February 14, 2026

Schicht 4: Was sind Port 80, 443, 22? Zu welcher OSI-Schicht gehören sie?

Die Begriffe Port 80, Port 443 und Port 22 tauchen in der IT ständig auf – beim Surfen im Web, beim Einrichten von Firewalls oder beim Remote-Zugriff auf Server. Für Einsteiger wirkt es oft so, als wären diese Zahlen „magische Codes“, die direkt zu einer Anwendung gehören. Tatsächlich sind Portnummern ein grundlegendes Konzept der OSI Schicht 4 (Transport Layer): Sie helfen dabei, Datenpakete auf einem Zielgerät dem richtigen Dienst oder Prozess zuzuordnen. Gleichzeitig ist die Zuordnung „Port 80 = HTTP“ oder „Port 443 = HTTPS“ in der Praxis nur eine Konvention – üblich, aber nicht zwingend. Und Port 22 wird fast immer mit SSH verbunden, obwohl auch andere Dienste technisch diesen Port verwenden könnten. In diesem Artikel erfahren Sie verständlich, was Portnummern sind, wie sie mit TCP und UDP zusammenhängen, warum genau 80, 443 und 22 so bekannt sind, und vor allem: Zu welcher OSI-Schicht gehören Ports wirklich? Sie bekommen außerdem praktische Beispiele, wie Ports in Browser, Server und Firewall-Regeln „zusammenspielen“, und lernen typische Missverständnisse zu vermeiden.

Was ist ein „Port“ im Netzwerk überhaupt?

Ein Port ist eine logische Endpunkt-Nummer, die zusammen mit einer IP-Adresse eine Verbindung eindeutig einem Dienst zuordnet. Stellen Sie sich die IP-Adresse als „Adresse eines Gebäudes“ vor und den Port als „Türnummer“ innerhalb dieses Gebäudes. Das Gebäude kann viele Türen haben – und hinter jeder Tür kann ein anderer Dienst laufen, etwa ein Webserver, ein Mailserver oder ein Remote-Login.

Technisch wird die Portnummer im Header des Transportprotokolls übertragen – also im TCP- oder UDP-Header. Ports existieren damit nicht „irgendwo im Kabel“ (Schicht 1) und auch nicht als Teil der IP-Adressierung (Schicht 3), sondern als Mechanismus der Transport Layer.

  • IP-Adresse (Schicht 3): Welches Gerät oder Interface ist gemeint?
  • Port (Schicht 4): Welche Anwendung oder welcher Dienst auf diesem Gerät ist gemeint?

Zu welcher OSI-Schicht gehören Port 80, 443 und 22?

Die kurze, korrekte Antwort lautet: Portnummern gehören zur OSI Schicht 4. Sie sind Teil von TCP und UDP und dienen der Zuordnung von Daten zu einem bestimmten Socket bzw. Prozess.

Die wichtige Ergänzung: Die Dienste, die man umgangssprachlich mit diesen Ports verbindet, liegen typischerweise auf höheren Schichten:

  • HTTP (typisch Port 80) ist ein Anwendungsprotokoll und damit eher OSI Schicht 7.
  • HTTPS (typisch Port 443) ist HTTP über TLS: HTTP ist Schicht 7, TLS wird häufig zwischen Schicht 5–7 eingeordnet (je nach Modell), praktisch ist es „Anwendungsnähe“.
  • SSH (typisch Port 22) ist ebenfalls ein Anwendungsprotokoll (Schicht 7), das über TCP transportiert wird.

Merksatz: Die Zahl (Port) ist Schicht 4 – der Dienst dahinter ist Schicht 7.

TCP und UDP: Warum Ports ohne Transportprotokoll nicht funktionieren

Ports werden immer in Verbindung mit einem Transportprotokoll verwendet. Das ist entscheidend, weil TCP und UDP getrennte Porträume haben. TCP-Port 443 ist daher nicht dasselbe wie UDP-Port 443, auch wenn die Nummer identisch ist.

  • TCP (Transmission Control Protocol): verbindungsorientiert, zuverlässig, geordnet
  • UDP (User Datagram Protocol): verbindungslos, leichtgewichtig, ohne Zustellgarantie

Wenn eine Firewall-Regel „Port 443 erlauben“ sagt, ist damit häufig ungenau formuliert, was tatsächlich gemeint ist. Präziser wäre: „TCP/443 erlauben“ oder „UDP/443 erlauben“ – je nachdem, welcher Verkehr benötigt wird.

Vertiefung: TCP (RFC 793) und UDP (RFC 768) sind die grundlegenden Referenzen.

Warum gibt es genau 65.536 Ports?

Portnummern sind 16 Bit groß. Dadurch ergeben sich 216 mögliche Werte (0 bis 65535). Das lässt sich sauber als MathML ausdrücken:

2 16 = 65536

In der Praxis wird Port 0 normalerweise nicht als regulärer Dienstport genutzt, aber er ist Teil des Zahlenraums. Entscheidend ist: Der Portraum ist groß genug, damit Clients viele parallele Verbindungen aufbauen können, ohne dass Quellports sofort „ausgehen“.

Portbereiche: Well-known, Registered und Ephemeral

Portnummern sind nicht zufällig verteilt, sondern grob in Bereiche eingeteilt. Diese Einteilung hilft, typische Serverports von dynamischen Clientports zu unterscheiden:

  • Well-known Ports (0–1023): historisch für standardisierte Dienste reserviert (z. B. 80, 443, 22)
  • Registered Ports (1024–49151): häufig für bestimmte Anwendungen registriert
  • Dynamische/Ephemeral Ports (49152–65535): oft als temporäre Quellports von Clients genutzt

Die offiziellen Zuordnungen verwaltet die IANA. Die Liste finden Sie in der IANA-Registry für Service Names und Port Numbers.

Port 80: Wofür er steht und was wirklich darüber läuft

Port 80 ist der klassische Standardport für HTTP (Hypertext Transfer Protocol). Wenn Sie im Browser eine Adresse mit „http://“ aufrufen, wird – sofern nicht anders angegeben – typischerweise TCP-Port 80 verwendet. Auch viele interne Weboberflächen (etwa von Geräten oder Diensten im LAN) laufen auf 80, wenn keine Verschlüsselung eingesetzt wird.

  • Typisches Protokoll: HTTP
  • Transport: TCP
  • OSI-Einordnung: Port (Schicht 4), HTTP (Schicht 7)

Wichtig für die Praxis: HTTP ist unverschlüsselt. Inhalte können auf dem Weg – abhängig vom Netz – mitgelesen oder verändert werden. Deshalb wird HTTP im öffentlichen Internet zunehmend durch HTTPS ersetzt. Als Standardreferenz gilt HTTP Semantics (RFC 9110) sowie verwandte HTTP-RFCs.

Port 443: HTTPS, TLS und warum 443 nicht „nur Web“ ist

Port 443 ist der Standardport für HTTPS. HTTPS ist im Kern HTTP über TLS. Das bedeutet: Die Anwendung spricht HTTP, aber bevor die HTTP-Daten übertragen werden, wird ein verschlüsselter Kanal aufgebaut. Dadurch sind Inhalte und oft auch Metadaten besser geschützt.

  • Typisches Protokoll: HTTPS (HTTP über TLS)
  • Transport: häufig TCP, in modernen Szenarien auch UDP (z. B. QUIC/HTTP/3)
  • OSI-Einordnung: Port (Schicht 4), TLS/HTTP (Schicht 6–7 je nach Betrachtung)

Ein häufiger Irrtum: „443 ist immer TCP.“ Das war lange Zeit praktisch richtig, ist heute aber nicht mehr universell. Moderne Browser und Plattformen nutzen zunehmend HTTP/3 über QUIC, und QUIC läuft über UDP – häufig auf UDP/443. Deshalb kann ein Netzwerk, das UDP/443 blockiert, zwar oft noch „irgendwie“ funktionieren (Fallback auf TCP), aber es kann zu schlechterer Performance oder längeren Verbindungsaufbauten kommen.

Wenn Sie TLS vertiefen möchten: Eine grundlegende Referenz ist TLS 1.3 (RFC 8446). Für QUIC ist QUIC (RFC 9000) eine sinnvolle Quelle.

Port 22: SSH als Standard für sicheren Remote-Zugriff

Port 22 ist der Standardport für SSH (Secure Shell). SSH wird genutzt, um sich sicher auf Servern anzumelden, Befehle auszuführen und Dateien zu übertragen (z. B. via SCP oder SFTP). In der Praxis ist SSH für Administration in Linux/Unix-Umgebungen besonders wichtig, aber auch Netzwerkgeräte und Appliances bieten häufig SSH-Zugriff.

  • Typisches Protokoll: SSH
  • Transport: TCP
  • OSI-Einordnung: Port (Schicht 4), SSH (Schicht 7)

Aus Sicherheitsgründen wird SSH in vielen Umgebungen nicht direkt aus dem Internet erreichbar gemacht, sondern über VPN, Bastion Hosts oder Zero-Trust-Zugänge abgesichert. Hintergrundinfos bietet z. B. Secure Shell (SSH).

Warum sind Portnummern „nur Konvention“?

Die Zuordnung „HTTP = 80“, „HTTPS = 443“, „SSH = 22“ ist standardisiert und extrem verbreitet. Technisch zwingend ist sie aber nicht. Ein Webserver kann auch auf Port 8080 laufen, und SSH könnte auf Port 2222 betrieben werden. Der Port ist damit nicht „die Anwendung“, sondern nur ein vereinbarter Ankerpunkt, unter dem ein Dienst typischerweise erreichbar ist.

Das führt zu einem wichtigen Punkt im Troubleshooting: Wenn etwas auf Port 443 läuft, ist es nicht automatisch „ein Browser“. Es kann auch eine API, ein Proxy, ein Monitoring-Endpunkt oder ein beliebiger anderer TLS-basierter Dienst sein. Umgekehrt kann HTTP auch auf 8080 oder 8000 liegen, ohne dass sich am Protokoll etwas ändert.

Socket-Tuple: Was eine Verbindung wirklich eindeutig macht

Oft wird gesagt: „Eine Verbindung geht von Port X zu Port Y.“ In der Realität ist eine Verbindung durch eine Kombination mehrerer Werte eindeutig, typischerweise:

  • Quell-IP
  • Quell-Port
  • Ziel-IP
  • Ziel-Port
  • Transportprotokoll (TCP oder UDP)

Diese Kombination erklärt, warum ein Client gleichzeitig viele Verbindungen zu TCP/443 aufbauen kann: Er verwendet dafür unterschiedliche Ephemeral Ports als Quellports.

Was bedeutet „Port offen“, „Port geschlossen“ und „Port gefiltert“?

Im Alltag (vor allem bei Firewalls) hört man häufig diese Begriffe. Sie beschreiben jedoch nicht dasselbe:

  • Port offen: Ein Dienst lauscht auf diesem Port und nimmt Verbindungen an.
  • Port geschlossen: Kein Dienst lauscht; Verbindungsversuche werden abgelehnt (oft mit einer klaren Antwort).
  • Port gefiltert: Ein Filter (Firewall/ACL) blockiert Verkehr, häufig ohne klare Rückmeldung.

Für Einsteiger ist das entscheidend, weil die Symptome unterschiedlich sind: „Abgelehnt“ deutet oft auf einen erreichbaren Host ohne passenden Dienst hin, „Timeout“ deutet häufig auf Blockaden oder fehlende Pfade hin.

OSI-Einordnung im Alltag: Warum die Frage nach der Schicht so wichtig ist

Die Frage „Zu welcher OSI-Schicht gehört Port 443?“ wird oft gestellt, weil Ports in Gesprächen über Web, TLS, Zertifikate und Firewalls auftauchen. Eine saubere Einordnung verhindert Missverständnisse:

  • Schicht 3 (IP): Erreiche ich den Host überhaupt? Routing, Gateway, Subnetting
  • Schicht 4 (Ports): Erreiche ich den richtigen Dienst? TCP/UDP, Port-Regeln, NAT
  • Schicht 7 (Protokoll): Spricht der Dienst das erwartete Protokoll? HTTP-Statuscodes, SSH-Handshake, Applikationsfehler

Beispiel: Wenn eine Webseite nicht lädt, kann das an fehlendem Routing (Schicht 3), blockiertem TCP/443 (Schicht 4) oder einem Zertifikatsproblem (Anwendung/TLS, höhere Schichten) liegen. Ports sind dabei „nur“ der Layer-4-Teil des Gesamtbilds.

Typische Beispiele: Was passiert beim Aufruf einer Website über 443?

Ein vereinfachter Ablauf hilft, Port und OSI-Schicht intuitiv zu verstehen:

  • DNS-Auflösung: Domainname wird in eine IP-Adresse übersetzt (Anwendungsebene, oft UDP/TCP auf anderen Ports).
  • TCP-Verbindung zu Ziel-IP:443: Client baut eine Verbindung zu TCP/443 auf (Schicht 4).
  • TLS-Handshake: Verschlüsselung wird ausgehandelt (höhere Schichten, nahe an der Anwendung).
  • HTTP-Request/Response: Browser spricht HTTP innerhalb des verschlüsselten Kanals (Schicht 7).

Die Portnummer 443 ist in diesem Ablauf nur der „Einstiegspunkt“ des Transportkanals. Der eigentliche Inhalt (HTTP) wird darüber erst transportiert.

Firewall-Regeln für Einsteiger: Warum Protokoll + Port zusammengehören

In Firewall-Regeln reicht es nicht, nur eine Portnummer zu kennen. Sie müssen fast immer festlegen:

  • Richtung: Inbound oder Outbound
  • Transportprotokoll: TCP oder UDP
  • Port: Zielport und ggf. Quellport (meist dynamisch beim Client)
  • Quelle/Ziel: IP-Bereiche oder Zonen

Praktisch bedeutet das: „Web erlauben“ heißt häufig „TCP/443 outbound erlauben“ (und ggf. UDP/443, wenn moderne Webprotokolle unterstützt werden sollen). „SSH erlauben“ heißt häufig „TCP/22 nur aus Admin-Netzen oder via VPN zulassen“.

Missverständnisse rund um 80, 443 und 22

  • „Port 443 ist HTTPS, also ist alles sicher“: Nicht automatisch. Sicherheit hängt auch von TLS-Version, Zertifikaten und Serverkonfiguration ab.
  • „Wenn 80 offen ist, ist das Internet da“: Ein offener Port sagt nichts über Routing oder DNS aus; er zeigt nur, dass ein Dienst erreichbar sein kann.
  • „Ports sind OSI Schicht 7“: Falsch. Portnummern sind Transport Layer (Schicht 4). Dienste sind höher.
  • „UDP ist immer unsicher“: UDP ist nicht „unsicher“, sondern verbindungslos. Sicherheit kann darüber trotzdem realisiert werden (z. B. QUIC mit Verschlüsselung).

Outbound-Links für vertiefendes Verständnis

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Change-Validation-Checkliste pro OSI-Schicht nach dem Deploy

Canary & Rollback: OSI-basierte Ops-Taktiken zur Impact-Reduktion

Incident „Teilweise Site Down“: OSI-Checkliste für Multi-Site-Netzwerke

Intermittierende Incidents: Beweise pro OSI-Schicht systematisch sammeln

Maintenance Window: Kommunikationsplan für Stakeholder pro Schicht

OSI fürs Escalation: Welche Daten beim Handover an L3/L4-Teams Pflicht sind

OSI-Modell für Config-Audits: Drift Detection von L1 bis L7

Blast Radius eines Incidents bewerten – aus OSI-Schichten-Perspektive

Strategisches Packet Capture: Wo capturen, um RCA zu beschleunigen

NOC-Dokumentationspraxis: L2/L3-Diagramme, die wirklich genutzt werden

SPAN vs. ERSPAN: Best Practices für Produktion und Oversubscription-Risiken

MTTR benchmarken: L1- vs. L7-Incidents mit historischen Daten vergleichen