WLAN, 5G, IPTV, IoT, Smart Stadium – das alles sind Begriffe, mit denen sich Betreiber moderner Sport-Stadien immer häufiger auseinandersetzen. Ziel ist das vollvernetzte Stadion. Das signifikante Wachstum der IT-Netzwerke resultiert in einem gesteigerten Bedarf an IT-Sicherheit, denn mit der Expansion der Netze geht auch eine erhöhte Vulnerabilität einher.
Der Betrieb eines modernen Fußballstadions erfordert immer ausgefgeiltere Netzwerkinfrastrukturen. Dadurch erhöhen sich auch die Risiken für die IT-Sicherheit deutlich.
Der Verein 1. FSV Mainz 05 e.V. zählt zu den mitgliederstärksten Sportvereinen Deutschlands. Sein Stadion bietet Platz für über 33.000 Zuschauer. Neben den Kommunikationsanforderungen der Fans ist die IT-Abteilung mit einer Vielzahl von Themen beschäftigt. So stellt auch die Bürokommunikation der 1.095 Mitarbeiter, darunter 460 Office Benutzer, höchste Herausforderungen an eine reibungslose und vor ungewollten Zugriffen geschützte IT. Hinzu kommen regelmäßig rund 700 externe Nutzer der Kommunikationssysteme, die beispielsweise einen Netzwerkzugang für die Wartung der 210 Kassensysteme benötigen. Die Administration von Gastzugängen muss sowohl einfach als auch sicher sein. Und nicht zuletzt besteht die gewachsene Multi-Vendor IT-Infrastruktur allein aus 155 Netzwerkswitches, 380 Access Points und 7.500 Netzwerk-Ports.
Viel Action an einem Spieltag: 1.472 autorisierte Verbindungen, 8.775 unautorisierte Verbindungen, 50 Gerätegruppen
Der Spielbetrieb sorgt für besondere Anforderungen: So ist das WLAN-Netz eines Stadions gekennzeichnet durch komplexe Servicebereitstellung in Echtzeit. In der IT-Infrastruktur ist ein reibungslos funktionierendes Wi-Fi-6 Netz ein zentraler Faktor für die Besucherzufriedenheit, denn Zuschauer möchten das Live-Erlebnis via Smartphone filmen und in den Sozialen Medien und mit Freunden teilen. Außerdem ist die Nutzung der Mainz-05-App ein wichtiger Faktor für die Kundenbindung des Vereins. Im Wettbewerb mit TV-Angeboten wird es immer wichtiger das Erlebnis im Stadion multimedial zu gestalten. Die Herausforderung besteht in der Bereitstellung eines ausreichenden Signals und der hohen Benutzerdichte. So werden an einem typischen Spieltag 1.472 autorisierte Verbindungen und 8.775 unautorisierte Verbindungen mit insgesamt 50 Gerätegruppen genutzt. Das WLAN-Netz muss in der Lage sein Benutzer zu erkennen, deren Zugriff zu kontrollieren, differenzierte Services bereitzustellen und widerstandsfähig vor potenziellen Sicherheitsbedrohungen geschützt sein. Diese speziellen Anforderungen, insbesondere an die Netzwerksicherheit, veranlassten Karsten Lippert, Leiter ICT & Digitalisierung des Clubs, sich mit der Auswahl einer zuverlässigen Lösung für Netzwerkzugangskontrolle, auch im Hinblick auf die die Anforderungen der DSGVO, zu befassen.
NAC: Schnelle Übersicht, niedrige Komplexität und hohe Effizienz
Das Projekt startete mit einer ausführlichen Risikoanalyse. In dieser Phase stellte man unter anderem fest, dass die Verbindung zwischen Switches und Accesspoints der kritischste abzusichernde Zugangspunkt in das Netzwerk ist, da auf den Anschlüssen der Access Points nahezu alle im Netz verwendeten VLANs anliegen, und diese an „ungesicherten“ Orten (zum Beispiel Außenwänden, Laternenmasten, etc.) angebracht sind, so dass eine Demontage nicht verhindert werden kann. Exakt die Netzwerkgerät-zu-Netzwerkgerätverbindung kann jedoch durch klassisches 802.1x nicht abgedeckt werden, alternative Methoden wie MACsec-Verschlüsselung werden von den meisten Edge-Switches und APs nicht unterstützt. Diese Herausforderung löste man mit der SNMP-NAC-Funktionalität der ausgewählten NAC-Lösung eines deutschen Herstellers, mit entsprechenden Event-Überwachungen und insgesamt nur drei Regeln. Zum einen werden am Spieltag zwei isolierte Netze für die Gast-Mannschaft und die Heim-Mannschaft, in vorgegebenen Bereichen, aktiv geschaltet. Zum anderen werden Access Point Ports gesondert behandelt, solange der Access Point mit der Infrastruktur verbunden ist.
Besonderer Schutz für Access Point Anschlüsse - Für ein sicheres und flächendeckendes WLAN-Netz im Stadion
Access Points werden von der Netzwerksicherheitssoftware anhand der MAC-Adresse und dem Fingerprint erkannt. Konforme Access Points kommunizieren über die tagged VLANs am Switch Port in ihre Netze. Die NAC-Lösung registriert innerhalb von einer Sekunde, wenn ein Access Point abgezogen wurde, der Port wird sofort heruntergefahren. Wenn ein Access Point an einen neuen Port angeschlossen wird, setzt die Anwendung die tagged VLANs, die benötigt werden, damit die Service Set Identifier in die jeweiligen Netze kommunizieren können. Wenn der Access Point abgezogen wird, werden alle tagged VLANs entfernt, die zuvor für die WLAN-Kommunikation am Port gesetzt waren, damit wird der tagged Zugang zu jeglichen Netzen am Port geschlossen. Das bedeutet höchste Sicherheit und Schutz vor Manipulation.
Schneller Überblick - vereinfachtes Handling
Ein weiterer Aspekt bei der Implementierung einer NAC-Lösung ist der schnelle Überblick über alle sich im Netzwerk befindlichen Endgeräte. Diese Visualisierung ist schon an sich ein schneller Gewinn. Die Nutzung ist für einen IT-Administrator fast schon intuitiv und bietet vielfältige Mehrwerte, dazu gehört der Ausfall der bisher manuellen, zeitaufwendigen Konfiguration von Netzwerkanschlüssen zu den verschiedenen Anlässen im Stadion. Zu den rund 20 Spielen pro Jahr kommen auch circa 200 externe Veranstaltungen. Durch die Automatisierung der Konfigurationen wurde die Anzahl der Helpdesk Tickets minimiert. Dabei nutzt der 1. FSV Mainz 05 e.V. drei Mechanismen für die Authentifizierung: SNMP-NAC basiert, mac-basiert über RADIUS und 802.1X. Abhängig vom Port und dem verwendeten Endgerät wird der richtige Mechanismus angewandt. Dieser Prozess ist auf der GUI in einem Menü zusammengefasst und so vereinfacht, dass der Administrator lediglich die richtigen VLANs eintragen muss. Die Netzwerkzugangskontroll-Lösung regelt den Rest im Hintergrund, somit benötigt man keine protokollabhängigen Einstellungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Führende Lösung arbeitet mit allen marktüblichen Switchen
Es mussten keine bestehenden Switch-Hersteller aussortiert werden, die bestehende Switch-Infrastruktur konnte nahtlos genutzt werden, eine Umstellung war nicht notwendig, ein wichtiger Aspekt bei der Auswahl der passenden Lösung. Folgende verwaltete Systeme setzt der Verein ein, welche auch gegenüber der NAC-Lösung als Netzwerkgerät agieren: Aruba/HPE ehemalig Procurve Switches, Commscope/Ruckus Accesspoints (z.T. Hospitality-Ausführung mit LAN-Ports) und Microsens Microswitches (für den Kabelkanal). Darüber hinaus nutzen die Mainzer nicht-verwaltete PD-Switches von Netgear sowie Kabeltrommel-Switches von Pandacom, welche aus Sicht der NAC-Lösung als Endgerät agieren.
Heterogene Netzwerke an verschiedenen Standorten – kein Problem
Seit der Einführung der Netzwerkmanagement-Lösung hat sich diese als zuverlässiger Helfer im Alltag und insbesondere am Spieltag bewährt. Für die Nutzung benötigt man nicht zwangsläufig eine Appliance an jedem der drei Standorte. Die Außenstandorte können auch vom Hauptstandort bedient werden. Wichtig ist bei der Projektierung immer die Frage: Welche Sicherheit / welche Hochverfügbarkeit braucht man, wenn die Verbindung zum Außenstandort wegfällt und wie kritisch ist das Szenario in diesem Fall? Wenn am Außenstandort keine RADIUS-basierten Authentifizierungen gemacht werden, wäre ein Ausfall der Anbindung dorthin je nach Einsatzszenario möglicherweise vertretbar. Wenn ein Unternehmen aber auch dort die RADIUS-basierte Authentifizierung nutzen möchte, ist eine Appliance am Außenstandort sinnvoll. Im Fall des 1. FSV Mainz 05 e.V. sind die drei Standorte in Mainz mittels eines kanten- und knotendisjunkten Darkfiber-Ringes verbunden, so dass die redundanten Knoten in dem zentralen Rechenzentrum ausreichen.
Zentrale Herausforderungen während der Inbetriebnahme der Netzwerksicherheitslösung:
Geräte, welche von sich aus keinerlei Datenpakete an das Netzwerk senden, wodurch keine Authentifizierung stattfindet
Beispiel: Eintrittskartendrucker und EC-Terminals
Lösung: Umstellung der Geräte von fester IP-Konfiguration auf DHCP, Konfiguration von „Nachhause“-Telefonie (Regelupdates) zur Aufrechterhaltung des Authentifizierungs-Timers, Einführung von mac-pinning
Korrekte Zuordnung der Geräte, welche LAN- und WLAN-Schnittstellen haben
Beispiel: Notebooks
Lösung: Änderung der VLAN-Architektur von bisheriger Anbindungsartzuweisung (VLAN1=LAN, VLAN2=WLAN) zu Nutzergruppenzuweisung (VLAN11=Verwaltung, VLAN12=Lizenzspieler, …)
Absicherung der Accesspoint-Anbindung und gleichzeitige Gewährleistung der Hospitality-Funktionen (mit bis zu vier downlink-ports pro Access Point)
Lösung: Definition der Access Points als Endgerät und gleichzeitig als Netzwerkgerät
In einem zweiten Projektschritt stehen bei dem 1. FSV Mainz 05 e.V. Themen wie das umfassende Reporting der im Netzwerk ermittelten Messdaten und die Darstellung der Ereignisse im Netzwerk auf der Agenda. Dazu gehören Sicherheitsaspekte wie das Auftauchen bekannter Geräte zu ungewöhnlichen Zeiten oder das Aufzeigen von Angriffen wie ARP-Spoofing oder MAC-Spoofing. Neben klassischen Vorteilen einer soliden und flexiblen Lösung für Netzwerkzugangskontrolle bieten sich außerdem hoch flexible Anbindungsmöglichkeiten von Drittanbietern über die offene Schnittstelle REST-API für diverse Lösungen geplanter Digitalisierungsprojekte.
Über die Autorin: Sabine Kuch arbeitet seit mehr als 20 Jahren in der IT-Branche in unterschiedlichen Positionen. Für Macmon Secure ist Kuch seit 2017 als Freelancer tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f1/58/f15806f70c97abf54bdc583a063b3f3f/0128109853v1.jpeg "Das Cloud Cost Insight Dashboard bietet Einblicke in die Nutzung von Azure Virtual Desktop. Dies kann bei der Optimierung der Cloud-Ausgaben helfen. (Bild: Parallels)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6d/d6/6dd6ab946b035d8d2c687e89140da22a/0125189562v2.jpeg "So einfach lässt sich ein Synology-NAS mit FreeRADIUS als RADIUS-Server für sichere WLAN-Authentifizierung nutzen. (Bild: © Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")