IT-Sicherheit

Netzwerksegmentierung

IT-Sicherheitskonzept für Unternehmen

netzwerksegmentierung
Netzwerksegmentierung: Denn wenn alles vernetzt ist, steigt das Risko für Sicherheitsvorfälle.

Firewall, Antivirus, regelmäßige Updates: Mit diesen Schutzmaßnahmen wähnen viele Firmen ihr Netzwerk in Sicherheit. Doch zu einem grundlegenden IT-Sicherheitskonzept zählt auch die sogenannte Netzwerksegmentierung.

Was es damit auf sich hat und warum es sinnvoll ist, das Firmennetz in bestimmte Bereiche zu unterteilen, lesen Sie hier.

netzwerksegmentierung

Frank Graziani, Bereichsleiter bei Thinking Objects empfiehlt Netzwerksegmentierung.

Netzwerksegmentierung – was ist das?

Netzwerksegmentierung beschreibt in der IT den Vorgang, das Unternehmensnetz in einzelne Bereiche zu unterteilen, die nicht oder nur noch bedingt miteinander vernetzt sind. Die Unterteilung des IT-Systems in Netzwerksegmente trägt dazu bei, eine höhere IT-Sicherheit zu gewährleisten.

Als Beispiele nennt Frank Graziani, Bereichsleiter des Systemhauses Thinking Objects die Segmentierung nach Abteilungen wie Produktion, Personalabteilung, Buchhaltung. „Es gibt keinen Grund, warum der PC eines Buchhalters auf eine Produktionsanlage zugreifen kann“, verdeutlicht er im Gespräch mit dem IT-SERVICE.NETWORK.

Alte Rechner sicher im Einsatz

Graziani sieht beispielsweise eine über einen alten Windows-XP-Rechner gesteuerte Produktionsanlage als unproblematisch an – solange der Rechner seine Arbeit vom restlichen Netzwerk getrennt verrichtet. Viele Unternehmen haben sich Produktionsanlagen schließlich für die Nutzung von zehn bis 20 Jahre gekauft.

Wenn die Betriebssoftware nach Ablauf einiger Jahre vielleicht keine Updates mehr erhält, die Maschine als solche aber noch voll funktionsfähig ist, muss sie nicht notwendigerweise  ausgetauscht werden. Es reicht die Verbindung zum Netzwerk zu kappen. „Ich muss den betreffenden Rechner einfach nur wegsperren“, beschreibt Graziani das Vorgehen bildlich. „Mittels einer Netzwerksegmentierung ist das ohne weiteres möglich.“

Nachhilfe beim Netzwerkschutz

Im Global Threat Intelligence Report 2015 untersuchte die NTT Group, ein weltweit agierender Provider von Telekommunikationsservices, Sicherheitsvorfälle und deren Ausgangslage. Heraus kam, dass viele der untersuchten Angriffe lediglich von einem Netzwerksegment ausgingen. Von dort aus breitete sich der Angriff im gesamten internen Netzwerk aus.

Daher sollte Netzwerksegmentierung „grundlegender Bestandteil der Netzwerk- und Sicherheitsinfrastruktur von Unternehmen“ sein. Sie sollten die unterschiedlichen Funktionsbereiche der Umgebung in Netzwerken ausreichend definieren, den Datenfluss überwachen und die Netzwerksegmente regelmäßig überprüfen.

Wichtige Aspekte und Empfehlungen zur Netzwerksegmentierung:

  • Identifizieren Sie die Segmente in Ihrem Unternehmen, die kritische Daten, Prozesse und Systeme enthalten.
  • Definieren Sie Sicherheitszonen zur effektiven Segmentierung kritischer Bereiche auf Grundlage der Datensensibilität und Zugriffsanforderungen.
  • Legen Sie in Ihrem Firmennetzwerk Zonen fest, die der Zugriffskontrolle unterliegen und zu denen nur Personen mit IT-administrativen Funktionen Zugang haben.
  • Überprüfen Sie die Trennung der Segmente kontinuierlich. So können Sie gewährleisten, dass bei Erweiterungen oder Änderungen der Netzwerkumgebung die Sicherheitskontrollen und die Funktionsfähigkeit Ihrer IT-Infrastruktur immer noch gegeben sind.

Dennoch stellt Frank Graziani klar, dass Netzwerksegmentierung nur ein Teil eines ganzheitlichen IT-Sicherheitskonzepts ist – wenn auch ein wichtiger. Umfassende IT-Sicherheit allein mit der Unterteilung des Netzwerwerks in einzelne Segmente sei nicht zu erreichen. Es sei vielmehr das Zusammenspiel vieler Schutzmaßnahmen wie beispielsweise Firewall-Management, Antivirus-Management und Patch-Management.

netzwerksegmentierung

Netzwerksegmentierung – denn wenn alle Rechner vernetzt sind, kann sich Schadsoftware ungehindert ausbreiten

Priorität versus Preis – Kosten kalkulieren

Netwerksegmentierung hat sicherlich eine hohe Priorität, die jedoch auch Kosten verursacht. Schließlich geht es im weitesten Sinne um die Neugestaltung der gesamten Netzwerkarchitektur. Das kann in der Phase der Umgestaltung die Funktionsfähigkeit der IT-Systeme zeitweise einschränken. Es besteht das Risiko finanzieller Ausfälle, da sich die Effizienz von Produktions- und Geschäftsabläufen zeitweise reduzieren kann. Daher sollten Sie nicht blind drauf los segmentieren – Stichwort „Über-Segmentierung“. Kosten und Nutzen sind abzuwägen.

Es hilft, das gesamte Netzwerk so darzustellen, dass Daten und Geräte identifiziert werden, die eine unbedingte Segmentierung erfordern. Danach sollten Richtlinien als Grundlage für die weitere automatische Segmentierung von Geräten und Benutzern festgelegt werden. Übrigens: Ein Netzwerkplan kann diese Schritte erheblich vereinfachen und beschleunigen. Allerdings ist bei all dem zu bedenken, dass durch eine Netzwerksegmentierung meist auch die Menge des Datenverkehrs zunimmt – und den gilt es zu prüfen. Das wiederum kann zusätzliche Investitionen in leistungsstärkere Systeme nach sich ziehen.

Warum Netzwerksegmentierung

Fest steht: Je mehr ein Netzwerk segmentiert wird, umso sicherer wird es. Durch eine schlüssige Netzwerksegmentierung verfügen Unternehmen über bessere Erkennungs- und Abwehrmechanismen. Malware oder Ransomeware können leichter identifiziert und in Schach gehalten werden, ohne einen kompletten Systemausfall zu verursachen. Durch die genannten Kontrollmaßnahmen können Cyberangriffe deutlich verlangsamt werden, weil sie schneller auffallen. Durch die klare Trennung von Netzwerken, Daten und Prozessen sind Schutzmaßnahmen für mehr IT-Sicherheit und die Einhaltung von Gesetzen und Richtlinien wie beispielsweise dem Datenschutz besser umzusetzen.

Ist Ihre Unternehmens-IT schon in Netzwerksegmente unterteilt oder wollen Sie Ihr IT-Sicherheitskonzept dahingehend überprüfen? Dann kontaktieren Sie das IT-SERVICE.NETWORK. Unsere kompetenten IT-Dienstleister beraten und unterstützen Sie gern, um in Ihrem Unternehmen für mehr IT-Sicherheit zu sorgen.

Geschrieben von

Weiterlesen

Fragen zum Artikel? Frag den Autor
3 Kommentare

Christian_K, 14. November 2017 um 10:55

Ein neuer und sehr spannender Aspekt, den ich bis jetzt so nicht auf dem Radar hatte. Nach der Lektüre des Artikels finde ich Netzwerksegmentierung sehr sinnvoll und auch wichtig. Schließlich wird das Prinzip der Segmentierung auch in anderen Bereichen angewendet. Ich denke, das es vor allem im Bereich der Endpoint Security Vorteile bringt und auch bei IT Dienstleistern eine Rolle spielt. Unternehmen sollten sich auf jedem Fall mit diesem Thema auseinander setzen. Im gleichen Zuge kann und muss dann auch die Netzwerkarchitektur angepasst und aktualisiert werden.

Antworten

Stephan Frank, 13. Februar 2018 um 13:22

Hallo,
das alleinige Segmentieren von Netzwerken ist nur die halbe Miete. Wenn beispielsweise Netzlaufwerksverbindungen vom Client (Client-LAN) zum Server (Server-LAN) bestehen, so ist der Übergriff der Schadsoftware vom Client Netz zum Server Netz sicher, auch bei einer Segmentierung. Hier müsste man noch einen Schritt weiter gehen und Services und Personen/Gruppen segmentieren. Mit WAF und anderen Proxy Lösungen, Zertifikaten und Mehrfachauthentifizierungen kommt man dem Ziel schon näher.
Ein super wichtiger Aspekt sind natürlich Alarmsysteme (IPS/IDS u.a.) die natürlich darauf hinweisen sollen, dass etwas unartiges passiert. Was bringt der beste Safe, wenn man nicht bemerkt, dass sich da jemand zu schaffen macht?
Man muss also das große Ganze im Auge behalten, sonst kommt man mit der reinen Netzwerksegmentierung in Punkto Sicherheit nicht wirklich weit.
Viele Grüße
DER ruebenmaster

Antworten

Helga, 11. Oktober 2018 um 14:25

Danke für eine gründliche Erläuterung des Begriffes. Es scheint, dass die Netzwerksegmentierung an Bedeutung schon gewinnt. Die Multifunktionalität der Netzwerktechnik ermöglicht die Grenzen der klassischen Segmente zu überschreiten. Danke für die interessanten Anregungen zum Nachdenken.

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen