Netzwerk-Hygiene: Ein eigenes WLAN (VLAN) für IoT-Geräte
Warum deine smarte Glühbirne nicht im gleichen Netzwerk wie dein Laptop sein sollte – und wie du das änderst.
5 Min. LesezeitAktualisiert 3. Juni 2026
In 30 Sekunden
IoT-Geräte sind Sicherheitsrisiken. Sie bekommen selten Updates, haben schwache Passwörter und telefonieren nach Hause. Ein separates VLAN isoliert sie vom Rest deines Netzwerks. Wenn ein Gerät kompromittiert wird, bleibt der Schaden begrenzt.
Partnerlinks: Die mit 🛒 markierten Links sind Affiliate-Links. Bei einem Kauf erhalten wir eine kleine Provision – ohne Mehrkosten für dich.
Das Problem mit IoT-Geräten
Deine smarte Lampe, dein Staubsauger-Roboter, deine Wetterstation – sie alle hängen im gleichen Netzwerk wie dein Laptop, dein Handy, dein NAS. Das ist ein Problem. IoT-Geräte sind oft schlecht gesichert. Veraltete Firmware, Standard-Passwörter, keine Verschlüsselung.
Wenn ein Angreifer ein IoT-Gerät kompromittiert, kann er von dort aus dein gesamtes Netzwerk scannen. Deine Dateien auf dem NAS. Deine Passwörter im Browser. Deine Backups. Alles im gleichen Netzwerk, alles erreichbar.
Die Lösung: Netzwerk-Segmentierung
Was ist ein VLAN?
Ein VLAN (Virtual Local Area Network) ist ein virtuelles Netzwerk innerhalb deines physischen Netzwerks. Du hast einen Router, aber mehrere logisch getrennte Netzwerke. Geräte in VLAN 1 können nicht mit Geräten in VLAN 2 kommunizieren – außer du erlaubst es explizit.
Das bedeutet: Deine IoT-Geräte bekommen ihr eigenes VLAN. Sie können ins Internet, aber nicht auf dein NAS, deinen Laptop oder andere sensible Geräte zugreifen. Wenn ein IoT-Gerät gehackt wird, bleibt der Angreifer in diesem VLAN gefangen.
Warum nicht einfach ein zweites WLAN?
Viele Router bieten ein Gäste-WLAN. Das ist besser als nichts, aber nicht ideal. Gäste-WLANs sind oft nicht richtig isoliert. Geräte können sich gegenseitig sehen. Und du hast keine Kontrolle über Firewall-Regeln.
VLANs sind die professionelle Lösung. Du definierst genau, wer mit wem sprechen darf. IoT-Geräte dürfen ins Internet und mit Home Assistant kommunizieren, aber nicht mit deinem Laptop. Dein Laptop darf auf Home Assistant zugreifen, aber nicht direkt auf IoT-Geräte.
Pro-Tipp
Wenn dein Router keine VLANs unterstützt, ist ein Gäste-WLAN mit Client-Isolation besser als nichts. Aber für echte Sicherheit brauchst du VLANs.
~70%IoT-Geräte mit bekannten Sicherheitslücken
< 30%IoT-Hersteller liefern regelmäßige Updates
0 ZugriffIoT-Geräte auf dein Hauptnetzwerk mit VLAN
Drei VLANs: Hauptnetzwerk, IoT-Geräte, Gäste – jedes isoliert, kontrollierte Kommunikation. · Klicken zum Vergrößern
Wie du VLANs einrichtest
VLANs einzurichten ist nicht trivial. Du brauchst einen Router oder Switch, der VLANs unterstützt. Consumer-Router wie Fritzbox oder Speedport können das meist nicht. Du brauchst professionelle Hardware: UniFi, Mikrotik, pfSense, OPNsense.
Die Grundidee: Du erstellst mehrere VLANs. Jedes bekommt ein eigenes Subnetz. Du definierst Firewall-Regeln, die steuern, welches VLAN mit welchem kommunizieren darf. Dann verbindest du Geräte mit dem passenden VLAN.
VLAN 30: Server (Home Assistant, NAS, Backup-Server)
VLAN 40: Gäste (komplett isoliert)
Firewall-Regeln definieren
VLANs allein reichen nicht. Du musst Firewall-Regeln definieren, die steuern, wer mit wem sprechen darf. Standardmäßig sollte alles blockiert sein. Dann erlaubst du nur, was nötig ist.
IoT-VLAN darf ins Internet (für Updates und Cloud-Dienste)
IoT-VLAN darf mit Home Assistant kommunizieren (Server-VLAN)
Hauptnetzwerk darf auf Home Assistant zugreifen (Server-VLAN)
IoT-VLAN darf NICHT auf Hauptnetzwerk zugreifen
Gäste-VLAN darf nur ins Internet, sonst nichts
Wusstest du schon?
mDNS (Multicast DNS) funktioniert nicht über VLAN-Grenzen. Wenn du Geräte per Hostname ansprechen willst, brauchst du einen mDNS-Repeater oder musst IP-Adressen verwenden.
Welche Hardware brauchst du?
Für VLANs brauchst du einen VLAN-fähigen Router oder Switch. Die beliebtesten Optionen für Heimnetzwerke sind UniFi (Ubiquiti), Mikrotik und pfSense/OPNsense auf dedizierter Hardware.
Wenn VLANs zu komplex sind oder dein Router sie nicht unterstützt, ist ein Gäste-WLAN mit Client-Isolation besser als nichts. Die meisten modernen Router bieten das. Geräte im Gäste-WLAN können nicht mit Geräten im Hauptnetzwerk kommunizieren.
Das Problem: Du hast keine Kontrolle über Firewall-Regeln. Entweder komplett isoliert oder komplett offen. Und manche Router implementieren Client-Isolation schlecht. Aber für Einsteiger ist es ein guter erster Schritt.
VLANs in der Praxis
VLANs einzurichten dauert ein paar Stunden. Du musst Geräte neu verbinden, Firewall-Regeln testen, Probleme debuggen. Aber danach läuft es. Und du schläfst besser, weil du weißt, dass deine smarte Glühbirne nicht auf deine Steuererklärung zugreifen kann.
Fang klein an. Erstelle ein IoT-VLAN. Verschiebe ein paar Geräte dorthin. Teste, ob Home Assistant sie noch erreicht. Wenn das funktioniert, verschiebe mehr Geräte. Schritt für Schritt.
Pro-Tipp
Dokumentiere deine VLAN-Struktur und Firewall-Regeln. Wenn du in sechs Monaten etwas ändern willst, wirst du vergessen haben, warum du Regel X erstellt hast. Ein einfaches Markdown-Dokument reicht.
Netzwerk-Hygiene ist kein Luxus
IoT-Geräte sind Sicherheitsrisiken. Das ist keine Panikmache, das ist Realität. Hersteller liefern keine Updates. Passwörter sind schwach. Verschlüsselung fehlt. Ein separates VLAN ist die einfachste und effektivste Maßnahme, um den Schaden zu begrenzen.
Ja, es ist Aufwand. Ja, du brauchst bessere Hardware. Aber der Unterschied zwischen einem kompromittierten IoT-Gerät und einem kompromittierten Netzwerk ist riesig. VLANs sind die Firewall zwischen deinen smarten Geräten und deinen wichtigen Daten.
