Ich würde sagen mit potentiell unsicheren IoT-Geräten sind z.B.: Haushaltsgeräte, die Toni-Box der Kinder usw. gemeint, die in aller Regel eh nur über die Cloud kommunizieren.

Eine Sicherheitslücke in der Waschmaschine und der Angreifer nimmt den Weg WaMa—> lokales Netzwerk —> KNX-Bus (oder was anderes witziges). Intern ist ja dann oft alles offen.

Klar, wenn das ein oder andere Gerät Zugriff aufs lokale Netz braucht, muss man dafür dann eh Ausnahmen definieren.

Grundsätzlich würd ich - bei der Masse an IoT-Geräten die wir schon haben - diese vorerst generell maximal einschränken.

Wenn du Passwörter setzt und die Geräte aktuell hälst ist das Risiko eigentlich gering.
Grundsätzlich würde ich da ansetzen ob die Geräte nur Internet brauchen oder Internet und gleichzeitig auch mit anderen Geräten im Netzwerk sprechen können müssen. Oder nur Netzwerkintern sind.

Der Thermomix kann sich afaik zB nur in die Cloud verbinden und sonst nix. Für sowas kann ich natürlich schonmal ein Netz aufbauen was ihn auf alles anderes bis aufs Internet beschränkt.
Bei irgendwelchem smarten Steckdosen Adaptern oder sonstigen Funk Kram ist es eventuell nötig dass die App vom Smartphone auch direkt mit diesen Geräten sprechen muss. Ich weiß nicht ob da jeder die Muse hat herauszufinden was man da an Verkehr nun weiterleiten muss damit es auch Netzwerkübergreifend klappt...

Ein Synology kann je nachdem wie man es verwendet auch erfordern dass es weitere Geräte im Netzwerk sieht wie zB den Wechselrichter weil man auf dem NAS ne VM laufen hat die irgendwelches Smarthomezeugs macht, oder halt nicht wenn man es wirklich nur als simpler SMB Server sieht...

Also was empfehlenswert ist ist dann wohl bei jedem anders und lässt sich nicht so einfach beurteilen allgemeingültig.

Bei meinen Windows Rechnern ist "mein" Netzwerk auch auf untrusted/public gestellt. Netzwerkerkennung benötige ich ebenfalls nicht...

Ein AppleTV oder eine Synology NAS sind beides Geräte, welche ständig Sicherheitsupdates erhalten, genauso wie ein iPad oder Smartphone. Ebenso sind die Hersteller bekannt und vertrauenswürdig.

Gänzlich anders sieht es bspw. bei unseren Internetradios von Grundig oder Medion aus (die die selbe Nutzeroberfläche haben). Da gibt es 0 Updates, die Hersteller sind nicht vertrauenswürdig. Oder unser Samsung TV, auch da will ich vieles sperren und auch viel härter sperren,zwecks Tracking und Werbung, als bei den Geräten im vertrauenswürdigen LAN. Vielleicht auch einfach mittels Geoblocking. Und an solchen Geräten kann man diesbezüglich gar nichts einstellen.

Dein Vorgehen ist sicherlich für jeden Empfehlenswert. Das hält sich vom Aufwand her in Grenzen und 80% der Geräte werden im "nur Internet Netz" landen.
WaMa, Geschirrspüler, die Gadgets der Kinder, Alexas usw. usf...

Für den Laien mag diese Denkweise üblich sein. Mich aber auf die Einstellungen von nicht vertrauenswürdigen Geräten zu verlassen, löst das Problem nicht.
Eine saubere Segmentierung ist da wesentlich sicherer.

Absolut sinnvoll in meinen Augen! Erstmal blocken und warten bis einer schreit. In dem Fall war ich es selber, da die Tageschau APP im Wlan keine Inhalte geladen hat.
Ich bin davon ausgegangen die Server stehen in DE, oder in Ländern die ich nicht in der Blocklist hatte.
Falsch gedacht!
Hat ca. 4 Wochen gedauert bis ich dadrauf gekommen bin!