Daten-Striptease verhindern: Maximale Sicherheit durch strikte Gäste-Trennung

In einer Welt, in der jede smarte Glühbirne und jeder Billig-Saugroboter nach Hause telefonieren möchte, ist ein offenes Netzwerk ein Sicherheitsrisiko, das wir uns nicht leisten können.

Wer sein privates Smartphone im selben Subnetz betreibt wie einen 20-Euro-WLAN-Stecker aus Fernost, spielt mit dem digitalen Feuer. Wir bei VZC System finden deshalb das die logische Trennung kein „Nice-to-have“ ist, sondern das Fundament unserer Integrität.

Hier ist unsere Strategie, wie wir die Schotten dichtmachen:

Das Haupt-WLAN ist beim VZC System exklusiv für vertrauenswürdige Admin-Geräte und unsere Infrastruktur reserviert. Dazu gehören:

• Stationäre Hardware: Unsere Serverkomponenten
• Mobile Admin-Geräte: Die mobilen Smartphones - auch z.B. für SSH Zugriff und Monitoring
• Die Regel: Alles, was keinen Zugriff auf die Management-Oberflächen der NAS-Server benötigt, fliegt raus.

Router: Das Gateway als Türsteher

Unsere Fritz!Box bietet hierfür das perfekte Werkzeug: den Gastzugang!

Der Vorteil dabei ? - Gäste & IoT Geräte erhalten eine eigene IP-Range, die physisch keinen Zugriff auf unser internes Netz haben. Wir nutzen die Option "WLAN-Geräte dürfen untereinander kommunizieren" - im Gastnetzwerk nur dann, wenn es zwingend erforderlich ist.

Ansonsten: totale Isolation!

Warum "Default-Einstellungen" gefährlich sind

Viele Nutzer lassen den Gastzugang unverschlüsselt oder nutzen sehr schwache Passwörter. Wir hingegen behandeln das Gastnetzwerk wie das eines öffentlichen Cafés: WPA3-Verschlüsselung ist Pflicht. Eine Vorschaltseite haben wir selbstverständlich ebenfalls integriert, die den Nutzer bzw. die Nutzerin darauf hinweist, dass das Netzwerk ausschließlich für legale Aktivitäten vorgesehen ist.

Um möglichen Problemen vorzubeugen, haben wir bekannte IoT-Tracker direkt über DNS-Filter auf eine Blocklist gesetzt. Sicher ist sicher.

Wenn ein Gast bei uns nach dem WLAN fragt, scannt er einfach einen QR-Code & das klappt in 97% der Fälle gut. In den anderen Fällen müssen wir ihm oder ihr das Passwort halt aufsagen, weil das Smartphone ein Problem mit dem erstellten QR-Code hat. Warum auch immer.

Sobald der oder diejenige aber mit unserem Netzwerk verbunden ist, sieht man auf dem verbundenen Gerät weder unseren Emby Server, noch unsere geteilten Ordner auf den Servern.

Fazit: Integrität durch Segmentierung

Es geht nicht darum, unhöflich zu Gästen zu sein. Es geht darum, dass ein kompromittiertes Smart-Home-Gerät nicht als Brückenkopf dient, um unsere Backups auf den WD Red Platten zu verschlüsseln und im schlimmsten Fall unbrauchbar zu machen. Unser Router macht diesen Job solide, solange man die Funktionen auch konsequent nutzt.

Sicherheit entsteht durch Grenzen. Wer sein Netzwerk nicht segmentiert, verlässt sich auf das Prinzip Hoffnung. Im VZC System setzen wir lieber auf harte Firewall-Regeln und klare Zonen. 🔒