Netzwerk-Infrastruktur · LAN/WLAN · Bremen
Hochverfügbare Netzwerk-Infrastruktur für den Mittelstand.Performant, ausfallsicher und sauber segmentiert.
Herstelleroffen. Pragmatisch. Ohne Hardware-Margen. Ich plane und implementiere Ihre Netzwerk-Infrastruktur so, dass sie trägt: hochverfügbar und ohne Bottlenecks in LAN, WLAN und WAN, sauber segmentiert damit Ausfälle und Angriffe sich nicht ausbreiten können, und mit kontrolliertem Netzzugang, damit nur autorisierte Geräte ins Netz gelangen.
Kostenfreies Erstgespräch (30 Minuten)
Ist Ihr Netzwerk die stabile Basis Ihres Betriebs – oder sein schwächstes Glied?
Vier kritische Fragen an Ihre Infrastruktur. Es muss gar nicht böswillig sein – ein verseuchter Dienstleister-Laptop oder ein unkontrolliert angestecktes Gerät reicht, um ernsten Schaden anzurichten.
Kann ein kompromittierter Büro-PC Ihre Produktionsmaschinen erreichen?
Ransomware sucht den Weg des geringsten Widerstands. In einem „flachen” Netzwerk genügt ein unbedachter Klick in der Buchhaltung, um Minuten später die Fertigung lahmzulegen. Ohne strikte Netztrennung ist Ihr gesamtes Unternehmen ein einziges Ausfallrisiko.
Wissen Sie genau, wer und was gerade in Ihrem Netzwerk aktiv ist?
Wenn man sich einfach mit einem Kabel in eine Netzwerkdose stecken kann und sofort „drin” ist, haben Sie keine Kontrolle. Unbekannte Geräte, Dienstleister-Laptops oder ungepatchte IoT-Geräte sind unberechenbare Einfallstore.
Können Sie Ihrer Versicherung nachweisen, dass das Netz segmentiert ist?
Cyberversicherungen und Regulatoren (z.B. NIS2) fordern nachweisbare Netzwerksegmentierung als Stand der Technik. Kann das im Schadensfall nicht nachgewiesen werden, verweigert die Versicherung die Leistung – und die Firma trägt den Schaden selbst.
Ist Ihre Netzwerk-Hardware noch im Herstellersupport – und für heutige Anforderungen dimensioniert?
End-of-Life-Switches bekommen keine Sicherheits-Updates mehr und stoßen bei Wi-Fi 6, VoIP oder Videokonferenzen schnell an Grenzen. Kein dramatischer Austausch über Nacht – aber ein bekanntes EOL-Datum gibt Planungssicherheit, bevor ein Geräteausfall die Entscheidung erzwingt.
Ein flaches Netzwerk ist kein Kostenvorteil – es ist ein Sicherheitsrisiko
Historisch gewachsene, unstrukturierte Netzwerke laufen oft jahrelang unauffällig mit. Aber sie sind extrem anfällig für Ausfälle, bieten null Zugriffskontrolle und machen es Schadsoftware im Ernstfall erschreckend einfach.
Kettenreaktion bei einfachen Hardware-Defekten
Ein kaputter Switch oder eine falsche Verkabelung im Lager – in einem unstrukturierten Netz ohne eingebaute Sicherheit zieht ein lokaler Fehler schnell die ganze Firma mit runter. Solche Ausfälle an Schwachstellen, an denen alles hängt, kosten unnötig Zeit, Nerven und Geld.
Verlust des Versicherungsschutzes
Cyberversicherungen verlangen heute beim Abschluss oder im Schadensfall konkrete Nachweise über Segmentierung und Zugangskontrolle. Wer hier auf Lücke setzt, riskiert ganz pragmatisch, dass die Versicherung im Ernstfall die Zahlung verweigert und das Unternehmen auf den Kosten sitzen bleibt.
Blinde Flecken durch offene Türen
Ohne eine grundlegende Zugangsprüfung ist jede freie Netzwerkdose im Gebäude ein offenes Tor. Ob der externe Klimatechniker, der Maschinenbauer mit seinem Wartungs-Laptop oder ein privates Gerät – wer sich einsteckt, ist sofort im Netz. Das Netzwerk muss von sich aus prüfen, wer rein kommt.
Wie ich Ihr Netzwerk strukturiere und absichere
Statt eines undurchsichtigen Flickenteppichs entwerfe ich eine saubere, dokumentierte Architektur auf Basis bewährter Standards – effizient, sicher und auf Ihren konkreten Use Case zugeschnitten.
Stabilität & Redundanz
Redundante Uplinks · Resiliente Topologie
Das beste Netz bringt nichts, wenn ein einzelnes defektes Gerät den Betrieb lahmlegt. Ich baue nach Industriestandards: redundante Verbindungen auf allen Ebenen, eine durchdachte Topologie mit klaren Hierarchien – sodass kein einzelnes Gerät mehr ein Single Point of Failure ist.
Netz-Segmentierung
VLANs · 802.1Q · Zonendesign
Ich trenne das Netz in saubere Zonen – Büro, Produktion, Gäste, IoT. VLANs sind das Fundament: Sie kapseln den Traffic. Was zwischen Zonen erlaubt ist, regeln Firewall-Regeln an den Übergängen – ich plane beides: die Netz-Basis und die passende Security-Schicht.
Sicheres, performantes WLAN
WPA3-Enterprise · Client Isolation
Schluss mit geteilten WLAN-Passwörtern. Mitarbeiter authentifizieren sich personalisiert über WPA3-Enterprise. Gäste surfen isoliert im eigenen Netz. Ich sorge für sauberes Roaming, durchdachte Kanalplanung und richtige Dimensionierung für Wi-Fi 6/6E.
IoT- & Schatten-IT Kontrolle
VLAN-Isolation · Geräteprofiling
Sensoren, Kameras, Drucker und Gebäudetechnik bekommen ihr eigenes, streng limitiertes Netzwerk. Unbekannte Geräte landen automatisch in einem Quarantäne-VLAN, bis sie freigegeben werden.
Netzzugangskontrolle (NAC)
802.1X · RADIUS · Captive Portal
Wer steckt sich was wo ein? Ich implementiere portbasierte Zugangskontrolle (802.1X): Firmengeräte kommen nach Zertifikatsprüfung automatisch ins richtige VLAN, unbekannte Geräte werden blockiert oder landen im Gäste-Netzwerk mit Captive Portal. Funktioniert für Kabel und WLAN gleichermaßen.
Sichtbarkeit & Inventarisierung
LLDP · SNMP · Syslog
Ich sorge für Transparenz. Sie sehen auf einen Blick, an welchem Switch-Port welches Gerät hängt. IP-Adresskonflikte und "verlorene" Hardware gehören der Vergangenheit an.
Pragmatische Standards statt Hersteller-Lock-in
Ich lege Wert auf solides Handwerk und eine saubere Konfiguration, nicht auf bunte Hochglanz-Prospekte. Die eingesetzte Hardware muss zu Ihrem Budget und den realen Fähigkeiten Ihres IT-Teams passen.
Bereiche & Schwerpunkte
Erfahrung aus dem echten Betrieb
Ich habe Netzwerke nicht nur auf dem Papier entworfen – ich betreue sie seit Jahren in kritischen Umgebungen. Ich kenne die Momente, in denen Theorie und die harte Realität im Serverraum aufeinanderprallen. Ich baue Ihre Infrastruktur so auf, dass Sie im laufenden Betrieb ruhig schlafen können.
Herstellerunabhängige Beratung
Da ich keine Hardware verkaufe, gibt es bei mir keine versteckten Margen. Ich empfehle genau das, was zu Ihrem Use Case passt: Ob Ubiquiti UniFi im klassischen Büroumfeld, Aruba/HPE für komplexere Anforderungen oder bewährte Core-Switches im Serverraum. Die Entscheidung treffen wir gemeinsam.
Zugangskontrolle über offene Standards
Sichere Netzwerkports erfordern keine unbezahlbaren Software-Plattformen. Über etablierte Standards wie 802.1X und RADIUS – ob klassisch über den Microsoft NPS, FreeRADIUS oder cloudbasierte Ansätze – sichern wir Ihre Anschlüsse zertifikatsbasiert oder über Ihr Active Directory ab.
Sinnvolle Dimensionierung
Ich plane Ihr Switch-Sizing vorausschauend und bedarfsgerecht: Genügend Bandbreite im gesamten Netzwerk, ein sauber kalkuliertes PoE-Budget für moderne Wi-Fi-Access-Points und IP-Telefone. So verhindern wir Flaschenhälse, bevor sie entstehen.
Ich verdiene ausschließlich an meiner Beratungs- und Einrichtungsleistung. Ihre Hardware und Lizenzen kaufen Sie völlig transparent direkt beim Distributor oder Ihrem bestehenden Haus-und-Hof-Lieferanten.
Eingriff am offenen Herzen – sicher geplant
Netzwerkumbauten im laufenden Betrieb machen jeder IT-Abteilung Sorgen. Mein Prozess garantiert absolute Planbarkeit, minimale Downtime und eine ehrliche Einschätzung, was in Ihrer Umgebung pragmatisch umsetzbar ist.
Bestandsaufnahme & Topologie
Bevor wir ein Kabel anfassen, schauen wir uns an, was wirklich da ist: Welche Switche laufen im Netz? Wo hängen Single Points of Failure? Welche VLANs existieren und wo fließen Daten ungehindert zwischen Abteilungen? Das Ergebnis ist ein ungeschöntes Bild der Ausgangslage.
Pragmatisches Zielkonzept
Auf Basis der Fakten entwerfen wir gemeinsam die neue Struktur: Logische Zonen, IP-Kreise und Routing-Wege. Sie erhalten ein verständlich dokumentiertes Design zur Abstimmung und Freigabe, bevor die eigentliche Konfigurationsarbeit beginnt.
Stufenweiser Umbau im Wartungsfenster
VLANs und Segmentierung kommen zuerst – das bringt sofort Sicherheit ohne riesigen Overhead. Eine strikte Zugangskontrolle (802.1X) bauen wir Schritt für Schritt auf. Die kritischen Anpassungen legen wir flexibel in produktionsfreie Zeiten.
Saubere Doku für den Day-2-Betrieb
Ein Netzwerk ohne Dokumentation ist im Alltag wertlos. Nach Projektabschluss erhalten Sie vollständige Topologiediagramme, Port-Belegungspläne und IP-Konzepte. Damit kann Ihr internes Team den Betrieb sofort nahtlos und fehlerfrei weiterführen.
Solides Handwerk für Ihr Netzwerk
Ich bringe praxiserprobte Netzwerkstandards in den Mittelstand – absolut herstellerunabhängig, transparent und ohne den Verkaufsdruck eines Systemhauses.
Erfahrung aus kritischen Umgebungen
Hauptberuflich betreue ich komplexe Infrastrukturen in der europäischen Luft- und Raumfahrt unter höchsten Stabilitätsanforderungen. Genau diese Gründlichkeit fließt in Ihre Netzwerk-Architektur.
Herstellerunabhängig, keine Margen
Mir ist völlig egal, welches Logo auf Ihren Switches klebt – ob Cisco, Aruba, Netgear oder Ubiquiti UniFi. Wichtig ist nur, dass die Hardware solide ist, offene Standards beherrscht und zu Ihrem Budget passt. Sie kaufen direkt ein, ich berate ohne Verkaufsabsichten.
Netzwerk & Security zusammengedacht
Eine saubere VLAN-Segmentierung verpufft, wenn das Regelwerk am zentralen Gateway lückenhaft ist. Als herstellerzertifizierter Security Engineer konzipiere ich Ihre logische Netzwerkstruktur so, dass das Zusammenspiel mit Ihren Firewalls nahtlos und sicher funktioniert.
Transparente Übergabe
Nach dem Projekt ist jedes VLAN, jeder Uplink und jede RADIUS-Policy lückenlos dokumentiert. Ich hinterlasse Ihnen kein Herrschaftswissen, sondern eine sauber strukturierte Umgebung, die Ihre IT sofort versteht.
Der direkte Draht
Kurze Wege statt Ticket-Sumpf: Sie sprechen direkt mit dem Techniker, der Ihre Infrastruktur plant und Ihre Switche physisch sowie logisch konfiguriert – kein First-Level-Support, keine Callcenter.
Bremen & Remote
Persönlich vor Ort in Bremen und Umgebung für die Bestandsaufnahme, remote bundesweit für Staging und Vorbereitung. Kritische Switch-Umschaltungen (Cut-over) lege ich flexibel in die späten Abendstunden oder aufs Wochenende.
Der Vorher-Nachher-Vergleich
Die Transformation von einem chaotischen Switch-Verbund zu einer kontrollierten, auditierbaren Infrastruktur.
Ein flaches Netz, in dem sich Ransomware sofort auf alles (Backups, OT) ausbreitet.
Strikte Barrieren (VLANs) – ein infiziertes Gerät bleibt isoliert.
Jeder kann sich an eine leere Netzwerkdose klemmen und hat vollen Zugriff.
Port-Security (802.1X NAC) – Zugang nur für zertifizierte und überprüfte Firmengeräte.
Ein geteiltes WLAN-Passwort, das ehemalige Mitarbeiter und Gäste noch immer kennen.
Personalisierter WLAN-Zugang (Enterprise) und saubere Client-Isolation.
IoT-Geräte, smarte Kameras und Server hängen ungefiltert im selben Netz.
Microsegmentation – IoT redet nur noch mit den exakt dafür vorgesehenen Diensten.
Bei einem Switch-Ausfall steht die halbe Firma stundenlang still.
Redundante Uplinks und optimiertes Routing verhindern Single-Points-of-Failure.
Keine Dokumentation. Bei der Fehlersuche wird „Kabel gezogen“.
Vollständige Topologiepläne und Transparenz, welches Gerät an welchem Port hängt.
Was Sie sich vermutlich fragen
Klare Antworten auf die wichtigsten Fragen rund um LAN, WLAN und NAC.
Sehr oft nicht! Fast alle managebaren Business-Switches der letzten 10 Jahre beherrschen grundlegende VLANs und 802.1X. Wir prüfen in der Bestandsaufnahme, was Ihre Hardware kann. Nur wenn zwingend nötig (z.B. für PoE-Leistung für neues WLAN oder wegen End-of-Life), rate ich zu einem Hardware-Refresh.
Das entscheidet der Anwendungsfall, nicht das Hersteller-Logo. Für klassische Büronetzwerke und typische KMU-Umgebungen empfehle ich häufig Ubiquiti UniFi: kostengünstig, stabil und mit einem sehr guten zentralen Management-Controller. Für komplexere Anforderungen, höhere PoE-Budgets oder OT-nahe Segmente setzen wir auf Aruba/HPE oder Cisco. Hardware kaufen Sie in keinem Fall über mich – Sie erwerben direkt beim Distributor oder Ihrem bestehenden Lieferanten ohne Aufschläge.
Ein gewisses Maß an Unterbrechung ist beim Umstecken von Kabeln oder Neukonfigurieren von Switch-Ports unvermeidbar. Aber: Wir planen dies präzise. Die Segmentierung (VLAN-Aufbau) läuft parallel im Hintergrund. Der finale Cut-over der Ports erfolgt Segment für Segment außerhalb Ihrer Kernarbeitszeiten.
VLANs kapseln das Netz in logische Segmente – sie sind das Fundament, keine Zugriffskontrolle. Was zwischen Segmenten erlaubt ist, entscheiden Firewall-Regeln und ACLs an den Übergängen. NAC (Network Access Control, meist 802.1X) ist die Türsteher-Funktion davor: Wer darf überhaupt erst ins Netz? Beides ergänzt sich – ein unbekanntes Gerät scheitert am NAC, und selbst wenn es drin ist, landet es im richtigen Segment (z.B. Gäste) isoliert.
Nach der sauberen Ersteinrichtung sehr gering. Im Windows-Umfeld funktioniert die Zertifikatsverteilung via Active Directory (GPO) vollautomatisch. Wenn ein neuer Mitarbeiter ein Firmen-Notebook erhält, ist dieses sofort und unsichtbar autorisiert. Fremdgeräte werden konsequent blockiert.
NAC nach 802.1X mit EAP-TLS setzt voraus, dass Ihre Firmengeräte Zertifikate besitzen und ein RADIUS-Server vorhanden ist. Wenn beides fehlt, ist das schnell ein eigenes Projekt. Meine Empfehlung: Wir starten mit VLANs und Segmentierung – das bringt sofort Sicherheit ohne PKI-Aufwand. Zugangskontrolle führen wir dann schrittweise ein: mit Active-Directory-Integration (EAP-MSCHAPv2) oder, wo eine PKI nicht realistisch ist, über pragmatische Alternativen wie ein internes GlobalProtect-Portal, das Gerätezugang auf Basis von Identität und Compliance steuert.
Nein. Systemhäuser kümmern sich oft hervorragend um Enduser-Support (Laptops, Drucker, Office 365). Ich agiere als spezialisierter Netzwerk-Engineer. Wir arbeiten kooperativ zusammen, um Ihr Netz auf das nächste Sicherheitslevel zu heben.
Das hängt sehr stark von Ihrer Unternehmensgröße und dem Ausgangszustand ab. Ein überschaubares Büronetzwerk (1 Standort, bis ~50 Geräte, ohne NAC) liegt typisch bei 5–10 Wochen. Größere Umgebungen mit mehreren Gebäuden, Produktion oder NAC-Rollout planen wir mit 12–20 Wochen, aufgeteilt in Meilensteine, die den laufenden Betrieb nicht unterbrechen. Ich setze Projekte nebenberuflich nach Feierabend um – das bedeutet einen realistisch eingeplanten Zeitrahmen ohne Hektik.
Nein. Meine Leistung umfasst Planung, Konfiguration und Inbetriebnahme der aktiven Netzwerktechnik – Switches, Access Points, RADIUS, VLANs. Bauliche Maßnahmen wie Kabelverlegung, Unterputzinstallationen oder das Setzen von Netzwerkdosen liegen im Bereich eines Elektrikers oder Netzwerkverkablers. Diese Gewerke führe ich weder selbst durch noch vermittele ich Handwerker. Wenn Sie bereits einen Elektriker beauftragen, stimme ich meine Anforderungen (Kabeltypen, Längen, Dosenpositionen) gerne vorab schriftlich ab – damit keine Nacharbeit entsteht.
Ihr Netz wurde gebaut, als das Unternehmen noch halb so groß war. Seitdem kamen Abteilungen, Maschinen und Standorte dazu – und irgendwie wurde alles zusammengesteckt, Hauptsache es lief. Niemand hat je gefragt, ob das architektonisch noch vertretbar ist.
Wer kontrolliert Ihre Segment-Grenzen?
VLANs ziehen zwar logische Grenzen, aber ohne eine Firewall, die diese aktiv erzwingt und überwacht, existieren sie nur auf dem Papier. Für Angreifer sind sie kein Hindernis.
Sind Ihre Zugriffsrechte so sauber wie Ihr Netz?
Das bestisolierte Netz nützt Ihnen nichts, wenn sich jemand mit kompromittierten, völlig überhöhten Active Directory-Rechten anmeldet. Dann sind Netzwerksegmente Ihr kleinstes Problem.