Das WLAN im Büro ist für die meisten Kleinunternehmen einfach "da" — einmal eingerichtet, selten angefasst. Das ist ein Problem. Denn ein schlecht abgesichertes Firmennetz gehört zu den häufigsten Einfallstoren für Cyberangriffe auf KMU. Angreifer müssen sich dafür nicht einmal ins Gebäude begeben: Ein schwaches WLAN-Passwort oder eine veraltete Router-Firmware reichen.
Das Wichtigste zuerst: Gäste-Netz und Firmennetz trennen
Wer Kunden oder Lieferanten WLAN anbietet, muss sicherstellen, dass diese keinen Zugriff auf interne Systeme bekommen. Das geht über ein separates Gäste-WLAN — in der Regel eine Standardfunktion moderner Access Points und Router. Gäste-Netz und Firmennetz müssen vollständig voneinander isoliert sein. Ist das nicht der Fall, kann jeder Besucher mit einem Smartphone und etwas Know-how im schlimmsten Fall auf Dateifreigaben, Drucker und interne Server zugreifen.
Für Betriebe mit mehreren Gerätekategorien empfiehlt sich eine weitere Trennung: Büro-PCs in einem Segment, mobile Geräte in einem zweiten, IoT-Geräte (Drucker, Kameras, smarte Kaffeemaschinen) in einem dritten. Das klingt nach viel Aufwand, ist aber mit einer professionellen Firewall und passenden Access Points in wenigen Stunden eingerichtet.
WPA3, starke Passwörter und regelmäßige Updates
Der aktuelle Sicherheitsstandard für WLAN heißt WPA3. Wer noch WPA2-only-Hardware betreibt, sollte einen Austausch einplanen — WPA2 gilt für bestimmte Angriffsszenarien als kompromittiert. Das WLAN-Passwort sollte lang, zufällig und nirgendwo auf dem Router-Gehäuse notiert sein. Und: Router- und Access-Point-Firmware regelmäßig aktualisieren. Hersteller schließen damit bekannte Sicherheitslücken, die sonst monatelang offen bleiben.
Ein häufig vergessener Punkt: der Standardname des Netzwerks (SSID). Ein Netzwerk namens "FRITZ!Box 7590" verrät Angreifern sofort, welches Gerät verwendet wird — und welche bekannten Schwachstellen es haben könnte. Ein neutraler Netzwerkname ohne Firmen- oder Gerätebezug ist besser.
VPN für Homeoffice und Außendienst
Sobald Mitarbeitende von außen auf interne Ressourcen zugreifen — ob aus dem Homeoffice oder unterwegs — braucht es eine verschlüsselte VPN-Verbindung. Öffentliche WLANs in Hotels, Bahnhöfen oder Cafés sind ein erhebliches Sicherheitsrisiko; ohne VPN lässt sich der Datenverkehr dort mit einfachen Mitteln mitlesen. Ein professionelles VPN-Gateway am Firmenstandort, kombiniert mit einer Geräterichtlinie für Mitarbeiter-Laptops, schließt dieses Einfallstor zuverlässig.
Für Kleinbetriebe mit bis zu 10 Mitarbeitenden sind Komplettlösungen wie Sophos XGS oder Fortinet FortiGate überschaubar in der Anschaffung und decken Firewall, WLAN-Management und VPN aus einer Hand ab. Das spart Wartungsaufwand und sorgt für eine konsistente Sicherheitsarchitektur.