Ihr Konzept für Netzwerksegmentierung: Schutzschild oder Schweizer Käse?

Früher war ein lokales IP-Netzwerk klar geregelt. Es gab fest definierte Grenzen, einzelne Arbeitsplätze und überschaubare Risiken: Dem eigenen lokalen Netz schenkte man Vertrauen, aber außerhalb dieses Bereichs lauerte die Gefahr. Heute braucht’s neue Konzepte.

Heute müssen Sie mit hybriden Strukturen, Cloud-Diensten und externen Verbindungen jonglieren – und jeder offene Port kann zum Einfallstor werden. Aber auch im Inneren kann ein kompromittiertes Gerät oder ein unsicherer VPN zu einem Problem werden. Netzwerke stehen unter Dauerbeschuss.

Damit Ihre IT-Infrastruktur dabei nicht wie ein Emmentaler durchlöchert wird, benötigen Sie ein ausgereiftes Konzept.

Die IT-Sicherheit muss immer funktionieren, denn ein Angreifer braucht nur einmal Glück haben. Cyberkriminelle sind daher permanent auf der Lauer, um Schwachstellen ausfindig zu machen.

Ihr Ziel ist es, Zugang zu einem Netzwerk zu erhalten, um durch Netzwerklöcher zu schlüpfen und an die lohnendsten Informationen zu gelangen.

Sobald Angreifer Zugriff haben, bewegen sie sich durch das Netzwerk, um Rechte zu erweitern und schließlich ihr Ziel zu erreichen.

Selten ist der Eintrittspunkt auch gleichzeitig das erklärte Ziel. Stichwort: laterale Bewegungen. Netzwerke, die nicht segmentiert sind, bieten die Möglichkeit, dass Angreifer freien Zugang innerhalb der gesamten virtuellen Unternehmensstruktur bekommen.

In traditionellen Netzwerken (im Englischen spricht man auch von „flat network“, zu Deutsch flaches Netzwerk) können alle Geräte miteinander kommunizieren. Dahinter steckt eine Architektur, in der alle Geräte ohne Umweg über andere Hardware miteinander verbunden sind. Zu allem Überfluss sind in solchen flachen Netzen Firewalls an den Endgeräten oft deaktiviert. Der Bequemlichkeit wegen.

In der Regel konzentrieren sich die Sicherheitsmaßnahmen dabei auf die Unterscheidung zwischen internen und externen Netzwerken.

Dieser traditionelle Ansatz reicht heute nicht mehr aus. Der Aufbau herkömmlicher Netze hat in der Vergangenheit zu gravierenden Vorfällen geführt. Prominentes Beispiel: Der WannaCry-Ransomware-Angriff aus dem Jahr 2017, der eine schwere Sicherheitslücke im Server Message Block (SMBv1) namens EternalBlue ausnutzte.

Laut Wikipedia „[erfolgte] die Infektion eines Computers […] durch andere bereits befallene Rechner: Ohne weiteres Zutun des Nutzers sucht WannaCry aufgrund seiner Wurm-Eigenschaft im lokalen Netzwerk nach weiteren ungeschützten Rechnern, infiziert diese und sendet zahlreiche IP-Anfragen ins Internet, um auch darüber nicht geschützte Rechner zu infizieren.“

Abgesehen von solchen Lücken besteht die größte Schwäche eines traditionellen Netzwerks darin, dass Cyberkriminelle, sobald sie die Struktur erfolgreich kompromittiert haben, sich seitlich von einem System zum anderen bewegen können, weil es keine weiteren Kontrollen gibt, um die Auswirkungen zu verhindern. Neben Datenschutz ist auch Compliance ein Thema.

Zero Trust geht nicht nur davon aus, dass ein Netzwerk permanent unter Dauerbeschuss steht. Der Ansatz folgt dem Gedanken, dass ein Netzwerk bereits erfolgreich geknackt wurde. Es geht also gar nicht um die Frage, ob Ihre IT-Infrastruktur angegriffen wird, sondern wie oft und wie intensiv. Je schwieriger Sie es Cyberkriminellen machen, desto besser ist es für Ihr Unternehmen.

Netzwerksegmentierung ist ein wichtiger Eckpfeiler einer sicheren IT-Struktur. Sie berücksichtigt, dass Cyberangriffe nicht verhindert, aber erfolgreiche Versuche isoliert werden können. Gezielte Barrieren statt freie Fahrt!

Die graue Theorie der Netzwerksegmentierung

Netzwerksegmentierung teilt ein Netzwerk in kleinere Bereiche auf. Diese sind deutlich einfacher verwaltbar, die Sicherheit ist besser zu gewährleisten, und kleinere Segmente sind obendrein sogar performanter.

Ohne Segmentierung (insbesondere Mikrosegmentierung) lässt sich Zero Trust im Netzwerkbereich nicht realisieren. Mit einer Mikrosegmentierung weisen Sie Servern, Anwendungen oder Workloads eigene, fein abgestimmte Segmente und Richtlinien zu. Dadurch haben Sie die Möglichkeit, jede Verbindung zu einer Ressource zu prüfen und nur erlaubten Traffic zuzulassen.

Netzwerksegmentierung in der Praxis

Der einfachste Use Case für segmentierte Netzwerke ist das Gäste-WLAN: Mithilfe der Netzwerksegmentierung stellen Sie Besuchern, Kundinnen und allen anderen Dritten einen WLAN-Zugang mit relativ geringem Risiko bereit.

Melden sich Gäste an, gelangen sie in ein Segment, das ausschließlich Zugang zum Internet bietet (Port 80 bzw. 443 für HTTPS oder Port 53 für DNS). Drucker, NAS und selbst andere Netzwerkteilnehmer sind aus diesem Segment heraus nicht erreichbar. Diese Ports sind alle dicht!

Firewalls kümmern sich um die Umsetzung dieser Regeln. Sie entscheiden anhand von IP-, Port- und Protokollfiltern, wer mit wem kommunizieren darf. Damit bilden sie die Grenzen zwischen Segmenten und verhindern, dass Daten unkontrolliert fließen.

Nehmen wir ein Unternehmen im E-Commerce. Hat ein Hacker einen nicht segmentierten Webserver geknackt, erhält er auch gleichzeitig Zugriff auf Kundendatenbank, Zahlungssystem oder interne E-Mails, wenn sie im gleichen Netzwerksegment eingebunden sind.

Mit einer Mikrosegmentierung ist das nicht möglich. Der Webserver erhält nur Zugriff auf die Produktdatenbank, das Zahlungssystem ist gänzlich isoliert und tauscht nur mit der Buchhaltung Daten aus, und der E-Mail-Server hat keine Verbindung zur Datenbank der Personalabteilung.

Bei ordnungsgemäßer Implementierung und Verwaltung schränkt ein segmentiertes Netzwerk laterale Bewegung deutlich ein.

Schritt für Schritt: Ein erstes Konzept für die Netzwerksegmentierung

Sie müssen nicht von Anfang an eine vollständige Zero-Trust-Architektur umsetzen. Wenn Sie jetzt eine saubere Netzwerksegmentierung mit strikten Regeln aufbauen, legen Sie den perfekten Grundstein dafür. Sie machen sie sicherer und schaffen eine moderne Struktur, die bereit für die Zukunft ist.

Starten Sie mit vier wesentlichen Schritten.

1. Bestandsaufnahme und Risikoanalyse

Dokumentieren Sie alle Geräte, Server und Anwendungen in Ihrem Netzwerk. Finden Sie heraus, welche Systeme für Ihr Unternehmen besonders wichtig sind. Das sind zum Beispiel Server mit Kundendaten oder Finanzinformationen. Diese Analyse ist die Basis für alle weiteren Schritte. Tipp: Damit Sie es sich an der Stelle einfacher machen, gehen Sie vom Server aus. Fragen Sie sich: Mit wem muss der Server kommunizieren können? Damit kommen Sie zügiger ans Ziel, anstatt sämtliche Clients zu durchleuchten.

2. Definieren Sie Ihre Segmente nach Geschäftsfunktionen

Verwaltung, Produktion, Gäste, Backend und Server: Starten Sie mit einer einfachen Vier-Segment-Struktur: Damit decken Sie bereits einen Großteil ab, um Ihre Infrastruktur sinnvoll aufzuteilen.

3. Implementierung von VLANS

Virtual Local Area Networks trennen den Netzwerkverkehr logisch über die vorhandene Hardware. Eine VLAN-Segmentierung ist in der Regel daher die kostengünstigste Lösung. Jedes Segment hat ein eigenes IP-Netz.

4. Firewall-Regeln zwischen Segmenten

Definieren Sie explizit, welche Kommunikation zwischen Segmenten erlaubt ist. Der Standard in der Zielarchitektur ist: Alles verbieten, nur notwendige Verbindungen freigeben!

Ein erfahrener Managed Service Provider entwickelt Ihnen ein Konzept für eine Netzwerksegmentierung, ohne dass Sie interne Ressourcen aufbringen. Denn: Segmentierung ist ein Prozess, der immer weitergeht. Es ist ein Werkzeug für Sicherheit, dass Sie immer wieder verwenden dürfen und keine einmalige Sache.

Als Managed Service Provider übernehmen wir die technische Umsetzung mit Firewalls, Routing und Richtlinien. Darüber hinaus begleiten wir Sie auch nach der Umsetzung. Wir kümmern uns um ein lückenloses Monitoring und eine fortlaufende Optimierung im Anschluss an die initiale Segmentierung.

Sie behalten stets die Kontrolle und gewinnen Zeit und Sicherheit durch einen verlässlichen Partner, der Ihre Netzwerkstruktur stabil und aktuell hält.

Sie konzentrieren sich aufs Geschäft, während der Managed Service Provider Ihre IT absichert. Proaktiv und kostentransparent. Für eine solide Netzwerkstruktur – ganz ohne dicke Löcher.