Security Tipp – Netzwerk Segmentierung

Was ist Netzwerk Segmentierung?

Viele kleine und mittlere Unternehmen, haben eine Netzwerkzone, in welcher sich die Computer der Mitarbeiter, die Server, die Telefone und oft auch die selbst mitgebrachten Geräte der Mitarbeiter befinden. Alle Geräte können darin ohne Einschränkungen miteinander kommunizieren. Dies bietet den Vorteil, dass im Normalfall netzwerkbasierte Anwendungen ohne Probleme funktionieren und man keine Konnektivitätseinschränkungen in Kauf nehmen muss. Allerdings liegt auch genau hier das grösste Sicherheitsproblem. Sollte ein Angreifer Zugang auf ein System erhalten, kann er damit auch alle anderen Geräte im Netzwerk finden und auch direkt angreifen. Somit ist es für ihn ein leichtes Spiel, sich weiter im Netzwerk auszubreiten und an die wichtigen Daten eines Unternehmens zu kommen. Bei der Netzwerksegmentierung teilt man ein Netzwerk in verschiedene Zonen auf. Damit sind dann die Geräte der Mitarbeiter nicht mehr im gleichen Netzwerksegment wie die Server oder die selbst mitgebrachten Geräte der Mitarbeiter (z.B. Smartphones, Tablets oder eigene Laptops). Die Übergänge zwischen den Zonen werden von der Firewall überwacht. Das bedeutet, dass man definieren kann, über welche Protokolle und Ports die Geräte über die Segmentgrenzen hinweg kommunizieren können. Man kann mit der Segmentierung also die Sicherheit im Netzwerk erheblich erhöhen, indem man verhindert, dass unerwünschte Verbindungen zwischen Geräten gar nicht aufgebaut und erwünschte Verbindungen bei Bedarf sogar überwacht werden können. Sehr sensible Systeme kann man ausserdem separat isolieren und damit besonders schützen, falls dies nötig sein sollte.

Im untenstehenden Schema finden sie deutlich vereinfacht, die Kommunikationswege, welche erlaubt sind und die Wege, welche verboten sind:

Beispiel-Szenario

Stellen wir uns eine Firma vor, welche ihr Netzwerk gemäss dem Schema im Artikel segmentiert hat. Ein Mitarbeiter bringt einen Laptop mit ins Geschäft, welcher mit einer Malware infiziert ist. Die Malware wird nun das Netzwerk Scannen und versuchen sich weiter auszubreiten. Da auf Netzwerkebene aber kein Zugriff auf die Server der Firma möglich ist, kann sich die Malware nicht auf die Server weiterverbreiten. Wäre dieser Laptop in einem nicht segementierten Netzwerk angeschlossen worden, dann wären wahrscheinlich in kurzer Zeit auch die Firmenserver kompromittiert.

Nun ein etwas komplexeres Beispiel: Ein Mitarbeiter infiziert aus versehen einen Laptop mit Malware. Auch diese Malware versucht, sich im Netzwerk weiter zu verbreiten. Dies tut sie mit einer Sicherheitslücke in MS SQL (Datenbanksoftware). Es gibt mehrere Server in der Firma, welche über diese Sicherheitslücke verwundbar sind, da aktuell noch kein Update zur Verfügung steht, welche die Lücke behebt. Da der Infizierte Client (Computer) des Mitarbeiters aber nicht über das entsprechende Protokoll mit dem Server kommunizieren kann, weil die Firewall dies verhindert, kann die Malware sich trotzdem nicht weiter verbreiten.

In beiden Fällen hat die Netzwerksegmentierung eine Weiterverbreitung der Malware auf die kritischen Systeme der Firma verhindert. Eine Verbreitung innerhalb des entsprechenden Netzes (z.B. von Client zu Client) hätte hier von der Netzwerksegmentierung zwar nicht verhindert werden können (evt. jedoch mit anderen Sicherheitsmassnahmen), allerdings wurden die kritischen Systeme erfolgreich geschützt.

Fazit

Die Segmentierung des Netzwerks ist eine wichtige Grundlage für die IT-Sicherheit eines Unternehmens. Wichtig ist jedoch zu wissen, dass eine Netzwerksegmentierung auf verschiedenste Weisen gemacht werden kann. Eine absolute und vollumfängliche Sicherheit kann nie geboten werden. Ausserdem muss diese technische Sicherheitsmassnahme natürlich in einem Paket mit weiteren Massnahmen eingesetzt werden, um eine gewisse Sicherheit bieten zu können. Weitere Massnahmen und Tipps können Sie unseren anderen Blogartikeln zum Thema entnehmen.

Kostenlose 30-Minuten IT-Security Beratung

Buchen Sie noch heute Ihre kostenlose und unverbindliche 30-Minuten IT-Security Beratung.

Wir stellen kurz unsere IT-Security Services vor und beantworten Ihre dringendsten Fragen. Dies alles kostenlos und völlig unverbindlich. Nach dem digitalen Kaffee stellen wir Ihnen unsere Empfehlungen zur Optimierung Ihrer IT-Security zu.

Melden Sie sich noch heute für das kostenlose IT-Security Coffee:

• Kostenlose IT-Security Beratung
• Beantwortung Ihrer dringendsten Fragen
• Videomeeting via Microsoft Teams
• Dauer: ca. 30 Minuten
• Empfehlung mit Massnahmen