Netzwerksegmentierung

IT-Sicherheitskonzept für Unternehmen


27. Juni 2017, von in IT-Sicherheit

Firewall, Antivirus, regelmäßige Updates: Mit diesen Schutzmaßnahmen wähnen viele Firmen ihr Netzwerk in Sicherheit. Doch zu einem grundlegenden IT-Sicherheitskonzept zählt auch die so genannte Netzwerksegmentierung. Was es damit auf sich hat und warum es sinnvoll ist, das Firmennetz in bestimmte Bereiche zu unterteilen, lesen Sie hier.

netzwerksegmentierung

Frank Graziani, Bereichsleiter bei Thinking Objects empfiehlt Netzwerksegmentierung.

Netzwerksegmentierung – was ist das?

Netzwerksegmentierung beschreibt in der IT den Vorgang, dass Unternehmensnetz in einzelne Bereiche zu unterteilen, die nicht oder nur noch bedingt miteinander vernetzt sind. Die Unterteilung des IT-Systems in Netzwerksegmente trägt dazu bei, für mehr IT-Sicherheit zu sorgen. Als Beispiele nennt Frank Graziani, Bereichsleiter des Systemhauses Thinking Objects die Segmentierung nach Abteilungen wie Produktion, Personalabteilung, Buchhaltung. „Es gibt keinen Grund, warum der PC eines Buchhalters auf eine Produktionsanlage zugreifen kann“, verdeutlicht er im Gespräch mit dem IT-SERVICE.NETWORK.

Alte Rechner sicher im Einsatz

Eine Produktionsanlage, die beispielsweise nur mit einem alten Windows XP Rechner gesteuert werden kann, sieht Graziani als unproblematisch an – solange der Rechner vom restlichen Netzwerk getrennt seine Arbeit verrichtet. Viele Produktionsanlagen seien schließlich für zehn bis 20 Jahre gekauft worden. Wenn die Betriebssoftware nach Ablauf einiger Jahre vielleicht keine Updates mehr erhält, die Maschine als solche aber noch voll funktionsfähig ist, muss sie nicht notwendigerweise  ausgetauscht werden. Es reicht die Verbindung zum Netzwerk zu kappen. „Ich muss den betreffenden Rechner einfach nur wegsperren“, beschreibt Graziani das Vorgehen bildlich. „Mittels einer Netzwerksegmentierung ist das ohne weiteres möglich.“

Nachhilfe beim Netzwerkschutz

Im Global Threat Intelligence Report 2015 untersuchte die NTT Group, ein weltweit agierender Provider von Telekommunikationsservices,  Sicherheitsvorfälle und deren Ausgangslage. Heraus kam, dass viele der untersuchten Angriffe lediglich von einem Netzwerksegment ausgingen. Von dort aus breitete sich der Angriff im gesamten internen Netzwerk aus.  Daher sollte Netzwerksegmentierung „grundlegender Bestandteil der Netzwerk- und Sicherheitsinfrastruktur von Unternehmen“ sein. Die unterschiedlichen Funktionsbereiche der Umgebung sollten in Netzwerken ausreichend definiert sein, der Datenfluss überwacht und die Netzwerksegmente regelmäßig überprüft werden.

Wichtige Aspekte und Empfehlungen zur Netzwerksegmentierung:

  • Identifizieren Sie die Segmente in Ihrem Unternehmen, die kritische Daten, Prozesse und Systeme enthalten.
  • Definieren Sie Sicherheitszonen zur effektiven Segmentierung kritischer Bereiche auf Grundlage der Datensensibilität und Zugriffsanforderungen.
  • Legen Sie in Ihrem Firmennetzwerk Zonen fest, die der Zugriffskontrolle unterliegen und zu denen nur Personen mit IT-administrativen Funktionen Zugang haben.
  • Überprüfen Sie kontinuierlich die Trennung der Segmente. So können Sie gewährleisten, dass bei Erweiterungen oder Änderungen der Netzwerkumgebung die Sicherheitskontrollen und die Funktionsfähigkeit Ihrer IT-Infrastruktur immer noch gegeben sind.

Dennoch stellt Frank Graziani klar, dass Netzwerksegmentierung nur ein Teil eines ganzheitlichen IT-Sicherheitskonzepts ist – wenn auch ein wichtiger. Umfassende IT-Sicherheit allein mit der Unterteilung des Netzwerwerks in einzelne Segmente sei nicht zu erreichen. Es sei vielmehr das Zusammenspiel vieler Schutzmaßnahmen wie beispielsweise Firewall-Management, Antivirus-Management und Patch-Management.

netzwerksegmentierung

Netzwerksegmentierung – denn wenn alle Rechner vernetzt sind, kann sich Schadsoftware ungehindert ausbreiten

Priorität versus Preis – Kosten kalkulieren

Netwerksegmentierung hat sicherlich eine hohe Priorität, die jedoch auch Kosten verursacht. Schließlich geht es im weitesten Sinne um die Neugestaltung der gesamten Netzwerkarchitektur. Das kann in der Phase der Umgestaltung die Funktionsfähigkeit der IT-Systeme zeitweise einschränken. Es besteht das Risiko finanzieller Ausfälle, da sich die Effizienz von Produktions- und Geschäftsabläufen zeitweise reduzieren kann. Daher sollte nicht blind drauf los segmentiert werden – Stichwort „Über-Segmentierung“. Kosten und Nutzen sind abzuwägen.

Es hilft, das gesamte Netzwerk so darzustellen, dass Daten und Geräte identifiziert werden, die eine unbedingte Segmentierung erfordern. Danach sollten Richtlinien als Grundlage für die weitere automatische Segmentierung von Geräten und Benutzern festgelegt werden. Übrigens: Ein Netzwerkplan kann diese Schritte erheblich vereinfachen und beschleunigen. Allerdings ist bei all dem zu bedenken, dass durch eine Netzwerksegmentierung meist auch die Menge des Datenverkehrs zunimmt – und den gilt es zu prüfen. Das wiederum kann zusätzliche Investitionen in leistungsstärkere Systeme nach sich ziehen.

Warum Netzwerksegmentierung

Fest steht: Je mehr ein Netzwerk segmentiert wird, umso sicherer wird es. Durch eine schlüssige Netzwerksegmentierung verfügen Unternehmen über bessere Erkennungs- und Abwehrmechanismen. Malware oder Ransomeware können leichter identifiziert und in Schach gehalten werden, ohne einen kompletten Systemausfall zu verursachen. Durch die genannten Kontrollmaßnahmen können Cyberangriffe deutlich verlangsamt werden, weil sie schneller auffallen. Durch die klare Trennung von Netzwerken, Daten und Prozessen sind Schutzmaßnahmen für mehr IT-Sicherheit und die Einhaltung von Gesetzen und Richtlinien wie beispielsweise dem Datenschutz besser umzusetzen.

Ist Ihre Unternehmens-IT schon in Netzwerksegmente unterteilt oder wollen Sie Ihr IT-Sicherheitskonzept dahingehend überprüfen? Dann kontaktieren Sie das IT-SERVICE.NETWORK. Unsere kompetenten IT-Dienstleister beraten und unterstützen Sie gern, um in Ihrem Unternehmen für mehr IT-Sicherheit zu sorgen.

Christian_K, 14. November 2017 um 10:55

Ein neuer und sehr spannender Aspekt, den ich bis jetzt so nicht auf dem Radar hatte. Nach der Lektüre des Artikels finde ich Netzwerksegmentierung sehr sinnvoll und auch wichtig. Schließlich wird das Prinzip der Segmentierung auch in anderen Bereichen angewendet. Ich denke, das es vor allem im Bereich der Endpoint Security Vorteile bringt und auch bei IT Dienstleistern eine Rolle spielt. Unternehmen sollten sich auf jedem Fall mit diesem Thema auseinander setzen. Im gleichen Zuge kann und muss dann auch die Netzwerkarchitektur angepasst und aktualisiert werden.

Antworten

Stephan Frank, 13. Februar 2018 um 13:22

Hallo,
das alleinige Segmentieren von Netzwerken ist nur die halbe Miete. Wenn beispielsweise Netzlaufwerksverbindungen vom Client (Client-LAN) zum Server (Server-LAN) bestehen, so ist der Übergriff der Schadsoftware vom Client Netz zum Server Netz sicher, auch bei einer Segmentierung. Hier müsste man noch einen Schritt weiter gehen und Services und Personen/Gruppen segmentieren. Mit WAF und anderen Proxy Lösungen, Zertifikaten und Mehrfachauthentifizierungen kommt man dem Ziel schon näher.
Ein super wichtiger Aspekt sind natürlich Alarmsysteme (IPS/IDS u.a.) die natürlich darauf hinweisen sollen, dass etwas unartiges passiert. Was bringt der beste Safe, wenn man nicht bemerkt, dass sich da jemand zu schaffen macht?
Man muss also das große Ganze im Auge behalten, sonst kommt man mit der reinen Netzwerksegmentierung in Punkto Sicherheit nicht wirklich weit.

Viele Grüße
DER ruebenmaster

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.