Network Access Control
Sicherheitsarchitektur, die Geräte vor der Netzwerkzulassung authentifiziert und auf Richtlinienkonformität prüft, um nicht vertrauenswürdige Endpunkte automatisch in Quarantäne zu isolieren.
Network Access Control (NAC) ist eine Sicherheitsarchitektur, die Geräten erst dann Zugang zum Unternehmensnetzwerk gewährt, wenn sie sich authentifiziert haben und ihren Sicherheitszustand nachweisen können. Statt jedem Gerät am Switchport oder im WLAN pauschal Konnektivität zu geben, prüft NAC bei der Anmeldung sowohl Identität als auch Compliance — und steuert anschließend, in welches VLAN das Gerät gelegt wird. NAC ist die klassische On-Premises-Antwort auf die Frage, die Zero Trust auf moderner Ebene neu stellt: Welcher Endpunkt darf eigentlich mit welcher Ressource sprechen?
Wie NAC technisch funktioniert
Das Herzstück jeder NAC-Implementierung ist 802.1X, ein IEEE-Standard für portbasierte Authentifizierung. Sobald ein Gerät sich mit einem Switchport oder Access Point verbindet, fordert der Netzwerkzugangsdienst Anmeldedaten an, bevor der Port überhaupt für Datenverkehr freigegeben wird. Die Authentifizierungsanfrage wird über RADIUS an einen zentralen AAA-Server weitergereicht, der Identität, Gerätestatus und Richtlinien prüft und eine Zugriffsentscheidung zurückgibt — inklusive der dynamischen VLAN-Zuweisung.
Welches Authentifizierungsverfahren zum Einsatz kommt, entscheidet die EAP-Methode. EAP-TLS gilt als Goldstandard, weil es auf Client- und Serverzertifikaten basiert und damit gegen Phishing und Credential Stuffing weitgehend immun ist. PEAP-MSCHAPv2 wird in der Praxis noch häufig betrieben, ist aber als Legacy-Verfahren einzustufen: Es überträgt Passwort-Hashes, die mit moderner Rechenleistung in vertretbarer Zeit angreifbar sind. Geräte ohne 802.1X-Fähigkeit — Drucker, IP-Telefone, Industriesteuerungen — werden meist über MAC Authentication Bypass (MAB) in das Netz aufgenommen, was eine der größten Schwachstellen klassischer NAC-Deployments darstellt.
Posture Assessment und Quarantäne-VLANs
NAC prüft nicht nur, wer sich anmeldet, sondern auch in welchem Zustand das Gerät ist. Dieses Posture Assessment kontrolliert typischerweise den Patch-Stand des Betriebssystems, ob ein EDR-Agent aktiv ist, ob die Festplattenverschlüsselung läuft und ob aktuelle Antiviren-Signaturen vorliegen. Auf Basis dieser Ergebnisse landet das Gerät entweder im produktiven VLAN, in einem eingeschränkten VLAN für Standardarbeit oder in einem Quarantäne-VLAN mit Zugriff ausschließlich auf Remediation-Server, die fehlende Patches oder Konfigurationen automatisiert nachziehen.
Diese Granularität ist gleichzeitig der größte operative Vorteil und die häufigste Quelle für Betriebsstörungen. Wir finden in Assessments regelmäßig Umgebungen, in denen Posture-Regeln im Lauf der Jahre so weit aufgeweicht wurden, dass praktisch jedes Gerät die Compliance-Prüfung besteht — schlicht weil sonst zu viele Helpdesk-Tickets entstanden wären.
BYOD und Gäste
Für Mitarbeitergeräte aus Privatbesitz und Besucher braucht NAC eigene Workflows. Beim BYOD-Onboarding meldet sich der Benutzer typischerweise über ein Captive Portal an, das im Hintergrund ein Gerätezertifikat ausstellt und das Endgerät anschließend in ein BYOD-VLAN mit eingeschränktem Zugriff überführt. Gästezugänge laufen meist über Self-Service-Portale mit Sponsorship-Modell: Ein Mitarbeiter genehmigt die Anmeldung, der Gast erhält zeitlich befristeten Internetzugang, ohne jemals das interne Netz zu sehen. In der Praxis funktionieren diese Flows zuverlässig, sobald die Zertifikatslogistik im Hintergrund stabil läuft.
Anbieter im Marktüberblick
Im NAC-Markt dominieren wenige Anbieter mit unterschiedlichen Schwerpunkten. Cisco Identity Services Engine (ISE) ist tief in Cisco-Netzwerkinfrastruktur integriert und bietet die feingranularste Policy-Engine, ist aber komplex im Betrieb. Aruba ClearPass arbeitet herstellerübergreifend und gilt als pragmatischer in der Inbetriebnahme. Fortinet FortiNAC zielt vor allem auf die Absicherung von IoT- und OT-Umgebungen. Microsoft Network Policy Server (NPS) ist als RADIUS-Server in Windows Server enthalten und reicht für einfache 802.1X-Szenarien, deckt aber kein vollständiges Posture Assessment ab. Welche Lösung sinnvoll ist, hängt mehr von der vorhandenen Netzwerklandschaft und den Compliance-Anforderungen ab als von Feature-Vergleichslisten.
NAC und der Übergang zu Zero Trust
NAC ist der Vorläufer dessen, was heute unter identitätsbasierter Netzwerksegmentierung verstanden wird. Während NAC den Zugang zum Netzwerk reguliert, verlagert ZTNA die Zugriffsentscheidung auf die einzelne Anwendung: Nicht mehr "Bist du im richtigen VLAN?" zählt, sondern "Darfst du als diese Identität, mit diesem Gerätestatus, auf diese spezifische Anwendung zugreifen?". In modernen Architekturen ergänzen sich beide Welten — NAC sichert weiterhin die physische Netzwerkebene mit Druckern, Kameras und OT-Geräten, während ZTNA und Conditional Access den Anwendungszugriff für Benutzer steuern. Wer NAC heute neu einführt, sollte die Posture-Datenquellen so wählen, dass sie sich später in eine Zero-Trust-Engine speisen lassen.
Auch die Beziehung zu Mikrosegmentierung wird oft missverstanden. NAC steuert den Zugang auf VLAN-Ebene und bleibt damit eine relativ grobe Form der Segmentierung. Mikrosegmentierung setzt eine Stufe tiefer an und kontrolliert den Ost-West-Verkehr zwischen einzelnen Workloads — beide Mechanismen ergänzen sich, ersetzen sich aber nicht.
Typische Fallstricke
Die größte konzeptionelle Schwäche von NAC ist MAC Authentication Bypass. MAC-Adressen lassen sich in Sekunden fälschen, sodass ein Angreifer mit einem geklonten Drucker-MAC ungestört im Drucker-VLAN landet — und von dort aus auf interne Ressourcen springt. Wer MAB einsetzt, sollte das betroffene VLAN strikt gegen das produktive Netz isolieren und idealerweise über Profiling-Mechanismen erkennen, wenn ein vermeintlicher Drucker plötzlich SMB-Verbindungen aufbaut.
Der zweite Dauerbrenner ist das Zertifikatslebenszyklus-Management für EAP-TLS. Tausende Endgeräte mit Zertifikaten zu versorgen, die regelmäßig auslaufen, ist ohne saubere Integration in MDM oder IAM operativ kaum stemmbar. Ein abgelaufenes Zertifikat heißt: Gerät kommt nicht ins Netz, Helpdesk steht unter Volldampf. Wir finden in Assessments regelmäßig, dass Automatisierung an genau dieser Stelle der entscheidende Faktor zwischen funktionierendem und de facto deaktiviertem NAC ist.
Relevanz für KMUs
Vollwertige NAC-Plattformen wie Cisco ISE sind für viele mittelständische Unternehmen überdimensioniert — sowohl preislich als auch im Betriebsaufwand. Pragmatischer ist häufig ein gestufter Einstieg: Microsoft NPS mit 802.1X und EAP-TLS deckt den Anmeldeprozess für verwaltete Windows-Clients ab, ergänzt um ein separates Gäste-WLAN über die vorhandene Firewall-Lösung. Wer mit einer einheitlichen WLAN-Plattform arbeitet (etwa Aruba, Ubiquiti UniFi oder Meraki), kann zusätzliche NAC-Funktionen oft als Modul aktivieren, ohne ein eigenes Produkt einzuführen. Entscheidend ist weniger die Auswahl des Produkts als die ehrliche Frage, wie viele Endgerätetypen tatsächlich verwaltet werden müssen — und ob die Organisation Zertifikatslebenszyklen verlässlich automatisieren kann. Ohne diese Grundlage wird jedes NAC-Projekt nach 18 Monaten zur Schattenarchitektur, an der man vorbei betreibt.