Inhalt in Kürze
- TCP/IP ist die Sammlung von Protokollen, die jedes moderne Netzwerk trägt — von der E-Mail bis zur Cloud-Anwendung.
- Vier Schichten strukturieren das Ganze: Netzzugang, Internet, Transport, Anwendung. Jede Schicht macht genau eine Aufgabe.
- TCP liefert zuverlässig, UDP schnell — der Unterschied entscheidet über Telefonie, Video und Dateitransfer.
- IPv4 und IPv6 laufen heute parallel. Wer Firewall, VPN oder NAT einrichtet, arbeitet direkt auf dem TCP/IP-Stack.
- Für IT-Entscheider in Hamburg und Norddeutschland: Wer die Grundbegriffe kennt, trifft bessere Entscheidungen bei Managed IT Services, Firewall-Investitionen und Cloud-Migration.
Jede E-Mail, jede DATEV-Sitzung, jeder Teams-Anruf läuft über TCP/IP. Die Protokollfamilie ist über 40 Jahre alt, unscheinbar und meistens unsichtbar — bis etwas klemmt. Dann wird aus „das Internet ist langsam” plötzlich eine Frage nach Ports, Handshakes und MTU-Größen. Dieser Leitfaden erklärt, was TCP/IP wirklich ist, wie die vier Schichten zusammenspielen und was das für Ihre IT-Entscheidungen in Hamburg und Norddeutschland bedeutet.
Was ist TCP/IP?
TCP/IP ist eine Familie von Netzwerkprotokollen, die festlegt, wie Daten zwischen Computern adressiert, zerlegt, übertragen und wieder zusammengesetzt werden. Der Name kommt von den beiden wichtigsten Mitgliedern: dem Transmission Control Protocol (TCP) für den zuverlässigen Datentransport und dem Internet Protocol (IP) für die Adressierung und das Routing. Dazu kommen Dutzende weitere Protokolle — UDP, ICMP, ARP, DNS, HTTP, HTTPS, SMTP und viele mehr.
Die Geschichte beginnt 1974 bei Vinton Cerf und Bob Kahn im Auftrag der US-amerikanischen Defense Advanced Research Projects Agency (DARPA). 1983 löste TCP/IP das Vorgängerprotokoll NCP im ARPANET ab — das gilt bis heute als Geburtsstunde des Internets. TCP selbst ist formell in RFC 793 der IETF aus dem Jahr 1981 spezifiziert und seitdem nur behutsam weiterentwickelt.
Heute ist TCP/IP der Quasi-Standard: Windows, Linux, macOS, iOS, Android, jeder Router, jede Firewall, jeder Switch spricht es. Alternativen wie IPX/SPX (Novell) oder NetBEUI (Microsoft) sind längst Geschichte.
Die 4 Schichten des TCP/IP-Modells
TCP/IP organisiert Netzwerkkommunikation in vier klar getrennte Schichten. Jede Schicht hat eine Aufgabe, nutzt die Schicht darunter und bietet Dienste für die Schicht darüber. Das ist kein akademisches Spielchen — wer Fehler sucht, prüft die Schichten von unten nach oben.
| Schicht | Aufgabe | Wichtige Protokolle | Praxisbeispiel |
|---|---|---|---|
| 4. Anwendung | Dienste für Nutzer und Programme | HTTP, HTTPS, DNS, SMTP, IMAP, POP3, SSH, FTP, RDP | Outlook ruft Exchange ab, Chrome öffnet eine Website |
| 3. Transport | Ende-zu-Ende-Verbindung zwischen zwei Hosts | TCP, UDP | Datei zuverlässig laden (TCP) oder Teams-Anruf (UDP) |
| 2. Internet | Pakete zwischen Netzen adressieren und routen | IPv4, IPv6, ICMP, IPsec | Paket findet den Weg vom Büro über Provider ins RZ |
| 1. Netzzugang | Bits über physisches Medium übertragen | Ethernet, WLAN, ARP, PPP | Kupferkabel im Patchfeld, WLAN zwischen AP und Laptop |
Das OSI-Modell mit sieben Schichten ist die akademische Referenz — TCP/IP mit vier Schichten ist das, was tatsächlich läuft. In der Praxis werden beide Modelle nebeneinander genutzt: Ein Techniker sagt „das ist ein Layer-2-Problem” (OSI, Datenverbindung) und meint damit denselben Bereich wie „Netzzugangsschicht” in TCP/IP.
Wie ein Paket von oben nach unten wandert
Wenn Sie in Outlook auf „Senden” klicken, passiert folgendes:
- Anwendungsschicht: Outlook spricht mit dem Mailserver per SMTP (ausgehend) oder IMAP (eingehend). Die E-Mail wird als Text kodiert.
- Transportschicht: TCP teilt die Mail in Segmente, nummeriert sie und hängt Absender-/Zielport an (z. B. 587 für SMTP-Submission).
- Internetschicht: IP verpackt jedes Segment in ein Paket mit Absender-IP (Ihr Laptop) und Ziel-IP (Mailserver).
- Netzzugangsschicht: Ethernet oder WLAN überträgt die Pakete als Frames an den Router — als elektrische Impulse oder Funkwellen.
- Auf der Gegenseite wird das Paket in umgekehrter Reihenfolge ausgepackt, bis der Mailserver die fertige E-Mail hat.
Wichtige Protokolle der TCP/IP-Familie
Die Protokollfamilie umfasst Dutzende Bausteine. Diese hier sehen Sie in jeder Firewall-Regel, in jedem Netzwerkdiagramm und in jedem Cyber-Versicherungsantrag:
| Protokoll | Schicht | Kurz-Beschreibung |
|---|---|---|
| TCP | Transport | Zuverlässig, verbindungsorientiert, garantierte Reihenfolge. Basis für Web, E-Mail, Dateitransfer. |
| UDP | Transport | Verbindungslos, schnell, ohne Zustellgarantie. Basis für VoIP, Video, DNS, Gaming. |
| IP (v4/v6) | Internet | Adressiert und routet Pakete zwischen Netzen. |
| ICMP | Internet | Fehler-/Status-Meldungen. ping und traceroute nutzen ICMP. |
| ARP | Netzzugang | Ermittelt die MAC-Adresse zur bekannten IP im lokalen Netz. |
| DNS | Anwendung | Übersetzt Domains in IP-Adressen. Port 53 (UDP/TCP). |
| HTTP / HTTPS | Anwendung | Web-Kommunikation. Ports 80 / 443. |
| SMTP / IMAP / POP3 | Anwendung | E-Mail-Versand und -Abruf. Ports 25/587 / 143/993 / 110/995. |
| SSH / RDP | Anwendung | Remote-Zugriff auf Server und Desktops. Ports 22 / 3389. |
| DHCP | Anwendung | Vergibt IP-Adressen automatisch im LAN. Ports 67/68. |
Die vollständige Port-Liste pflegt die IANA. Für den Hausgebrauch reicht es, die 10 häufigsten Ports zu kennen — die anderen schlägt man nach.
TCP vs. UDP — der praktische Unterschied
Die Entscheidung zwischen TCP und UDP trifft nicht der Anwender, sondern die Anwendung. Aber der Unterschied erklärt, warum manche Dinge gut laufen und andere zickig sind.
| Eigenschaft | TCP | UDP |
|---|---|---|
| Verbindung | Ja (3-Wege-Handshake) | Nein |
| Zustellgarantie | Ja (mit Wiederholung) | Nein (was weg ist, ist weg) |
| Reihenfolge | Garantiert | Nicht garantiert |
| Geschwindigkeit | Langsamer (mehr Overhead) | Schneller |
| Flusskontrolle | Ja | Nein |
| Typische Nutzer | Web, E-Mail, SSH, FTP, DATEV | VoIP, Video, DNS, NTP, VPN-Tunnel |
TCP ist wie ein Einschreiben mit Rückschein. Jede Information kommt an, in richtiger Reihenfolge — und wenn nicht, wird sie erneut geschickt. Das kostet Zeit, ist aber für Dateien, Datenbanken und Buchhaltungs-Software Pflicht.
UDP ist wie ein Funkspruch. Wird ein Wort verschluckt, reden Sie einfach weiter. Bei Telefonie oder Videokonferenzen ist ein verlorenes Paket nach 50 Millisekunden wertlos — man will lieber einen kurzen Aussetzer als eine Sekunde Verzögerung. Microsoft Teams, Cisco Webex, 3CX, Zoom — alle nutzen UDP für den Sprach- und Bildtransport.
Wenn ein Kunde anruft und sagt „Teams laggt, aber die E-Mails sind schnell", weiß ich sofort: Das ist UDP-Problem. Also QoS auf der Firewall, WLAN-Kanäle prüfen, Provider checken. TCP/IP verstehen heißt, Fehler in 10 Minuten lokalisieren statt in zwei Stunden.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
IPv4 vs. IPv6 im TCP/IP-Stack
IP ist die Internet-Schicht von TCP/IP. Zwei Versionen laufen parallel — und werden das noch Jahre tun.
IPv4 — der Klassiker mit Adressnot
IPv4 nutzt 32-Bit-Adressen, das sind rund 4,3 Milliarden mögliche IP-Adressen weltweit. Klingt viel, ist aber seit den 2010er-Jahren zu wenig. Die letzten freien IPv4-Blöcke in Europa hat das RIPE NCC 2019 vergeben. Seitdem leben wir mit Workarounds:
- Private Adressräume (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) im LAN, die nicht im Internet geroutet werden.
- NAT (Network Address Translation): Der Router übersetzt viele interne Adressen auf eine öffentliche — Standard in jedem KMU-Anschluss.
- CG-NAT (Carrier-Grade NAT) bei vielen Mobilfunk- und Kabelanschlüssen — schafft neue Probleme, wenn Sie Dienste von zu Hause freigeben wollen.
IPv6 — die Zukunft mit Startschwierigkeiten
IPv6 nutzt 128-Bit-Adressen, also rund 340 Sextillionen mögliche Adressen (2^128). Jeder Sandkorn-Bruchteil der Erde bekäme eine eigene IP. Vorteile: kein NAT nötig, eingebaute IPsec-Unterstützung, bessere Autokonfiguration.
In der Praxis läuft IPv6 in deutschen Unternehmensnetzen seit über einem Jahrzehnt zögerlich an. Die c’t diskutiert Stand und Notwendigkeit regelmäßig. Zustand 2026 aus unserer Sicht:
- Internet-Anschluss: Fast alle deutschen Provider bieten Dual-Stack. Manche Kabel- und Mobilfunkanschlüsse sind IPv6-first mit CG-NAT für IPv4.
- Internes Netzwerk: In den meisten KMU noch reines IPv4. Das reicht — ist aber eine Hausaufgabe, die wächst.
- Cloud: Azure, AWS, Microsoft 365 sprechen beides. Teams-Telefonie über IPv6 funktioniert in der Regel einwandfrei.
Wenn Sie mit IPv6 anfangen, brauchen Sie neue Firewall-Regeln. NAT fällt weg — jedes interne Gerät ist potenziell direkt erreichbar. Das ist kein Problem, wenn die Firewall sauber konfiguriert ist. Ohne Konzept wird es eins.
TCP-Handshake und Ports — die Grundlagen jeder Verbindung
Bevor TCP Daten überträgt, baut es eine Verbindung auf. Der berühmte Drei-Wege-Handshake ist simpel und gleichzeitig die Grundlage für alles, was danach kommt.
- SYN: Client schickt ein Paket mit dem SYN-Flag und einer zufälligen Sequenznummer X an den Server.
- SYN-ACK: Server antwortet mit eigenem SYN-Flag, eigener Sequenznummer Y und bestätigt mit ACK = X+1.
- ACK: Client bestätigt mit ACK = Y+1. Jetzt ist die Verbindung offen.
Danach fließen Nutzdaten, jeweils mit Sequenz- und Bestätigungsnummern. Am Ende gibt es ein FIN/ACK-Pärchen zum sauberen Schließen.
Was ein Port ist — und warum es 65.536 davon gibt
Ein Port ist eine 16-Bit-Zahl (0–65.535), die einen Dienst auf einem Host identifiziert. Eine IP-Adresse sagt „welcher Rechner”, ein Port sagt „welcher Dienst auf dem Rechner”. Die IANA unterteilt:
- Well-known Ports (0–1023): Standarddienste wie 22 SSH, 80 HTTP, 443 HTTPS, 53 DNS, 25 SMTP.
- Registered Ports (1024–49151): Herstellerdienste wie 3389 RDP, 5060 SIP, 1433 MSSQL, 3306 MySQL.
- Dynamic / Private Ports (49152–65535): temporäre Ports, die das Betriebssystem für ausgehende Verbindungen zieht.
Microsoft Learn dokumentiert, wie Windows TCP-Ports und Sockets konfiguriert und welche Tuning-Parameter sinnvoll sind.
Wir hatten eine Woche lang zäh laufende Remote-Desktop-Sitzungen. Der alte Dienstleister hat immer wieder am WLAN geschraubt. Nach einer halben Stunde hat uns hagel IT gezeigt, dass unsere Firewall-Regeln einen RDP-Port in einem bestimmten Subnetz gedrosselt haben. Problem weg.
Business-Anwendung: Firewall, VPN und NAT
In der Praxis berührt TCP/IP jeden IT-Entscheider genau an diesen drei Stellen:
Firewall-Regeln lesen und schreiben
Eine Firewall für Unternehmen arbeitet auf TCP/IP-Ebene. Eine typische Regel sieht so aus: „Erlaube ausgehend TCP:443 für alle, blockiere eingehend TCP:3389 außer für VPN-Nutzer, erlaube UDP:53 nur zum internen DNS-Server.” Wer TCP/IP versteht, versteht Firewall-Regeln auf den ersten Blick — und erkennt, wenn eine Regel zu weit oder zu eng ist.
VPN — verschlüsselte TCP/IP-Tunnel
Ein VPN packt Ihren TCP/IP-Verkehr in einen verschlüsselten Tunnel. Die gängigen Protokolle:
- IPsec: UDP-Ports 500 und 4500. Standard bei Site-to-Site-Verbindungen zwischen Firmenstandorten.
- OpenVPN: UDP-Port 1194 (oder TCP-Port 443 für Firewall-freundliche Setups).
- WireGuard: UDP-Port 51820. Modern, schlank, schnell — unser bevorzugtes Protokoll für neue Setups.
Für Homeoffice-Szenarien lohnt sich der Blick in unseren Leitfaden Homeoffice sicher gestalten — VPN, MDM und Zero Trust im Alltag.
NAT — warum Ihr LAN im Internet unsichtbar ist
Network Address Translation (NAT) erlaubt es, dass hunderte interne Geräte über eine einzige öffentliche IP-Adresse kommunizieren. Der Router merkt sich pro ausgehender Verbindung einen „Übersetzungseintrag” und leitet Antworten korrekt weiter. NAT ist der Grund, warum Ihr Drucker im Büro nicht direkt aus dem Internet erreichbar ist — und warum Port-Forwarding nötig wird, wenn Sie einen internen Dienst nach außen öffnen wollen. In IPv6 fällt NAT weg; dort erledigt das die Firewall per Stateful Inspection.
Häufige Missverständnisse über TCP/IP
Nach über 20 Jahren IT-Service für KMU in Hamburg hören wir immer wieder dieselben Irrtümer. Die sieben häufigsten:
- „TCP/IP und das Internet sind dasselbe.” Nein. TCP/IP ist das Protokoll, das Internet ist das Netzwerk. TCP/IP läuft auch ohne Internet — z. B. in Ihrem LAN oder im Docker-Netzwerk auf Ihrem Laptop.
- „IPv6 brauche ich in meiner Firma nicht.” Doch, zumindest vorbereitet. Provider schalten Dual-Stack zu, neue Software nutzt IPv6 zuerst. Wer es ignoriert, bekommt später Zuordnungsprobleme in Firewall-Logs.
- „TCP ist besser als UDP.” Falsch. TCP und UDP sind unterschiedliche Werkzeuge. Ein Videoanruf über TCP ist ein Albtraum.
- „Ports muss man immer öffnen.” Nein, meistens muss man sie schließen. Ausgehend reicht fast immer — Inbound-Ports sind Angriffsfläche.
- „NAT ist eine Firewall.” NAT schützt nur als Nebeneffekt. Eine richtige Firewall filtert gezielt nach Regelwerken und inspiziert den Verkehr.
- „Mein WLAN ist das Problem.” Oft liegt es an TCP/IP-Parametern — MTU, DNS, DHCP-Lease — nicht an der Funkverbindung.
- „Hauptsache es läuft.” Bis es nicht mehr läuft. Dokumentierte TCP/IP-Grundeinstellungen sind der Unterschied zwischen 10 Minuten Ausfall und zwei Tagen Stillstand.
Checkliste: TCP/IP-Grundwissen für IT-Entscheider
- IP-Adresse. Sie wissen, dass es IPv4 (4 Zahlengruppen) und IPv6 (8 Hex-Gruppen) gibt und können eine private Adresse erkennen.
- Port. Sie verstehen, dass Port 443 für HTTPS steht und dass ein offener Port eine gezielte Entscheidung sein muss.
- TCP vs. UDP. Sie wissen, dass Telefonie UDP nutzt und DATEV eher TCP.
- Handshake. Sie haben schon mal gehört, dass TCP „SYN — SYN-ACK — ACK" macht, und wissen, warum das sicher ist.
- Firewall-Regeln. Sie können eine einfache Regel (Quell-IP → Ziel-IP:Port erlauben/blockieren) lesen.
- VPN. Sie kennen den Unterschied zwischen IPsec, OpenVPN und WireGuard — zumindest dem Namen nach.
- NAT. Sie wissen, warum Sie von außen nicht direkt auf Ihren Drucker zugreifen können.
- DNS. Sie haben schon mal den Satz „es ist immer DNS" gehört und wissen, warum er oft stimmt.
Wer diese acht Punkte beherrscht, kann mit jedem IT-Dienstleister auf Augenhöhe sprechen — und erkennt, wenn jemand Nebel wirft statt Antworten zu geben.
Was Sie heute tun können
- Dokumentation prüfen: Haben Sie ein Netzwerkdiagramm mit IP-Bereichen, VLANs und Firewall-Regeln? Wenn nein — das ist die häufigste Schwachstelle.
- Port-Scan intern: Lassen Sie einen Scan über Ihr Netz laufen. Jeder offene Port, der nicht erklärt werden kann, ist ein Risiko.
- IPv6-Status: Fragen Sie Ihren Provider, ob Ihr Anschluss Dual-Stack ist. Wenn ja, prüfen Sie die Firewall-Regeln für IPv6.
- Monitoring: Ein simples Monitoring, das TCP/UDP-Verkehr pro Dienst zeigt, erkennt Probleme, bevor die Anwender anrufen.
- Erstgespräch vereinbaren: Wer sich unsicher ist, ob die aktuellen TCP/IP-Grundlagen sauber sind, bekommt bei uns in 15 Minuten eine ehrliche Einschätzung — kostenfrei.
Fazit: TCP/IP verstehen ist Chefsache light
TCP/IP ist keine Magie. Vier Schichten, eine Handvoll Protokolle, ein paar klare Regeln — wer die Grundbegriffe kennt, versteht Firewall, VPN, NAT und Cloud-Netzwerke. Sie müssen keine Subnetzmaske im Kopf ausrechnen. Aber Sie sollten verstehen, was Ihr Dienstleister tut, wenn er Ihre Netzwerk-Infrastruktur aufsetzt, die Managed Firewall konfiguriert oder eine Cloud-Migration plant.
Wer mehr in die Tiefe will: unser Artikel zur IP-Adresse und ihrer Bedeutung und unser OSI-Modell-Leitfaden schließen den Kreis.
Netzwerk-Performance oder Sicherheit im Unternehmen unklar?
15 Minuten Erstgespräch. Kostenlos. Klare Einschätzung statt Fachchinesisch.
Termin mit Jens Hagel buchen →
