Sicherheit im Homeoffice - Warum echte Netztrennung wichtiger ist als jedes VPN
In vielen Haushalten sieht Homeoffice heute so aus: Firmenlaptop an, VPN starten, fertig. Doch die Realität ist deutlich komplexer. Ein VPN verschlüsselt zwar die Verbindung zum Unternehmen, aber es schützt nicht davor, was im eigenen Heimnetz passiert. Genau hier entstehen die meisten Risiken, nicht durch den Firmenrechner selbst, sondern durch die Geräte, die mit ihm im selben Netzwerk stehen.
Moderne Angriffe beginnen oft bei den unauffälligen Stellen: Smart-TVs, IoT-Kameras, billige WLAN-Steckdosen oder sogar Apps auf privaten Smartphones. Wird eines dieser Geräte kompromittiert, kann ein Angreifer sich seitlich durch das Netzwerk bewegen und theoretisch auch den Firmenrechner erreichen. Deshalb ist die wichtigste Maßnahme im Homeoffice nicht ein starkes VPN, sondern eine klare Trennung von Arbeits- und Privatnetz.
Ich habe mein eigenes Homeoffice deshalb vollständig segmentiert und eine eigene Sicherheitszone für berufliche Verbindungen aufgebaut: ein isoliertes VLAN, das ausschließlich für den Firmenlaptop existiert. Es besitzt ein eigenes Subnetz, eine eigene Firewall-Policy, keine Freigaben und keine Verbindung zu meinem privaten Netzwerk. Der Firmenrechner sieht weder meine Geräte noch meine Server und umgekehrt. Er darf lediglich ins Internet, um den VPN-Tunnel zum Unternehmen aufzubauen. Mehr nicht.
Diese Form der Trennung verhindert effektiv Lateral Movement, schützt sensible Unternehmensdaten und reduziert Risiken, die im klassischen Homeoffice-Setup kaum beachtet werden.
Und das Beste: Viele dieser Maßnahmen lassen sich auch ohne große Technik umsetzen etwa durch ein getrenntes Gast-WLAN, die konsequente Trennung von IoT und Arbeitsgeräten oder einfache Firewall-Einstellungen am Router.
Sicherheit im Homeoffice entsteht nicht durch ein einziges Tool, sondern durch strukturiertes Denken und klare Grenzen. Ein isoliertes Arbeitsnetz ist dabei oft der entscheidende Faktor, leise, unsichtbar, aber enorm wirkungsvoll.
Man denkt, man ist sicher – doch die Realität ist deutlich komplexer!
10 praktische Tipps für jedes Homeoffice
Getrennte Netze nutzen:
Nutze mindestens zwei getrennte WLANs, eines für Arbeit, eines für alles andere.
IoT isolieren:
TV, Kameras, Sprachassistenten und billige Steckdosen gehören NICHT ins Arbeitsnetz.
Gastnetz aktivieren:
Für Besucher und unsichere Geräte immer das Gastnetz verwenden.
VPN richtig einsetzen:
VPN ist keine Netztrennung. Es verschlüsselt die Strecke, mehr nicht.
Firewall-Regeln definieren:
Blockiere Zugriffe zwischen Arbeits- und Privatgeräten konsequent.
Firmware aktuell halten:
Updates sind der erste Schutz gegen bekannte Angriffe.
Komplexe Passwörter & MFA:
Besonders für Router, VPN, Cloud-Dienste und Firmenportale.
Privat & Arbeit trennen:
Keine privaten USB-Sticks, keine privaten Accounts auf dem Firmenlaptop.
Monitoring & Logs prüfen:
Auch im Homeoffice ist es sinnvoll, ungewöhnliche Verbindungen zu erkennen.
Regelmäßig testen:
Was passiert, wenn du ein IoT-Gerät kompromittiert simulierst?
Nur wer testet, versteht seine Schwachstellen.
Technischer DeepDive: VLAN-Trennung & OPNsense-Regeln
Ein isoliertes Arbeitsnetz lässt sich am saubersten per VLAN realisieren.
Der Grundgedanke ist einfach:
- eigene Layer-2-Domain
- eigene IP-Range (z. B. 192.168.60.0/30)
- eigene Firewall-Policy
- kein Routing in andere Segmente
Beispielarchitektur
VLAN 60 – JOB-V60:
Ein dediziertes Mini-Subnetz für EINEN Firmenrechner, vollständig isoliert.
Firewall-Regeln in OPNsense:
- BLOCK: JOB → MGMT/DMZ/SEC/IOT/ATTACK
- BLOCK: MGMT/DMZ/SEC/IOT/ATTACK → JOB
- ALLOW: JOB → WAN (DNS, NTP, VPN)
- LOG alle Versuche, die gegen die Isolation verstoßen
Damit wird JOB-V60 zur digitalen „Sterilzone“.
Alles, was nicht VPN, DNS oder NTP ist, wird abgewürgt.
Warum Subnetzmaske /30?
- minimaler IP-Bereich
- genau ein Host + Gateway
- perfekte Isolation
- kein Broadcast-Spam aus anderen Zonen
Sicherheit beginnt nicht bei Technik, sie beginnt bei Verantwortung.
Ein sicher gestaltetes Homeoffice ist kein Zeichen von Misstrauen gegenüber Arbeitgebern oder Geräten, sondern Ausdruck von Respekt:
- Respekt vor den Daten anderer Menschen
- Respekt vor der Arbeit, die uns anvertraut wird
- Respekt vor unserer eigenen Integrität
Wir leben in einer Zeit, in der digitale Räume genauso verletzlich sind wie unsere inneren Räume.
Beide verdienen Schutz, Achtsamkeit und klare Grenzen.
Und manchmal beginnt dieser Schutz mit etwas ganz Einfachem:
der Entscheidung, Netze zu trennen und Verantwortung zu übernehmen.