Lesedauer ‘Netzwerksegmentierung – ein Werkzeug der Netzwerksicherheit’: 7 Minuten
Die Anzahl erfolgreicher Netzwerkangriffe wächst stetig und gilt für zunehmend mehr Betriebe. Ein ordentlich segmentiertes Unternehmensnetzwerk kann helfen, sensible Unternehmensbereiche extra abzusichern, die Reichweite von Netzwerkangriffen bedeutend einzuschränken sowie ihre möglichen Folgeschäden einzugrenzen. Aber wie gelingt genau genommen eine Netzwerksegmentierung? Für was wird sie genutzt und warum ist es empfehlenswert, sie zu implementieren? Die Antworten erhalten Sie in unserem folgenden Blogbeitrag.
Unternehmensnetzwerke werden mit wachsendem Ausmaß der Digitalisierung, steigendem Gebrauch moderner Cloud-Anwendungen sowie der Implementierung mobiler und internetfähiger Endgeräte immer komplexer. Die Auswirkung: Netzwerkadministratoren haben zunehmend damit zu ringen, die Sicherheit, Leistung, Ausfallsicherheit und Verfügbarkeit von Unternehmensnetzwerken aufrechtzuerhalten. Nebenbei kommt hinzu, dass sich Bedrohungsakteure diesen Sachverhalt gezielt zu Nutze machen mit dem Ziel, Betriebe zu attackieren, IT-Systeme zu kompromittieren, nützliche Geschäftsdaten zu erbeuten sowie Lösegeld zu erwirtschaften.
Wird ein Unternehmensnetzwerk attackiert, kann dies maximale Auswirkungen auf die betroffene Firma haben. Der jüngste Data Breach Report von IBM und dem Ponemon Institut beziffert die allgemeinen Ausgaben eines Datenlecks mit rund 4,25 Mio. US-Dollar – im Vergleich zum Vorjahr eine Erhöhung um 10 %. Hinzu kommt, dass der Radius und die Stärke von Netzwerkangriffen zunehmen. Genau das zeigen zum Beispiel die Internet Security Reports von WatchGuard Technologies. Daraus geht hervor, dass Netzwerkangriffe eine wachsende Gefahr für Betriebe darstellen.
Vor diesem Hintergrund gehört das Sicherstellen optimaler Netzwerksicherheit zu den Pflichtaufgaben eines jeden Betriebs. Ein probates Mittel dafür ist eine Netzwerksegmentierung.
Was versteht man unter Netzwerksegmentierung und warum ist sie wichtig?
Bei der Netzwerksegmentierung geht es um ein Netzwerksicherheitsverfahren, bei welchem ein physisches Unternehmensnetzwerk virtuell oder mit Hilfe von Hardware (Brücken, Switches, Router) in mehrere isolierte Segmente oder Subnetze unterteilt wird. In diesen individuellen Netzwerksegmenten kommen dabei unterschiedliche IT-Sicherheitsanforderungen, IT-Sicherheitsrichtlinien und IT-Sicherheitstools zum Tragen. So können Unternehmen verhindern, dass unbefugte Nutzer – neugierige Insider oder böswillige Internetkriminelle – Zugang zu kostbaren Unternehmensassets bekommen, etwa persönlichen Kundendaten, Finanzunterlagen des Betriebs und streng vertraulichem, geistigem Besitz.
Zudem kann die laterale Ausbreitung von Schadprogrammen nach einem erfolgreichen Netzwerkangriff von einem auf ein anderes Unternehmenssegment unterbunden werden. Das unterstützt Firmen bei der Vermeidung schwererer Schäden.
Verschiedene Arten der Netzwerksegmentierung
Die Netzwerksegmentierung ist grundsätzlich kein neuartiges Konzept der IT: Schon immer gab es bei der Konzeption von Netzwerkarchitekturen die Vorgabe, unterschiedliche Segmente materiell und/oder virtuell voneinander zu separieren. Hierbei kommen unterschiedliche Maßnahmen zum Einsatz. Zu den erfolgreichsten Ansätzen der Netzwerksegmentierung zählen insbesondere die physische Netzwerksegmentierung durch Subnetze und die logische Aufsplittung durch VLANs. Ferner bestehen noch eine Reihe weiterer Formen der Netzwerksegmentierung, die wir Ihnen in der folgenden Übersicht zusammengestellt haben.
Physische Netzwerksegmentierung durch Subnetze – Bei der physischen Segmentierung geht es darum, ein größeres Unternehmensnetzwerk in diverse Subnetze aufzuteilen, die mit einem Netzwerkgerät (z.B. Router) miteinander gekoppelt werden und auf IP-Adressebene agieren.
Logische Segmentierung durch VLANs – Bei der logischen Netzwerksegmentierung wird das Unternehmensnetzwerk auf der Switch-Ebene durch VLANs in mehrere logische Netzwerke mit unterschiedlichen Subnetzen geteilt.
Netzwerksegmentierung mit Hardware Firewalls – Bei der Netzwerksegmentierung können außer Switches zudem physische Firewalls zum Einsatz kommen. Jene werden hierfür im Unternehmensnetzwerk installiert, um interne Netzwerksegmente zu bauen, die meist funktionsgemäßen Netzwerksegmenten entsprechen und dazu dienen, die Angriffsoberfläche zu limitieren. So soll erreicht werden, dass sich Bedrohungen und Internetangriffe auf ein Netzwerksegment beschränken.
Netzwerksegmentierung mit Software-Defined-Network – Die Virtualisierungstechnologie Software-Defined-Network, knapp SDN, wird oft genutzt, um mehr Automatisierung und Orchestrierung im Unternehmensnetzwerk zu gewähren. Die Flexibilität von Software-Defined-Network ermöglicht eine zusätzliche sowie granulare Segmentbildung, wobei das Unternehmensnetzwerk in abertausende von Mikrosegmenten geteilt werden können. Gerade Betriebe mit begrenzten Ressourcen erhalten so die Möglichkeit, umfangreiche Segmentierungen (selbst Mikrosegmentierungen, siehe folgend) erfolgreich umzusetzen.
Mikrosegmentierung – Bei einer Mikrosegmentierung wird ein Unternehmensnetzwerk sehr feingliedrig, bis auf Anwendungsschicht sowie Benutzerebene, heruntergebrochen. Ein Zugriff auf die jeweiligen Netzwerksegmente wird dabei nur einer deutlich festgesetzten und eingegrenzten Gruppierung von Benutzern gestattet. Die Basis für die Mikrosegmentierung bilden Identität-Management-Systeme. Sie ermöglichen es, Nutzer bequem zu autorisierten Gruppierungen zusammenzuschließen sowie jenen danach (über sämtliche am Unternehmensnetzwerk angeschlossenen Technologien hinweg) Zugang auf bestimmte Geschäftsanwendungen und Services zu gestatten.
Welche Unternehmen benötigen eine Netzwerksegmentierung?
In den letzten Jahren hat die Netzwerksegmentierung enorm an Bedeutung gewonnen – besonders vor dem Grund zunehmender IT-Sicherheitsbedrohungen.
Grundsätzlich gilt: Jedes einzelne Unternehmen, das erhöhte Anforderungen an die IT-Sicherheit und Compliance hat, sollte sein Unternehmensnetzwerk segmentieren. Nichtsdestotrotz gibt es gewisse Unternehmen und Branchen, in welchen die Netzwerksegmentierung besonders essenziell ist. Hierzu gehören:
Anbieter im Gesundheitswesen – Unternehmen im Gesundheitswesen müssen auf den Schutz sensibler Patientendaten achten. Deshalb sollten sie hochsichere Segmente des Unternehmensnetzwerks durch eine geeignete Netzwerksegmentierung zusätzlich schützen.
Einzelhändler – Die PCI-Netzwerksegmentierung ist für Händler wichtig und umfasst eine strenge Kontrolle des Zugriffs auf Elemente des Netzwerks, in denen Karteninhaberdaten verwendet werden.
Darüber hinaus können Unternehmen die Netzwerksegmentierung nutzen, um Besuchern und Vertragspartnern einen Wi-Fi-Service zu offerieren. Wer sich mit Gastzugangsdaten einloggt, kommt in ein Mikrosegment, welches nur einen Zutritt auf das Internet erlaubt.
Schieben Sie Internetkriminellen einen mehrere Riegel vor!
In Zeiten von Cloud-Computing, Bring your own Device (BYOD) und dem Internet der Dinge (IoT) ist es zunehmend schwieriger, das Unternehmensnetzwerk zuverlässig vor Internetangriffen und -bedrohungen abzusichern. Die Netzwerksegmentierung ist eine leistungsstarke IT-Sicherheitsmaßnahme, welche Betrieben hilft, die IT-Infrastruktur von innen heraus sicherer zu machen.
Die Vorzüge der Netzwerksegmentierung liegen klar auf der Hand. Sie hilft dabei,
- das Unternehmensnetzwerk vor Netzwerkangriffen zu schützen.
- Schäden im Falle eines IT-Sicherheitsvorfalls durch weniger große Angriffsflächen zu kontrollieren und zu begrenzen.
- große sowie komplexe Unternehmensnetzwerke administrierbar zu machen.
- den Sicherheitsstatus eines Unternehmensnetzwerkes zu erhöhen.
- die Observation des Netzwerkdatenverkehrs zu optimieren.
- die Netzwerk-Leistung zu steigern.
- technische Komplikationen zu orten.
Fazit: Keine Kompromisse bei der Netzwerksicherheit
Die Komplexität von Unternehmensnetzwerken steigt stetig. Zeitgleich werden IT-Sicherheitsanforderungen mit jedem neuen Anwender und jedem neuen Endgerät größer. Die Netzwerksegmentierung ist eine optimierte IT-Sicherheitsmaßnahme gegen Netzwerkangriffe, Ransomware-Infektionen sowie andere externe und interne Bedrohungen. Aber Vorsicht: Eine Netzwerksegmentierung ist kein Allheilmittel und sollte immer mit regelmäßigen Systemupdates, starken Zugangsdaten und Sicherheitslösungen zur Erkennung von Viren, Spam-E-Mails sowie Internetangriffen kombiniert werden.
Wollen auch Sie Ihr Unternehmen mit einer durchdachten Netzwerksegmentierung schützen? Oder sind Sie auf der Suche nach einer führenden Lösung in Sachen Netzwerksegmentierung? Kontaktieren Sie uns gerne unter der kostenfreien Rufnummer 0800 4883 338, wir beraten Sie gerne!
Foto © Laura Tancredi @ Pexels