Warum ist das Firmennetzwerk so langsam? Die Karte der üblichen Verdächtigen für Praktiker ── DNS, Broadcasts, VPN und Adress-Erschöpfung

„Sag mal, ist das Netz heute langsam oder liegt’s an mir?“ ── Dieser Artikel ist für die Person, die im Büro diese Frage gestellt bekommt. Schau, ob dir etwas davon bekannt vorkommt.

• Jeden Montag um 9 Uhr wird firmenweit alles zäh
• Ein bestimmtes Team oder eine bestimmte Ecke des Büros hat ständig Probleme
• Sobald du dich ins VPN einwählst, kriechen nicht nur die internen Systeme ── selbst normales Surfen wird zäh
• Der Speedtest liefert gute Zahlen, und trotzdem fühlt sich alles unverkennbar langsam an

Eines vorweg: „Langsam“ heißt nicht automatisch „die Leitung ist zu dünn“. Netzwerk-Langsamkeit hat ihre Riege üblicher Verdächtiger, jeder definiert durch die Schicht, die verstopft ist ── und jeder zeigt andere Symptome. Die Welt ist voller Langsamkeiten, die kein Bandbreiten-Upgrade jemals beheben wird.

Dies ist kein Konfigurationshandbuch. Es ist eine Karte, wo man suchen muss. Ausgehend vom Netzwerk eines typischen kleinen oder mittleren Unternehmens behandeln wir:

• Wie man „langsam“ in drei verschiedene Probleme zerlegt (§1)
• DNS ── der Stau, bevor überhaupt irgendetwas anfängt (§2)
• Switches und Broadcasts ── wenn das Gemurmel einer Maschine alle erreicht (§3)
• VPN ── wenn der Verkehr aller durch einen einzigen Tunnel gezogen wird (§4)
• DHCP, NAT und Portnummern ── wenn die Adressregister volllaufen (§5)
• Eine 5-Schritte-Diagnoseroutine für Praktiker (§6)

Bei jedem Verdächtigen nehmen wir den kürzesten Weg zum Warum der Langsamkeit. Tiefes Konfigurationswissen ist nicht nötig ── die Ursache-Wirkungs-Beziehung ist das Einzige, was du mitnehmen musst.

1. „Langsam“ in drei Probleme zerlegen ── Bandbreite, Latenz und Verlust

1-1. Drei Langsamkeiten, drei verschiedene Krankheiten

„Langsam“ sind in Wahrheit drei verschiedene Dinge im selben Mantel. Diese Dreiteilung zieht sich durch den gesamten Artikel.

Die drei Arten von „langsam"

 ① Bandbreite (Straßenbreite)  Wie viele Daten auf einmal durchpassen
                                └ Wenn verstopft: zähe Downloads, alle langsam zu Stoßzeiten

 ② Latenz (Hin und zurück)     Wie lange ein Datum für Hin- und Rückweg braucht
                                └ Wenn verstopft: auf jeden Klick folgt eine Gedenksekunde

 ③ Verlust (verlorene Daten)   Das Warten auf die Neuübertragung des Verlorenen
                                └ Wenn verstopft: stockende Videocalls, zufällige Hänger

• Bandbreite (Breite der Straße): Wie viele Daten pro Sekunde fließen ── die Zahl der Fahrspuren. Zu wenig, und es staut sich; bei leerer Straße kein Problem. Deshalb trägt Bandbreitenmangel das Gesicht von „nur zu Stoßzeiten langsam“
• Latenz: Die Hin- und Rückreisezeit bis zur Gegenstelle. Hat mit der Breite nichts zu tun ── sie wird von Entfernung und Zahl der Zwischenstationen bestimmt. Deshalb trägt Latenz das Gesicht von „egal was ich tue, der erste Moment ist zäh“
• Verlust (Packet Loss): Ein Teil der gesendeten Daten verdunstet unterwegs. Das Netzwerk überträgt Verlorenes stillschweigend neu, aber dieses Warten auf die Neuübertragung trägt das Gesicht von „meistens geht’s, aber manchmal ruckelt plötzlich alles“ und „Bild und Ton stocken“

1-2. Vom Symptom rückwärts arbeiten

2. Der Stau, bevor irgendetwas anfängt ── DNS

2-1. Was immer passiert, bevor sich eine Seite öffnet

Bevor dein Browser eine Seite laden kann, muss er die Namensauflösung (die Abfrage, die einen Domainnamen in eine IP-Adresse ── die echte Postanschrift ── übersetzt) durchführen. Wie das funktioniert, haben wir in unserem DNS-Artikel kartiert, aber für ein Firmennetzwerk zählt nur eine Tatsache:

Bis die Namensauflösung abgeschlossen ist, startet kein einziges Byte des eigentlichen Gesprächs.

Wenn also das DNS verstopft, hilft alle Bandbreite der Welt nichts ── der „erste Moment nach jedem Klick“ wird zäh, garantiert. Das ist weder ① Bandbreite noch ③ Verlust; es ist Langsamkeit, bevor die Kommunikation überhaupt beginnt.

2-2. Warum das Büro-DNS verstopft

In einem typischen Büro schickt jeder PC seine Anfragen an einen internen DNS-Server (oft ein Forwarder ── ein Schalterbeamter, der die Anfrage weiterreicht ── auf irgendeinem gemeinsam genutzten Gerät), der sie ans externe DNS weiterleitet. Ist dieser Schalterbeamte zu schwach auf der Brust oder überlastet, wird der „erste Moment“ aller Mitarbeitenden gleichzeitig zäh.

Der Fehlermodus ist noch hässlicher. DNS-Anfragen haben Timeouts von mehreren Sekunden, und wenn der erste DNS-Server schweigt, sitzt der Client diese Sekunden ab, bevor er den zweiten fragt. „Es friert ein paar Sekunden ein, bevor es sich öffnet ── aber einmal offen, läuft es schnell.“ Dieses Symptom ist die klassische Handschrift des Wartens auf DNS.

3. Das Gemurmel einer Maschine erreicht alle ── Switches und Broadcasts

3-1. Der Switch in einem Satz ── ein kluger Verteiler

Der Switch (der Kasten, der mehrere Geräte zu einem LAN zusammenfasst), der unter Schreibtischen und in Verteilerschränken lebt, ist keine bloße Mehrfachsteckdose. Er lernt, welches Gerät hinter welchem Port wohnt, und liefert Daten nur an den Port, hinter dem der Empfänger tatsächlich sitzt. Deshalb walzt an einem normalen Tag der Riesen-Download deines Nachbarn nicht deinen Verkehr platt.

Und weil Switches gern mit Routern verwechselt werden: „Der Switch regelt den Verkehr innerhalb eines Netzwerks; der Router verbindet ein Netzwerk mit einem anderen“ ── diese eine Zeile genügt hier.

3-2. Aber Broadcasts erreichen alle, immer

Die Klugheit des Switches kennt eine Ausnahme: den Broadcast (einen Ruf an alle im Netzwerk ── „ist der Besitzer dieser Adresse hier?“). Weil der Empfänger „alle“ lautet, muss der Switch ihn über sämtliche Ports fluten, egal was er gelernt hat.

Normaler Verkehr: fließt nur zum Ziel-Port
   PC-A ──→ [Switch] ──→ PC-B
                ×──→ PC-C (nicht gesendet)
                ×──→ PC-D (nicht gesendet)

Broadcast: flutet alle Ports, immer
   PC-A ──→ [Switch] ──→ PC-B
                ├──→ PC-C
                └──→ PC-D … an alle im Netzwerk

Broadcasts sind ein notwendiger Teil des normalen Netzwerkbetriebs. Das Problem ist die Menge. In einem riesigen flachen Netzwerk ── eine ganze Etage als ein einziges Netz ohne innere Grenzen verkabelt ── erreichen die „ist Soundso da?“-Rufe von Hunderten Maschinen alle, pausenlos. Stell dir ein Klassenzimmer vor, in dem jeder gezwungen ist, dem Gemurmel aller anderen zuzuhören. Jede Maschine flüstert nur, aber Hunderte Flüsterstimmen ergeben echten Lärm.

3-3. Der Broadcast-Sturm ── der Klassiker hinter dem Totalausfall

Noch gefährlicher ist der Broadcast-Sturm. Werden Switches versehentlich zu einer Schleife verkabelt, kreist der An-alle-Verkehr im Ring und vervielfacht sich, bis das Netzwerk gesättigt ist. „Plötzlich ist firmenweit alles so langsam, dass kaum noch eine Verbindung zustande kommt“ ── dieses Worst-Case-Symptom hat einen klassischen Schuldigen, und das ist er.

3-4. Mini-Erklärung: Was ist eine Subnetzmaske?

Zeit, einen Begriff einzusammeln. Die Subnetzmaske ist der Wert, der markiert, wo innerhalb einer IP-Adresse die Grenze verläuft ── wie viel davon das Netzwerk benennt und wie viel die einzelne Maschine. Sie drückt exakt dasselbe aus wie die /24-Schreibweise (CIDR) aus unserem Artikel über IP-Adressen, nur anders notiert (255.255.255.0).

Und im Kontext dieses Kapitels bedeutet sie Folgendes: Ein Subnetz ist die Reichweite eines Broadcasts. Ein Netzwerk in Subnetze zu teilen heißt, „das Klassenzimmer in kleinere Räume zu unterteilen, damit das Gemurmel weniger weit trägt“. Genau deshalb ist die Unterteilung in Subnetze das Lehrbuch-Heilmittel gegen das Problem des lauten flachen Netzwerks.

4. Der Verkehr aller durch einen einzigen Tunnel ── VPN

4-1. Mini-Erklärung: Was ist ein VPN?

Ein VPN (Virtual Private Network) baut einen verschlüsselten Tunnel zwischen deinem PC zu Hause (oder unterwegs) und dem Firmennetzwerk und lässt deine Maschine so agieren, als wäre sie an eine Netzwerkdose im Büro angeschlossen. Seine Daseinsberechtigung ist doppelt: Niemand auf dem Weg (dein Provider, das öffentliche WLAN) kann hineinschauen, und du erreichst von außen Systeme, die nur intern zugänglich sind.

4-2. Der Umweg des Full Tunnel ── warum es „zu Hause langsamer ist als im Büro“

Was für die Langsamkeit zählt: Tunnel haben zwei Betriebsarten.

Full Tunnel: aller Verkehr läuft übers Büro
  Heim-PC ━━ VPN ━━→ Büro ──→ Internet ──→ Videoseite
         (verschlüsselt)  (belastet die Firmenleitung, hin und zurück)

Split Tunnel: nur Verkehr Richtung Büro nimmt den Tunnel
  Heim-PC ━━ VPN ━━→ Büro (nur interne Systeme)
      └─────────→ Internet ──→ Videoseite (direkt)

• Full Tunnel: Alles ── ob fürs Büro oder fürs Internet bestimmt ── wird erst zur Firma transportiert und tritt von dort aus. Bequem für die Sicherheitsverwaltung, aber selbst normales Surfen nimmt die physisch längere Route „Zuhause → Büro → Website → Büro → Zuhause“ (die ② Latenz steigt). Schlimmer noch: Das Surfen aller Homeoffice-Mitarbeitenden läuft auf der einen Internetleitung der Firma zusammen ── zu Stoßzeiten verstopft auch die ① Bandbreite
• Split Tunnel: Nur Verkehr zu internen Systemen geht in den Tunnel; der Rest verlässt das Haus direkt. Umweg und Zusammenfluss verschwinden ── im Gegenzug sieht die Firma den Verkehr weniger. Ein Kompromiss

„Wenn ich mich ins VPN einwähle, wird selbst normales Surfen langsamer, nicht nur die internen Systeme“ ── dieses Symptom ist mit an Sicherheit grenzender Wahrscheinlichkeit der Full-Tunnel-Umweg plus Zusammenfluss.

4-3. Die Verschlüsselung ── die Grundgebühr

Noch eines: Das VPN erhebt eine feste Gebühr namens Verschlüsselung und Kapselung (deine Daten werden für den Transport in einen verschlüsselten Umschlag versiegelt). Der Umschlag belegt Platz, den Nutzdaten hätten nutzen können, und Versiegeln und Öffnen kosten Rechenzeit. Normalerweise merkst du nichts davon ── aber wenn eine Menge Homeoffice-Mitarbeitender auf eine in die Jahre gekommene VPN-Box zuläuft, wird die Verarbeitungskapazität des Geräts selbst zum Flaschenhals. „Die Montagmorgen-Zähigkeit entpuppte sich als Stau vor der VPN-Box“ ── so endet diese Geschichte erstaunlich oft.

5. Wenn die Register volllaufen ── DHCP, NAT und Portnummern

Die bisherigen Verdächtigen waren alle vom Typ „irgendein Punkt auf der Route ist verstopft“. Die letzte Familie ist anders: Register, die volllaufen ── Langsamkeit, die entsteht, während jedes Gerät exakt so funktioniert wie vorgesehen.

5-1. Mini-Erklärung: Was ist DHCP?

DHCP ist der Mechanismus, der jedem Gerät, das dem Netzwerk beitritt, automatisch eine IP-Adresse leiht. Dass dein PC sofort kommunizieren kann, sobald er im WLAN ist, liegt daran, dass ihm hinter den Kulissen ein DHCP-Server sagt: „Das ist deine Adresse.“ Der Vorrat verleihbarer Adressen (der Pool) hat eine Obergrenze, und jede Leihgabe hat eine Frist (die Lease-Dauer).

Der Zusammenhang mit Langsamkeit ist simpel. Wenn sich private Handys, Besprechungsraum-Technik und IoT-Geräte ansammeln, trocknet der Pool aus ── und neu ankommende Geräte bekommen gar keine Adresse mehr. Das Symptom: Maschinen, die nicht ins Netzwerk kommen oder ewig dafür brauchen. Platz wäre da ── nur keine Adresse mehr zu vergeben.

5-2. Mini-Erklärung: Was ist NAT? Was ist eine Portnummer?

NAT ist der Mechanismus, der der ganzen Menge privater IPs im Büro erlaubt, sich eine (oder wenige) öffentliche IPs zu teilen, indem er zwischen beiden Welten übersetzt. In dieser Serie ist es schon zweimal aufgetaucht ── als „die Adresse drinnen vs. die Adresse nach außen“ im IP-Adressen-Artikel und als „Mauer 1″ im Firewall-Artikel. Hier konzentrieren wir uns auf den einen Punkt, der für die Langsamkeit zählt.

Dieser Punkt ruht auf den Portnummern (den nummerierten „Schaltern“, 0 bis 65535, die eine einzelne IP-Adresse weiter unterteilen). Ein NAT-Gerät hält in einem Register fest, „welches Gespräch welcher internen Maschine welchen Port nach außen benutzt“ ── dem Register aus IP+Port-Paaren (der NAT-Tabelle oder Session-Tabelle).

5-3. Was passiert, wenn das Register voll ist

Das Register des NAT-Geräts (konzeptionell)

 Internes Gespräch           Schalter nach außen
 192.168.1.23 : 51344   →   203.0.113.5 : 40001
 192.168.1.47 : 50122   →   203.0.113.5 : 40002
 192.168.1.88 : 49873   →   203.0.113.5 : 40003
 ...                         ...
 (Endlich. Wenn voll ↓ )
 Neues Gespräch ─────────→   kein Platz zum Eintragen: öffnet nicht / alte Zeilen gelöscht, Verbindung bricht

Moderne Arbeit bedeutet, dass ein einziger PC Dutzende bis Hunderte Gespräche gleichzeitig führt (ein einziger Tab einer Cloud-App steht für mehrere). Das Register wächst allein durch Mitarbeiterzahl × Cloud-Nutzung ── und wenn es voll ist, bekommt man „nur neue Verbindungen schlagen fehl“, „lang laufende Verbindungen brechen plötzlich ab“ und „allgemeine Instabilität“: eine Langsamkeit, die einem Defekt kein bisschen ähnlich sieht. Wenn die Probleme direkt nach einem Personalwachstum oder der Einführung eines Schwungs SaaS-Tools begannen, verdient diese Erschöpfungs-Familie einen ernsthaften Blick.

6. Die Diagnoseroutine des Praktikers ── wo man zuerst hinschaut

Zum Schluss falten wir die ganze Karte zu einer 5-Schritte-Prüfroutine zusammen. Bleib im Rahmen der Firmenregeln und deiner eigenen Befugnisse ── fremde Maschinen oder Server anderer Firmen abzuklopfen ist strikt tabu.

1. 1Den Umfang eingrenzenNur du? Ein Team? Die ganze Firma? Der Umfang ist deine Verdächtigenliste (nur du → dein Gerät oder dein WLAN; ein Team → §3; die ganze Firma → §2, §4, §5).
2. 2ping für Latenz und VerlustGegen ein internes Gerät und gegen einen externen Host. Hin- und Rücklaufzeit (②) und Ausfälle (③) werden hier zu Zahlen.
3. 3Prüfen, ob nur die Namensauflösung langsam istWenn nslookup Sekunden bis zur Antwort braucht ── oder nur der erste Versuch fehlschlägt ── ist §2 der Hauptverdächtige.
4. 4Routen vergleichenSchneller mit ausgeschaltetem VPN? Per Kabel behoben? Die Route, die du entfernt hast (§4, WLAN), ist dein Schuldiger.
5. 5Mit der Tageszeit korrelierenReproduzierbar am Morgen oder mittags → Bandbreite oder Erschöpfung (§5). „Zu jeder Zeit langsam“ → Route oder Konfiguration.

Die Schritte 2 und 3 brauchen je genau eine Zeile.

ping -c 10 192.168.1.1    # zum internen Gateway: Hin- und Rücklaufzeit und loss% beobachten

nslookup example.com      # wie schnell (und ob) die Namensauflösung selbst funktioniert

Zusammenfassung ── das Wesentliche in 4 Zeilen

1. Zerlege „langsam“ in Bandbreite (Breite), Latenz (Hin und zurück) und Verlust (verlorene Daten), und die Symptome beginnen, auf die schuldige Schicht zu zeigen
2. „Nur der erste Moment ist langsam“ → DNS. „Ein Bereich ist komplett lahmgelegt“ → Broadcasts (eine Schleife). „Im VPN wird alles langsamer“ → der Full-Tunnel-Umweg. Symptome und Verdächtige lassen sich verlässlich paaren
3. DHCP-Pools und NAT-Register laufen voll. Ohne einen einzigen Defekt wird ein Netzwerk langsamer, nur weil Belegschaft und Cloud-Nutzung wachsen
4. Die Diagnose folgt Umfang → ping → Namensauflösung → Route → Tageszeit. Notizen von einem gesunden Tag sind die beste Vorbereitung, die es gibt

Das Adresssystem wohnt in Was ist eine IP-Adresse?, die Namensauflösung in Was ist DNS?, und die Abwehr eingehenden Verkehrs in Was passiert ohne Firewall?. Zusammen mit diesem Artikel fügt sich das Gesamtbild des „Firmennetzwerks“ zu einer einzigen Karte.

Häufige Fragen

F1. Machen zusätzliche WLAN-Access-Points alles schneller?

A. Nur wenn die Ursache schwaches oder überlastetes WLAN ist. Auf der Karte dieses Artikels betrifft Funk ① Bandbreite und ③ Verlust. Lautet das Symptom „der erste Moment ist langsam“ (§2) oder „nur im VPN langsam“ (§4), ändert keine Menge an Access Points irgendetwas. Bestimme erst mit der Diagnose aus §6 die Schicht, bevor das Geld ausgegeben wird.

F2. Warum fühlt sich alles langsam an, obwohl der Speedtest schnell ist?

A. Ein Speedtest misst vor allem ① Bandbreite ── und das auch noch gegen den nächstgelegenen, bestplatzierten Server. ② Latenz, ③ Verlust, DNS-Wartezeiten und VPN-Umwege hinterlassen in seinen Zahlen kaum Spuren. Der Arbeitsalltag wird von „kleinen Nachrichten mit Dutzenden Hin- und Rückwegen“ dominiert ── Latenz und Namensauflösung prägen das Netzgefühl weit stärker als die Bandbreite.

F3. Sollte das VPN dauerhaft eingeschaltet bleiben?

A. Die Firmenrichtlinie geht vor. Strukturell betrachtet bedeutet ein dauerhaft aktiver Full Tunnel „aller Verkehr macht immer den Umweg übers Büro“ ── ein permanenter Langsamkeits-Aufschlag (§4). Andererseits sind die Sicherheits- und Verwaltungsvorteile real ── es ist ein echter Zielkonflikt zwischen Tempo und Kontrolle. Wenn der Schmerz groß ist, ist die konstruktive Frage ans Netzwerkteam, ob Split Tunneling eine Option wäre.

F4. Passiert so etwas auch im Heimnetzwerk?

A. In verkleinerter Form, ja. Auch dein Heimrouter führt ein NAT-Register (§5), und mit ein paar Dutzend Geräten kann es sich erschöpfen. Dasselbe gilt für den DHCP-Pool. Das Broadcast-Problem aus §3 dagegen tritt bei der Gerätezahl eines Haushalts so gut wie nie zutage. Wenn „nur Videocalls stocken, selbst zu Hause“, ist der kurze Weg, den ③ Verlust zu verdächtigen ── sprich: die WLAN-Qualität.

F5. Was ist der erste Monitoring-Baustein, der sich lohnt?

A. Vor jedem ernsthaften Werkzeug: Tu, was der Tipp in §6 sagt, und bewahre die Ausgabe von ping und nslookup eines gesunden Tages auf. Es kostet nichts und kauft dir das Wertvollste während einer Störung ── den Unterschied zum Normalzustand. Als nächster Schritt genügt schon ein trivialer Aufbau, der das Gateway in regelmäßigen Abständen anpingt und die Ergebnisse protokolliert, völlig, um die Tageszeit-Korrelation festzustellen (§5, die Bandbreiten-Familie).