Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Was ist Netzwerksegmentierung?

Unter Netzwerksegmentierung versteht man die Aufteilung eines Computernetzwerks in kleinere physische oder logische Komponenten, um die Sicherheit zu erhöhen und Daten zu schützen.
Robert Grimmick
4 minute gelesen
Veröffentlicht 29. Mai 2021
Letzte aktualisierung 28. Oktober 2021

Einfach ausgedrückt wird bei der Netzwerksegmentierung ein Computernetzwerk in kleinere physische bzw. logische Komponenten aufgeteilt. Zwei Geräte, die sich im gleichen Netzwerksegment befinden, können direkt miteinander kommunizieren. Damit die Kommunikation mit Geräten in einem anderen Segment stattfinden kann, muss der Traffic über einen externen Demarkationspunkt (in der Regel ein Router oder eine Firewall) laufen. So kann der Traffic untersucht und Sicherheitsrichtlinien können angewandt werden, was die Sicherheit allgemein erhöht. Netzwerksegmentierung ist eine der besten Schutzmaßnahmen gegen DatenlecksRansomware-Infektionen und andere Cybersicherheitsbedrohungen. In einem ordnungsgemäß segmentierten Netzwerk verfügen Gruppen von Endgeräten wie Server und Workstations nur über die, für die jeweilige betriebliche Nutzung erforderliche, Konnektivität. So kann Ransomware sich weniger ausbreiten, und Angreifer können nicht ohne Weiteres von System zu System wechseln. Dennoch nutzen viel zu viele Unternehmen ein unsegmentiertes oder „flaches“ Netzwerk. Deshalb wollen wir uns im Folgenden diese Themen anschauen:

Implementierung der Netzwerksegmentierung

Es gibt viele Möglichkeiten, ein Netzwerk effektiv zu segmentieren, aber virtuelle LANs (VLANs) und Subnets sind in der Regel die beliebtesten Möglichkeiten.

  • Ein VLAN ist ein logisches Konstrukt, das den Datenverkehr auf der Switch-Ebene trennt.
  • Subnets funktionieren hingegen auf IP-Adressebene und Router-Ebene.

Beide werden häufig zusammen in einer Eins-zu-eins-Anordnung verwendet. Es gibt viele verschiedene Ansätze für eine Architektur der Netzwerksegmentierung. Es ist üblich, dass Unternehmen Teile eines Netzwerks nach Geschäftsabteilungen abtrennen und unterschiedliche VLANs für Finanzabteilung, technische Abteilung usw. zuweisen. Der Verkehr zwischen den Abteilungen kann dann je nach Geschäftsanforderungen kontrolliert oder eingeschränkt werden. Der Zugriff auf eine interne Personaldatenbank könnte z.B. auf die Geräte im Subnet oder VLAN der Personalabteilung beschränkt werden. Ein weiterer gängiger Ansatz umfasst die Bereitstellung unterschiedlicher Zonen mit unterschiedlichen Sicherheitsanforderungen. Server und Datenbanken werden beispielsweise in der Regel in einer „demilitarisierten Zone“ (Demilitarized Zone, DMZ) mit viel strengeren Sicherheitsmaßnahmen als in anderen Teilen des Netzwerks platziert. Dadurch kann verhindert werden, dass sich eine Malware-Infektion auf einem Unternehmensgerät auf Server weiterverbreitet, auf denen kritische Daten gehostet werden. Die Segmentierung kann auch auf Basis des Gerätetyps erfolgen. IoT-Geräte werden häufig in einer eigenen Netzwerkpartition platziert, um die Sicherheit zu erhöhen. Im Gesundheitswesen können beispielsweise Röntgengeräte und andere verbundene medizinische Geräte getrennt vom übrigen Netzwerk betrieben werden. Je nach technischen und betrieblichen Anforderungen können verschiedene Ansätze zur Segmentierung gemischt werden.

Was sind die Vorteile einer Netzwerksegmentierung?

Die Architektur eines Netzwerks spielt eine Schlüsselrolle dabei, wie effektiv eine Organisation sich gegen Sicherheitsvorfälle verteidigen, diese identifizieren und sich von ihnen erholen kann. Statistiken über Datenlecks zeigen, dass Bedrohungsakteure immer geschickter darin werden, den „Perimeter“ eines Netzwerks zu durchbrechen, an dem normalerweise die Abwehrmaßnahmen ansetzen. Ein gut unterteiltes Netzwerk mit isolierten Netzwerksegmenten kann die Möglichkeiten eines Angreifers einschränken, sich lateral zu bewegen und von System zu System zu „schwenken“. Um die Risiken eines unsegmentierten, also flachen, Netzwerks zu verstehen, können wir uns das tatsächliche Beispiel des Datenlecks bei “Target” im Jahr 2013 ansehen. Nachrichtenberichten (KrebsOnSecurity) zufolge begann der Angriff, als ein Mitarbeiter eines Kühlungs-Subunternehmens von Target auf eine Phishing-E-Mail hereinfiel. Nachdem die Angreifer in die Systeme des Subunternehmens eingedrungen waren, hatten sie es auf ein Vendor-Management-Portal abgesehen, über das Target die Rechnungsstellung an Dritte abwickelt. Von hier aus konnten sie sich lateral durch das interne Netzwerk von Target bewegen und schafften es schließlich, Malware auf POS-Terminals (Point-of-Sale) in allen Filialen des Unternehmens zu installieren. Direkt nach dem Angriff implementierte Target eine verbesserte Segmentierung, um die laterale Bewegung zu unterbinden, die die Angreifer verwendet hatten. Eine effektive Netzwerksegmentierung kann auch die Erkennung von Anzeichen eines Angriffs erleichtern. Es ist nicht ungewöhnlich, dass das Intrusion Detection System (IDS) eines Unternehmens so viele Warnungen generiert, dass viele davon unbemerkt bleiben. Durch die Konzentration von Ressourcen in vertraulicheren Teilen des Netzwerks können Sicherheitsteams Vorfälle priorisieren, die wahrscheinlich die größten Auswirkungen auf das Unternehmen haben werden. Traffic-Flüsse zwischen verschiedenen Netzwerksegmenten können auch auf Muster überwacht werden, wobei ungewöhnliche Aktivitäten potenziell auf einen Angriff hindeuten.

Wer braucht Netzwerksegmentierung?

Organisationen aller Arten und Größen können von einem gut durchdachten Netzwerk profitieren, aber eine gute Segmentierung ist in bestimmten Branchen besonders wichtig.

  • Anbieter im Gesundheitswesen: Organisationen im Gesundheitswesen müssen auf den Schutz sensibler Patientendaten achten und können daher hochsichere Bereiche ihres Netzwerks für die Speicherung medizinischer Daten abtrennen.
  • Einzelhändler: Die PCI-Netzwerksegmentierung ist für Einzelhändler wichtig und umfasst die strikte Kontrolle des Zugriffs auf Teile des Netzwerks, in denen Karteninhaberdaten verarbeitet werden.

Ein weiterer häufiger Anwendungsfall für die Netzwerksegmentierung ist die Bereitstellung des Zugangs für Gäste oder Besucher. Der Datenverkehr des Gast-VLANs oder -Subnets wird vom Rest des Unternehmensnetzwerks getrennt, so dass Besucher nicht auf Unternehmensdaten zugreifen können.

Herausforderungen bei der Netzwerksegmentierung und neue Ansätze

Der herkömmliche Ansatz für die Netzwerksegmentierung – die Aufteilung des Netzwerks in VLANs und Subnets – erfordert viel manuelle Arbeit und lässt sich nicht gut skalieren. Netzwerkarchitekten müssen sorgfältig entscheiden, welche Ressourcen in ein und dasselbe Netzwerksegment gehören, und entsprechende Sicherheitsrichtlinien für die Kommunikation zwischen den Segmenten aufstellen. Ingenieure müssen dann alle betroffenen Switches, Router und Firewalls programmieren – mühsame Detailarbeit, bei der es oft zu Fehlern kommt. In komplexen Umgebungen, die bereits seit Jahren bestehen, ist die Implementierung von Best Practices zur Netzwerksegmentierung ohne eine Störung des Geschäftsbetriebs meist unmöglich. Um diese Probleme zu lösen, wählen IT-Führungskräfte zunehmend neue Ansätze wie Mikrosegmentierung und Software-definierte Netzwerke (SDNs). Hierbei wird die Durchsetzung von Segmentierungsrichtlinien von der physischen Netzwerkinfrastruktur entkoppelt. So ist eine detailliertere Steuerung und eine einfachere Verwaltung möglich.

  • Mikrosegmentierung ermöglicht die Kontrolle des Netzwerk-Datenverkehrs bis auf die Anwendungs- oder Workload-Ebene.
  • In einem SDN kann die Mehrmandantenfähigkeit durch die Präsentation unterschiedlicher virtueller Netzwerke an unterschiedliche Kunden und durch die Nutzung derselben zugrundeliegenden physischen Infrastruktur ermöglicht werden.

Sowohl Mikrosegmentierung als auch SDNs werden zunehmend eingesetzt, um das sogenannte Zero Trust Model zu implementieren. In diesem Modell werden Benutzer und Geräte standardmäßig als „nicht vertrauenswürdig“ eingestuft, selbst wenn sie sich bereits im Unternehmensnetzwerk befinden. Um „vertrauenswürdig“ zu werden und Zugriff auf Netzwerkressourcen zu erhalten, muss das Gerät oder der Benutzer bestimmte Bedingungen erfüllen, z. B. einen Virenscan durchlaufen oder die Zwei-Faktor-Authentifizierung (2FA) abschließen. Egal, ob Sie versuchen, PCI-Compliance zu erreichen oder einfach die Sicherheit in Ihrem Unternehmen zu verbessern – die Netzwerksegmentierung ist ein wichtiger Teil eines umfassenderen Informationssicherheitsprogramms. Die Varonis Data Protection Plattform kann Ihnen helfen, die Teile Ihres Netzwerks zu identifizieren, in denen wichtige Daten gespeichert sind, damit Sie eine effektive Segmentierungsstrategie aufbauen können. Möchten Sie mehr erfahren? Vereinbaren Sie noch heute eine persönliche Demo!

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?