WLAN-Gastnetzwerk im Büro: einfach, aber die meisten KMUs machen es falsch

Ein Gastnetzwerk ist in zehn Minuten eingerichtet – doch wir sehen in Büros immer wieder dieselben Fehler. Was gehört ins Gast-WLAN, was nicht, und warum spielt das eine Rolle?

Fast jedes Büro hat ein Gast-WLAN. Und doch sehen wir bei fast jedem Besuch dasselbe: Das Passwort klebt auf einem gelben Zettel am Empfang, der Besucher hängt im selben Netzwerk wie der Buchhaltungs-PC, und niemand weiß mehr, wer den Router damals eingerichtet hat. Höchste Zeit, das kurz, praktisch und ohne Netzwerk-Fachjargon durchzugehen.

Warum Gäste nicht in Ihr normales Netzwerk gehören

Es klingt gastfreundlich, den Techniker, den Praktikanten oder den Vertreter eines Lieferanten einfach „ins WLAN" zu lassen. Doch sobald ein Gerät im Hauptnetzwerk ist, kann es – theoretisch und manchmal auch praktisch – auf Dinge zugreifen, die Sie nicht teilen möchten:

• Den Netzwerkdrucker (und damit Druckaufträge einsehen oder missbrauchen).
• Die NAS oder den Dateiserver, auf dem Ihre Dokumente liegen.
• Andere Computer im Büro, einschließlich möglicher Sicherheitslücken darauf.
• Den Router selbst – wenn dieser noch mit Standard-Passwörtern gesichert ist.

Und es funktioniert auch umgekehrt: Ein infizierter Laptop eines Besuchers kann im Hauptnetzwerk Schaden anrichten. Ein Gastnetzwerk ist kein Luxus – es ist schlicht digitale Hygiene.

Was ein gutes Gastnetzwerk mindestens leisten muss

Sie müssen kein Netzwerkadministrator sein, um die Grundlagen zu regeln. Das sind die vier Merkmale, auf die es ankommt:

1. Vom Hauptnetzwerk isoliert. Gäste sehen weder die Geräte der anderen noch haben sie Zugriff auf Drucker, NAS oder PCs. Im Router heißt das oft „Client Isolation" oder „AP Isolation".
2. Eigenes Passwort, getrennt vom Hauptnetzwerk. Dieses Passwort darf ruhig herumliegen – das des Hauptnetzwerks nicht.
3. Bandbreitenbegrenzung. Verhindern Sie, dass ein einziger Besucher mit einem großen Download Ihre Videokonferenz lahmlegt.
4. Regelmäßiger Passwortwechsel. Zum Beispiel quartalsweise. Ehemalige Besucher, ausgeschiedene Mitarbeitende und der Reinigungsdienst müssen keinen dauerhaften Zugang haben.

Die fünf Fehler, die wir am häufigsten sehen

1. „Gastnetzwerk", das eigentlich keins ist

Manche Router stellen einen zweiten Netzwerknamen (SSID) bereit, der schlicht im selben internen Netzwerk landet. Es sieht getrennt aus – ist es aber nicht. Testen Sie es: Verbinden Sie ein Smartphone mit dem Gastnetzwerk und versuchen Sie, auf den Drucker oder einen freigegebenen Ordner zuzugreifen. Klappt das? Dann ist es keine echte Trennung.

2. Hauptnetzwerk-Passwort auf dem Zettel am Empfang

Ein Klassiker. Jeder, der je das Büro betreten hat, kennt es – und in der Praxis wurde es seit Jahren nicht geändert. Ersetzen Sie den Zettel durch das Passwort des Gastnetzwerks und ändern Sie das des Hauptnetzwerks einmalig gründlich.

3. Standard-Zugangsdaten am Router

„admin / admin" oder das aufgeklebte Passwort auf der Unterseite des Geräts. Ein Angreifer im Gastnetzwerk, der zufällig die Router-Oberfläche erreicht, ist dort in Sekunden drin. Ändern Sie den Router-Login auf etwas Einzigartiges und speichern Sie es im Passwort-Manager – nicht auf einem Post-it.

4. Firmware von 2021

Router erhalten Sicherheitsupdates, aber viele KMU-Router aktualisieren sich nicht automatisch. Melden Sie sich einmal pro Quartal an und prüfen Sie, ob Updates bereitstehen. Oder aktivieren Sie automatische Updates, falls diese Option verfügbar ist.

5. IoT-Geräte im Hauptnetzwerk

Der smarte Kaffeevollautomat, der Präsenzsensor, der Smart-TV im Besprechungsraum: Das alles sind Geräte, über deren Software Sie keine Kontrolle haben. Die haben bei Ihren Arbeitsdateien nichts zu suchen. Verschieben Sie sie ins Gastnetzwerk oder – wenn Ihr Router das unterstützt – in ein separates IoT-Netzwerk.

In zehn Minuten erledigt

Bei den meisten Büro-Routern (Ubiquiti, TP-Link, Fritz!Box, Zyxel, ASUS, KPN-/Ziggo-Modems) läuft es ungefähr so ab:

1. Melden Sie sich über die auf dem Gerät angegebene Webadresse am Router an.
2. Suchen Sie in den WLAN-Einstellungen nach „Gastnetzwerk" oder „Guest network".
3. Aktivieren Sie es und geben Sie ihm einen erkennbaren Namen (z. B. „IhrUnternehmen-Gast").
4. Wählen Sie ein starkes, aber teilbares Passwort (drei Wörter plus eine Zahl funktioniert gut).
5. Aktivieren Sie: Kein Zugriff auf das lokale Netzwerk und Client Isolation.
6. Legen Sie bei Bedarf eine Bandbreitenbegrenzung fest.
7. Testen Sie, ob Sie vom Gast-WLAN aus keinen Zugriff auf Drucker oder freigegebene Ordner haben.

Und die Arbeits-Laptops selbst?

Ein Gastnetzwerk regelt den Datenverkehr im Büro, sagt aber nichts darüber aus, was auf den Laptops selbst passiert. Für KMUs bleiben die echten Grundschritte dieselben: Festplatten verschlüsselt, Updates aktiviert, ein Passwort-Manager und 2FA für alles, was wichtig ist. Genau darum geht es auch bei unserer 2FA-Implementierungshilfe und unseren Sicherheits-Checks.

Verbindung schnell testen

Haben Sie Ihr Netzwerk gerade umgebaut? Prüfen Sie kurz, ob das Gastnetzwerk nicht seltsam langsam geworden ist oder ob Ihr Hauptnetzwerk tatsächlich schneller läuft, seit die IoT-Geräte ausgelagert sind. Unser Speedtest erledigt das in wenigen Sekunden, und mit dem IP-Lookup sehen Sie sofort, ob Ihr Gast-WLAN sauber über eine andere ausgehende IP oder ein anderes Subnetz läuft als Ihr Hauptnetzwerk – ein praktischer Sanity-Check, dass die Trennung wirklich funktioniert.

Kommen Sie nicht selbst weiter oder möchten Sie, dass jemand kurz einen Blick drauf wirft? Rufen Sie uns einfach an oder schreiben Sie uns eine E-Mail. Meistens ist es eine halbe Stunde Arbeit – und danach müssen Sie sich nie wieder darum kümmern.