — und der in der nächsten Störung die 4-Stunden-Schraubarbeit ausmacht.
Das Netzwerk ist die eine Komponente, bei der Pfusch später am teuersten wird. Firewall tauschen? 2 Stunden. Access-Points tauschen? Ein Nachmittag. Aber Verkabelung nachziehen in einem Büro, das schon bezogen ist — das kostet ein Vielfaches und stört den Betrieb tagelang. Wer zum Einzug investiert, spart doppelt.
Geschäftsführer, hagel IT-Services
Verkabelt oder WLAN? — Entscheidungshilfe für 2026
Die kurze Antwort: beides. Die lange Antwort hängt vom Einsatzzweck ab. So entscheiden wir mit unseren Kunden:
CAT6a-Verkabelung ist Pflicht für:
- Feste Arbeitsplätze (Rechner, Dockingstations, Monitore)
- Drucker, Kopierer, Scanner (die ziehen ordentlich Daten beim Scan-to-Folder)
- IP-Telefone (VoIP braucht garantierte Latenz)
- Server, NAS, Backup-Systeme
- Sicherheitskameras (4K-Streams zerreißen jedes WLAN)
- Zeiterfassung, Zutrittskontrolle
- Jede Steckdose, an der irgendwann mal ein Gerät hängen könnte — Dosen sind günstig, Nachverkabeln teuer
Wi-Fi 6E oder Wi-Fi 7 ist Pflicht für:
- Notebooks (niemand dockt mehr jeden Morgen)
- Tablets, Smartphones, Scanner-Geräte
- IoT-Devices (Smart-Boards, Umweltsensoren, Heizungssteuerung)
- Gast-Zugang (getrenntes SSID im Gast-VLAN)
- Besprechungsräume (kurzzeitige Anbindung externer Geräte)
Wi-Fi 6E oder Wi-Fi 7 — was ist der Unterschied? Wi-Fi 6E öffnet das 6-GHz-Band (zusätzlich zu 2,4 und 5 GHz) und ist seit 2022 in Deutschland freigegeben. Wi-Fi 7 kommt 2024/2025 in den Massenmarkt, bringt Multi-Link-Operation (gleichzeitige Nutzung mehrerer Bänder) und theoretische Geschwindigkeiten bis 40 Gbit/s. Für die meisten KMU ist Wi-Fi 6E heute der Sweet Spot — weniger Störung, mehr Geräte gleichzeitig, 30–40 % günstiger als Wi-Fi-7-Hardware. Wer 2026 neu baut, kann direkt auf Wi-Fi 7 gehen, wenn die Endgeräte passen. Details zu den Standards liefert die Wi-Fi Alliance im Original.
Bei Neu-Installationen lohnt sich ein Blick auf Managed WiFi und Managed Firewall als Flatrate. Vorteil: Sie zahlen monatlich statt einmalig, bekommen Updates, Monitoring und Hardware-Tausch inkludiert — und das Kapital bleibt im Unternehmen.
Netzwerk-Neubau oder Modernisierung geplant?
15 Minuten. Kostenlos. Wir schauen Ihren Grundriss an und sagen Ihnen, was realistisch in welchem Budget geht — ohne Hardware-Verkauf.
Erstgespräch buchen →Netzwerk-Segmentierung: VLAN, Gast-WLAN, DMZ
Segmentierung ist der Sicherheitshebel mit dem besten Kosten-Nutzen-Verhältnis. Sie kostet in einer Neu-Installation praktisch nichts — wenn der Switch VLANs unterstützt — und verhindert, dass ein einziger befallener Drucker das ganze Unternehmen lahmlegt.
So sieht eine gute KMU-Segmentierung aus
| VLAN | Zweck | Zugriff erlaubt auf |
|---|---|---|
| 10 Clients | Mitarbeiter-PCs, Notebooks | Internet, Server-VLAN |
| 20 Server | File-Server, Backup, ERP | kein ausgehender Internet-Traffic ohne Freigabe |
| 30 Drucker/IoT | Drucker, Kameras, Heizung | nur Internet, kein Zugriff auf andere VLANs |
| 40 Gast-WLAN | Besucher, externe Dienstleister | nur Internet, keine internen Ressourcen |
| 99 Management | Switch-, AP-, Firewall-Configs | nur von Admin-Jump-Host erreichbar |
Die Regel ist simpel: Gäste und IoT-Geräte dürfen ins Internet, aber nicht ins interne Netz. Server sehen Clients, aber nicht das Management-VLAN. Das Management-VLAN ist nur über einen separaten Admin-Zugang erreichbar. Diese drei Regeln — dokumentiert in der Firewall — stoppen mehr Angriffe als jeder Virenscanner.
Warum Gast-WLAN nicht gleich Gast-WLAN ist
Ein häufiger Fehler: Das Gast-WLAN ist dieselbe SSID wie das Firmen-WLAN, nur mit anderem Passwort. Das ist nicht segmentiert — das ist nur „zwei Schlüssel für dieselbe Tür”. Richtig: eigene SSID, eigenes VLAN, Client-Isolation (Clients sehen sich untereinander nicht), Bandbreiten-Limit pro Client, Captive-Portal mit AGB-Bestätigung für die rechtliche Absicherung der Störerhaftung.
Sicherheit: Firewall, MFA, Segmentierung, Monitoring
Netzwerksicherheit 2026 ist nicht „Firewall an, fertig”. Das BSI definiert im IT-Grundschutz den Mindeststandard, und der hat vier Bausteine:
1. Perimeter-Schutz mit Business-Firewall: WatchGuard, Fortinet, Sophos — alles drei saubere Lösungen. Pflicht sind: Intrusion Prevention, Application Control, aktuelle Signatur-Updates, dokumentierte Regeln und Log-Auswertung. Was die Telekom-Fritzbox liefert, ist bestenfalls Paketfilter der ersten Generation — das reicht nicht mehr. Wer tiefer einsteigen will, findet bei uns einen ausführlichen Überblick zu managed Firewalls mit WatchGuard.
2. MFA überall, wo Admin-Zugänge sind: Firewall-Admin, Switch-Admin, Access-Point-Controller, VPN-Zugang — alle hinter Multi-Faktor. Kompromittierte Admin-Passwörter sind der Einstiegspunkt Nr. 1 bei Ransomware-Angriffen.
3. Segmentierung wie oben beschrieben. Ohne VLAN kein Grundschutz.
4. Monitoring und Alarmierung: Ein Switch, der niemandem meldet, wenn ein unbekanntes Gerät angesteckt wurde, ist blind. Tools wie UniFi Network, Aruba Central, PRTG oder Zabbix melden ungewöhnliche Muster — plötzlich hohe Datenraten nachts, neue MAC-Adresse im Server-VLAN, Firewall-Regeln, die ins Leere greifen.
Für Unternehmen, die unter NIS-2 fallen, sind diese vier Bausteine nicht „Empfehlung”, sondern Nachweispflicht. Die Cyber-Versicherung fragt sie ebenfalls explizit ab — fehlt ein Haken, greift der Selbstbehalt oder die Police wird gekürzt.
„Wir hatten früher eine FritzBox, einen Switch vom Saturn und irgendwelche Repeater. Ging — bis es nicht mehr ging. hagel IT hat uns komplett neu aufgebaut: CAT6a neu verlegt, WatchGuard-Firewall, Ubiquiti-WLAN mit fünf Access-Points, alles segmentiert. Seitdem: Videokonferenzen laufen stabil, Homeoffice funktioniert, und ich muss nicht mehr jeden Montag einen Neustart machen."
Was kostet ein Firmennetzwerk? (10/25/50/100 User)
Die ehrliche Antwort: Der Verkabelungsanteil entscheidet. Hardware ist transparent, Kabelziehen ist individuell.
| User | Hardware (einmalig) | Verkabelung (einmalig) | Summe einmalig | Managed-Betrieb/Monat |
|---|---|---|---|---|
| 10 | 3.500–6.000 € | 1.500–3.500 € | 5.000–9.500 € | 400–600 € |
| 25 | 7.000–12.000 € | 4.000–10.000 € | 12.000–22.000 € | 900–1.400 € |
| 50 | 14.000–22.000 € | 8.000–18.000 € | 22.000–40.000 € | 1.800–2.800 € |
| 100 | 28.000–45.000 € | 15.000–35.000 € | 45.000–80.000 € | 3.500–5.500 € |
Was der Preis einschließt (Hardware): Firewall, Switch(es), Access-Points, Patchpanel, Rack, USV, Monitoring-Controller. Was nicht drin ist: Kabel-Installation, Deckenöffnungen, Verkehrssicherungen in Altbauten mit Denkmalschutz, zusätzliche Brandschotts.
Managed-Betrieb heißt: Patch-Management, Monitoring, Firewall-Regelpflege, Access-Point-Updates, erste Anlaufstelle bei Störung, Backup-Konfigurationen. Entweder als separater Posten (ab ca. 15 €/Arbeitsplatz/Monat für reines Netzwerk-Management) oder Teil von Managed IT (dann Flatrate ab 50 €/Arbeitsplatz/Monat inkl. Endgeräte-Support).
Der Fehler Nr. 1 bei der Budgetplanung: die Verkabelung zu niedrig ansetzen. Wir haben Projekte gesehen, bei denen die Kabelziehkosten höher waren als die Hardware-Summe — vor allem in Bestandsbüros mit Betondecken und vorhandenen, aber nicht mehr nutzbaren Leerrohren.
Häufige Fehler bei Netzwerkinstallationen
Nach rund 150 Installationen kennen wir die Klassiker auswendig. Wenn Ihnen drei der folgenden Punkte bekannt vorkommen, ist ein Netzwerk-Check überfällig:
- Consumer-Hardware für KMU-Last. FritzBox + Powerline + TP-Link Mesh — funktioniert für 5 Leute im Homeoffice, bricht bei 20 Mitarbeitern und einer Videokonferenz zusammen.
- Alle Geräte im selben Netz. Keine VLANs, kein getrenntes Gast-WLAN, Drucker und Server im selben Broadcast-Segment. Ein einziger Malware-Fund, und alles ist betroffen.
- Keine Dokumentation. Welcher Port am Switch geht auf welche Dose? Niemand weiß es. Bei der nächsten Störung: 4 Stunden Kabel-Tracing.
- WLAN ohne Site-Survey. Access-Points „gefühlt” platziert, am Empfang drei überlappende, im Besprechungsraum gar keiner.
- Firewall mit Default-Passwort und offenem Management-Port. Klingt nach Witz, sehen wir regelmäßig.
- Keine USV. Stromausfall 10 Sekunden — Switch bootet neu, IP-Telefone sind 5 Minuten offline, Besprechung platzt.
- Homeoffice-VPN ohne MFA. Ein geleaktes Passwort reicht, um im internen Netz zu sitzen.
Checkliste: Ist Ihr Firmennetzwerk auf Stand?
- Separater Router, Firewall, Switch, Access-Points — nicht „alles in einer Box"
- Mindestens CAT6a-Verkabelung, strukturiert ins 19″-Rack, Patchpanel beschriftet
- Gast-WLAN in eigenem VLAN mit Client-Isolation und Bandbreiten-Limit
- VLANs für Clients, Server, Drucker/IoT, Gäste, Management
- Business-Firewall mit aktiven UTM-Funktionen (IPS, Application Control, Web-Filter)
- MFA auf allen Admin-Zugängen (Firewall, Switch, AP-Controller, VPN)
- Monitoring läuft und meldet Anomalien aktiv — nicht nur „Log sammeln"
- Regelmäßige Firmware-Updates für alle aktiven Komponenten (Patch-Plan)
- Wi-Fi 6E oder Wi-Fi 7 mit Site-Survey-Heatmap als Planungsgrundlage
- USV an Rack und wichtigen Einzelkomponenten (mindestens 15 Min Überbrückung)
- Netzwerkdiagramm, IP-Plan, Port-Belegung dokumentiert und aktuell
- Konfigurations-Backups aller Komponenten automatisch erzeugt
Wer weniger als 8 Häkchen setzen kann, sollte nicht zum Projekt „Komplett-Tausch” springen — oft reichen gezielte Ergänzungen (Firewall, VLANs, Site-Survey). Das besprechen wir im kostenlosen Erstgespräch.
Was Sie heute tun können
Drei konkrete Schritte, ohne Investition:
- Inventur machen. Wie viele aktive Komponenten stehen im Rack? Hersteller, Modell, Firmware-Stand? Allein die Liste deckt oft 2–3 vergessene Geräte auf.
- Gast-WLAN prüfen. Einmal selbst mit dem Handy einwählen, versuchen, auf interne Ressourcen (Drucker, File-Share) zuzugreifen. Wenn das geht — Alarm.
- Zuletzt gepatcht wann? Firewall-Admin öffnen, Firmware-Version prüfen, mit Hersteller-Release-Notes abgleichen. Wer >6 Monate hinterherhängt, hat bekannte Lücken offen.
Wenn Sie bei einem dieser drei Punkte ins Schwitzen kommen, ist der nächste Schritt ein Netzwerk-Audit oder ein Gespräch mit uns. Wir schicken keinen Vertriebler, sondern Jens oder Philip persönlich — 15 Minuten, Ihre aktuelle Situation, eine ehrliche Einschätzung.
Fazit
Netzwerkinstallation ist kein Hardware-Einkauf, sondern ein Infrastruktur-Projekt. Die Reihenfolge macht den Unterschied: erst Bedarfsanalyse, dann Verkabelung, dann Hardware, dann Konfiguration, dann Dokumentation. Wer diese fünf Schritte einhält, hat ein Netz, das zehn Jahre trägt und beim nächsten Umzug mitgeht.
Das Grundprinzip 2026 ist Trennung: Router, Firewall, Switch und Access-Points als getrennte Komponenten — VLANs trennen logisch, was physisch zusammen ist — Managed-Services trennen Planung (Sie) von Betrieb (wir). Und die Dokumentation trennt die gute Installation von dem Spaghettiberg, den jeder Techniker kennt und keiner anfassen will.
Die drei wichtigsten Entscheidungen:
- CAT6a verlegen, nicht CAT5e/CAT6 — minimaler Aufpreis, trägt 10 GbE für die nächsten 10 Jahre.
- Managed Switch mit VLAN, keinen unmanaged — der Preisunterschied ist marginal, der Nutzen für Segmentierung riesig.
- Wi-Fi 6E oder Wi-Fi 7 mit Site-Survey — ohne Heatmap kein stabiles WLAN, egal wie teuer die Access-Points sind.
Firmennetzwerk planen, umziehen oder modernisieren?
Wir machen das seit 2003 für KMU in Hamburg, Bremen, Kiel und Lübeck. 15 Minuten Erstgespräch — kostenlos, unverbindlich, ohne Hardware-Verkauf am Telefon. Sie bekommen eine ehrliche Einschätzung, was in welchem Budget realistisch ist.
Erstgespräch buchen → oder Mehr zu unseren Netzwerk-Services →Weiterführende Quellen:
- BSI — IT-Grundschutz für Unternehmen — offizieller Mindeststandard für IT-Sicherheit in Deutschland
- Wi-Fi Alliance — Wi-Fi 7 Certification — technische Spezifikationen zum aktuellen WLAN-Standard
- heise Security — Artikelarchiv zum Thema Netzwerk — deutschsprachige Fach-News zu Netzwerksicherheit und Schwachstellen
- Bitkom Cybercrime-Studie 2025 — Zahlen zu Angriffen und Schäden im deutschen Mittelstand
