Firewall, Antivirus, regelmäßige Updates: Mit diesen Schutzmaßnahmen wähnen viele Firmen ihr Netzwerk in Sicherheit. Doch zu einem grundlegenden IT-Sicherheitskonzept zählt auch die sogenannte Netzwerksegmentierung.
Was es damit auf sich hat und warum es sinnvoll ist, das Firmennetz in bestimmte Bereiche zu unterteilen, lesen Sie hier.
Netzwerksegmentierung – was ist das?
Netzwerksegmentierung beschreibt in der IT den Vorgang, das Unternehmensnetz in einzelne Bereiche zu unterteilen, die nicht oder nur noch bedingt miteinander vernetzt sind. Die Unterteilung des IT-Systems in Netzwerksegmente trägt dazu bei, eine höhere IT-Sicherheit zu gewährleisten.
Als Beispiele nennt Frank Graziani, Bereichsleiter des Systemhauses Thinking Objects die Segmentierung nach Abteilungen wie Produktion, Personalabteilung, Buchhaltung. „Es gibt keinen Grund, warum der PC eines Buchhalters auf eine Produktionsanlage zugreifen kann“, verdeutlicht er im Gespräch mit dem IT-SERVICE.NETWORK.
Alte Rechner sicher im Einsatz
Graziani sieht beispielsweise eine über einen alten Windows-XP-Rechner gesteuerte Produktionsanlage als unproblematisch an – solange der Rechner seine Arbeit vom restlichen Netzwerk getrennt verrichtet. Viele Unternehmen haben sich Produktionsanlagen schließlich für die Nutzung von zehn bis 20 Jahre gekauft.
Wenn die Betriebssoftware nach Ablauf einiger Jahre vielleicht keine Updates mehr erhält, die Maschine als solche aber noch voll funktionsfähig ist, muss sie nicht notwendigerweise ausgetauscht werden. Es reicht die Verbindung zum Netzwerk zu kappen. „Ich muss den betreffenden Rechner einfach nur wegsperren“, beschreibt Graziani das Vorgehen bildlich. „Mittels einer Netzwerksegmentierung ist das ohne weiteres möglich.“
Nachhilfe beim Netzwerkschutz
Im Global Threat Intelligence Report 2015 untersuchte die NTT Group, ein weltweit agierender Provider von Telekommunikationsservices, Sicherheitsvorfälle und deren Ausgangslage. Heraus kam, dass viele der untersuchten Angriffe lediglich von einem Netzwerksegment ausgingen. Von dort aus breitete sich der Angriff im gesamten internen Netzwerk aus.
Daher sollte Netzwerksegmentierung „grundlegender Bestandteil der Netzwerk- und Sicherheitsinfrastruktur von Unternehmen“ sein. Sie sollten die unterschiedlichen Funktionsbereiche der Umgebung in Netzwerken ausreichend definieren, den Datenfluss überwachen und die Netzwerksegmente regelmäßig überprüfen.
Wichtige Aspekte und Empfehlungen zur Netzwerksegmentierung:
- Identifizieren Sie die Segmente in Ihrem Unternehmen, die kritische Daten, Prozesse und Systeme enthalten.
- Definieren Sie Sicherheitszonen zur effektiven Segmentierung kritischer Bereiche auf Grundlage der Datensensibilität und Zugriffsanforderungen.
- Legen Sie in Ihrem Firmennetzwerk Zonen fest, die der Zugriffskontrolle unterliegen und zu denen nur Personen mit IT-administrativen Funktionen Zugang haben.
- Überprüfen Sie die Trennung der Segmente kontinuierlich. So können Sie gewährleisten, dass bei Erweiterungen oder Änderungen der Netzwerkumgebung die Sicherheitskontrollen und die Funktionsfähigkeit Ihrer IT-Infrastruktur immer noch gegeben sind.
Dennoch stellt Frank Graziani klar, dass Netzwerksegmentierung nur ein Teil eines ganzheitlichen IT-Sicherheitskonzepts ist – wenn auch ein wichtiger. Umfassende IT-Sicherheit allein mit der Unterteilung des Netzwerwerks in einzelne Segmente sei nicht zu erreichen. Es sei vielmehr das Zusammenspiel vieler Schutzmaßnahmen wie beispielsweise Firewall-Management, Antivirus-Management und Patch-Management.
Priorität versus Preis – Kosten kalkulieren
Netwerksegmentierung hat sicherlich eine hohe Priorität, die jedoch auch Kosten verursacht. Schließlich geht es im weitesten Sinne um die Neugestaltung der gesamten Netzwerkarchitektur. Das kann in der Phase der Umgestaltung die Funktionsfähigkeit der IT-Systeme zeitweise einschränken. Es besteht das Risiko finanzieller Ausfälle, da sich die Effizienz von Produktions- und Geschäftsabläufen zeitweise reduzieren kann. Daher sollten Sie nicht blind drauf los segmentieren – Stichwort „Über-Segmentierung“. Kosten und Nutzen sind abzuwägen.
Es hilft, das gesamte Netzwerk so darzustellen, dass Daten und Geräte identifiziert werden, die eine unbedingte Segmentierung erfordern. Danach sollten Richtlinien als Grundlage für die weitere automatische Segmentierung von Geräten und Benutzern festgelegt werden. Übrigens: Ein Netzwerkplan kann diese Schritte erheblich vereinfachen und beschleunigen. Allerdings ist bei all dem zu bedenken, dass durch eine Netzwerksegmentierung meist auch die Menge des Datenverkehrs zunimmt – und den gilt es zu prüfen. Das wiederum kann zusätzliche Investitionen in leistungsstärkere Systeme nach sich ziehen.
Warum Netzwerksegmentierung
Fest steht: Je mehr ein Netzwerk segmentiert wird, umso sicherer wird es. Durch eine schlüssige Netzwerksegmentierung verfügen Unternehmen über bessere Erkennungs- und Abwehrmechanismen. Malware oder Ransomeware können leichter identifiziert und in Schach gehalten werden, ohne einen kompletten Systemausfall zu verursachen. Durch die genannten Kontrollmaßnahmen können Cyberangriffe deutlich verlangsamt werden, weil sie schneller auffallen. Durch die klare Trennung von Netzwerken, Daten und Prozessen sind Schutzmaßnahmen für mehr IT-Sicherheit und die Einhaltung von Gesetzen und Richtlinien wie beispielsweise dem Datenschutz besser umzusetzen.
Ist Ihre Unternehmens-IT schon in Netzwerksegmente unterteilt oder wollen Sie Ihr IT-Sicherheitskonzept dahingehend überprüfen? Dann kontaktieren Sie das IT-SERVICE.NETWORK. Unsere kompetenten IT-Dienstleister beraten und unterstützen Sie gern, um in Ihrem Unternehmen für mehr IT-Sicherheit zu sorgen.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung