Network Access Control (NAC) ist eine Sicherheitslösung, die Netzwerke und ihre Ressourcen vor unerlaubten Zugriffen schützt. Nur autorisierte Geräte und Benutzer, die die vorgegebenen Sicherheitsrichtlinien erfüllen, erhalten Zugang. NAC verbessert die Netzwerksicherheit und erleichtert die Einhaltung von Compliance-Vorgaben.
Network Access Control (NAC) dient dem Schutz privater Netzwerke vor unerlaubten Zugriffen und nicht konformen Endgeräten.
Die deutsche Übersetzung für Network Access Control, abgekürzt NAC, lautet Netzwerkzugriffs- oder Netzwerkzugangskontrolle. Bei der Netzwerkzugriffskontrolle handelt es sich um eine Sicherheitslösung und ein Konzept zum Schutz von privaten Netzwerken wie Unternehmensnetzen und ihren digitalen Ressourcen vor unerlaubten Zugriffen. NAC kontrolliert und steuert den Zugriff von Geräten und Benutzern. Nur autorisierte Geräte und Benutzer, die die vorgegebenen Sicherheitsrichtlinien erfüllen, erhalten Zugang zum Netzwerk und Zugriff auf die digitalen Ressourcen. Sicherheitsrichtlinien können zum Beispiel der Patchstand des Betriebssystems oder die Aktualität des Virenscanners sein. Fehlt eine entsprechende Autorisierung oder erfüllen die Geräte oder Benutzer die Sicherheitsrichtlinien nicht, wird der Netzwerkzugriff verweigert oder eingeschränkt. Zudem können sie unter Quarantäne gestellt werden. Sie verbleiben dann so lange in Quarantäne, bis sie die definierten Sicherheitsrichtlinien des Unternehmens erfüllen und beispielsweise der Virenscanner aktualisiert oder ein bestimmter Betriebssystem-Patchstand eingespielt ist.
Netzwerkzugriffskontrolllösungen kommen zur Unterstützung der Zugriffsverwaltung und zur Verbesserung der Netzwerksicherheit zum Einsatz. Network Access Control übernimmt eine wichtige Rolle bei der Umsetzung von Zero-Trust-Strategien und der Implementierung des Least-Privilege-Prinzips. NAC-Lösungen verkleinern die potenzielle digitale Angriffsfläche, reduzieren das Risiko, Opfer von Cyberangriffen zu werden, und tragen zur Einhaltung von Compliance-Vorgaben bei.
Unterscheidung zwischen Pre- und Post-Admission Network Access Control
Grundsätzlich lassen sich bei Network Access Control die beiden Arten beziehungsweise Modelle Pre- und Post-Admission NAC unterscheiden. Sie schließen sich einander nicht aus, sondern ergänzen sich. Dementsprechend werden sie zur Verbesserung der Netzwerksicherheit üblicherweise in Kombination gemeinsam angewandt.
Pre-Admission Network Access Control greift vor dem Einlass in ein Netzwerk. Es verweigert den Netzwerkzugang, wenn ein Gerät oder Benutzer nicht autorisiert ist oder die Sicherheitsrichtlinien nicht erfüllt.
Post-Admission Network Access Control wird nach einer initialen Überprüfung der Autorisierung und der Einhaltung der Sicherheitsrichtlinien aktiv. Autorisierte und konforme Geräte oder Benutzer haben dementsprechend bereits Zugang zum Netzwerk. Versucht ein Gerät oder ein Benutzer, einen definierten Netzwerkbereich zu verlassen oder auf Ressourcen außerhalb eines festgelegten Netzwerksegments oder Anwendungsbereichs zuzugreifen, erfolgt eine erneute Prüfung der Autorisierung und der Einhaltung der Sicherheitsrichtlinien. Gegebenenfalls wird der angeforderte Zugriff von der Netzwerkzugriffskontrolle eingeschränkt oder untersagt. So lassen sich laterale Bewegungen im Netzwerk und die unkontrollierte Ausbreitung von Bedrohungen unterbinden.
Typischer Funktionsumfang von NAC-Lösungen
Eine Grundfunktion von Network Access Control ist die Authentifizierung und Autorisierung der Benutzer oder Geräte, die auf ein privates Unternehmensnetzwerk zugreifen möchten. In dieser Funktion übernimmt NAC die Rolle eines herkömmlichen Network Access Servers (NAS), indem die Identitäten und die Anmeldedaten der Benutzer oder Geräte verifiziert werden. Der weitere Funktionsumfang der Netzwerkzugriffskontrolle geht aber weit über den eines normalen NAS hinaus.
Ist die Identität eines Benutzers oder eines Geräts verifiziert, folgt in einem weiteren Schritt die Prüfung der Einhaltung der zuvor definierten Sicherheitsrichtlinien. Es wird beispielsweise geprüft, ob das Gerät eine bestimmte Version eines Betriebssystems besitzt, aktuelle Sicherheitsupdates eingespielt sind, bestimmte Sicherheitskonfigurationen vorhanden sind oder die Virensoftware auf dem aktuellen Stand ist. Zudem implementiert Network Access Control Schutzmaßnahmen wie Firewall- oder Malware-Erkennungsfunktionen, mit denen sich der interne Netzwerkverkehr und der Zugang der Benutzer oder Geräte zu bestimmten Netzwerkbereichen oder Aktionen mit bestimmten Netzwerkressourcen oder Daten kontrollieren, steuern und einschränken lassen. Die Netzwerk- und Ressourcenzugriffe werden kontinuierlich überwacht, damit bei verdächtigen Aktivitäten oder Verstößen gegen die Sicherheitsrichtlinien sofort reagiert werden kann.
Viele NAC-Lösungen sehen für nicht autorisierte oder nicht konforme Geräte oder Benutzer einen Quarantänebereich vor. Dort sind die Geräte oder Benutzer von der Netzwerkumgebung isoliert. Erst wenn eine Nachbesserung erfolgt ist und die vorgegebenen Sicherheitsrichtlinien erfüllt sind oder eine entsprechende Autorisierung vorliegt, dürfen sie den Quarantänebereich verlassen und auf das Netzwerk und seine Ressourcen zugreifen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kurz zusammengefasst bietet eine NAC-Lösung folgende typische Funktionen:
Überprüfung von Benutzer- und Geräteidentitäten (Authentifizierung)
Definition, Verwaltung und Durchsetzung von zu erfüllenden Sicherheitsrichtlinien
Zugriffsentscheidung basierend auf der Einhaltung der Richtlinien: Zulassung, Einschränkung oder Ablehnung des Netzwerkzugriffs
kontinuierliche Überwachung, Kontrolle und Steuerung des internen Netzwerkverkehrs
Reaktion bei auffälligen Aktivitäten (zum Beispiel Blockieren von Geräten)
Isolation von nicht konformen oder nicht autorisierten Geräten oder Benutzern in einem Quarantänebereich (ggf. mit automatischer Wiederherstellung nicht konformer Geräte)
Überblick über alle Geräte und Benutzer mit Zugriff auf das Netzwerk und deren Sicherheitsstatus
Dokumentation aller Zugriffe auf sensible Netzwerkbereiche und Ressourcen
Typische Anwendungsbereiche und Einsatzszenarien von Network Access Control
Network Access Control kommt zum Schutz von privaten Unternehmensnetzwerken vor unautorisierten Zugriffen zum Einsatz. Ein typischer Anwendungsbereich ist beispielsweise die Gewährung von temporären Netzwerkzugriffsmöglichkeiten für Gäste oder unternehmensfremde Personen wie Zeitarbeitskräfte, Dienstleister oder Geschäftspartner. Durch die Netzwerkzugriffskontrolle ist eine saubere Trennung von den Zugriffsmöglichkeiten der eigenen Mitarbeiter möglich.
Auch Bring Your Own Device (BYOD) ist ein typisches Anwendungsszenario für die Netzwerkzugriffskontrolle. Mithilfe von NAC lässt sich sicherstellen, dass die vielen unterschiedlichen von den Mitarbeitern für den Zugriff auf Unternehmensressourcen genutzten eigenen Endgeräte (zum Beispiel eigene Laptops oder Mobilgeräte wie Smartphones) den Sicherheitsrichtlinien des Unternehmens entsprechen.
Ein weiterer Anwendungsbereich von Network Access Control ist das Internet der Dinge (Internet of Things, IoT). NAC sichert den Zugriff von IoT-Geräten auf die Unternehmensressourcen ab. Es lassen sich Profile und Zugriffsrichtlinien für die unterschiedlichen Gerätekategorien definieren und anwenden, mit denen die Risiken für schädliche Auswirkungen durch nicht konforme oder durch kompromittierte Geräte minimiert werden. So lässt sich sicherstellen, dass IoT-Geräte nicht zum Einfallstor für Unbefugte oder Cyberkriminelle werden.
Auch in regulierten Branchen mit strengen Sicherheits- und Compliance-Vorgaben wie im Gesundheitswesen, in der Finanzbranche oder bei Betreibern von kritischen Infrastrukturen spielt die Netzwerkzugriffskontrolle eine wichtige Rolle. Sie sorgt durch die Autorisierung und Konformitätsprüfung der Geräte und Benutzer dafür, dass das Netzwerk nicht zu einer Schwachstelle für den Schutz sensibler Daten und Anwendungen wird.
Die Vorteile durch die Implementierung einer Netzwerkzugriffskontrolle
Die Implementierung von Network Access Control bietet zahlreiche Vorteile. Sie verbessert die Netzwerksicherheit, schützt vor nicht autorisierten Zugriffen auf Unternehmensressourcen, unterstützt die Einhaltung von Compliance-Richtlinien oder gesetzlichen Vorgaben (beispielsweise zum Datenschutz), reduziert den Verwaltungsaufwand und sorgt für die Durchsetzung der Sicherheitsrichtlinien und die Konformität der Geräte. Darüber hinaus verbessert NAC die Transparenz, indem sie eine Übersicht über alle verbundenen Geräte und ihren aktuellen Sicherheitsstatus bereitstellt. Die digitale Angriffsfläche wird verkleinert, und das Risiko, Opfer von Cyberangriffen zu werden, wird deutlich reduziert. Kritische Netzwerkbereiche bleiben geschützt, da nicht konforme Endgeräte in einem Quarantänebereich so lange von sensiblen Ressourcen isoliert bleiben, bis sie die Sicherheitsrichtlinien erfüllen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0e/d2/0ed29d17a762cb690a41956daf7acaee/0124568503v1.jpeg "Durch die konsequente Minimierung der Angriffsfläche erschwert Zero Trust Network Access Angreifern den Zugriff auf sensible Systeme erheblich und trägt damit maßgeblich zur Stärkung der IT-Sicherheit moderner Unternehmen bei – für absolute Sicherheit sorgt ZTNA nicht. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d5/38/d538c3e0f42fef61c34b1cadf2e6883c/0121532646v2.jpeg "Privileged Access Management (PAM) ist ein Sicherheitskonzept zur Absicherung privilegierter Konten mit erweiterten Berechtigungen.
(Bild: gemeinfrei)")