Netzwerksegmentierung
Aufteilung eines Netzwerks in isolierte Segmente (VLANs, Subnets, Zonen) um die Ausbreitung von Angreifern nach einem initialen Einbruch zu begrenzen. Kernprinzip der Defence-in-Depth-Strategie und Voraussetzung für Zero Trust.
Netzwerksegmentierung unterteilt ein flaches Netzwerk in isolierte Bereiche mit kontrollierten Übergängen. Das Prinzip basiert auf einer wichtigen Erkenntnis: Angreifer werden irgendwann in ein Netzwerk gelangen. Die Frage ist, wie weit sie sich nach dem initialen Einbruch ausbreiten können.
Das Problem: Flache Netzwerke
In vielen Unternehmen gibt es ein einziges großes Netzwerk:
Alle Geräte im selben Segment: Buchhaltungs-PC ↔ Produktions-SPS ↔ Domain Controller ↔ Drucker ↔ Gäste-WLAN
Konsequenz: Malware auf dem Gäste-Laptop → direkter Zugriff auf alle anderen Geräte. Ein Angreifer der ein schwaches Glied (z.B. ungepatchten Drucker) kompromittiert, hat sofort Zugang zum Domain Controller.
Segmentierungskonzepte
VLAN (Virtual Local Area Network)
VLANs trennen Netzwerke auf Layer 2 des OSI-Modells - ohne physische Trennung der Kabel:
| VLAN | Verwendung |
|---|---|
| VLAN 10 | Büronetzwerk (Workstations, Laptops) |
| VLAN 20 | Server-Netzwerk (File Server, Appserver) |
| VLAN 30 | Management-Netzwerk (Switches, Router, DRAC/iLO) |
| VLAN 40 | OT/Produktionsnetzwerk (SPS, Maschinen) |
| VLAN 50 | DMZ (extern erreichbare Server) |
| VLAN 60 | Gäste-WLAN (vollständig isoliert) |
| VLAN 70 | IoT-Geräte (Drucker, Kameras, smarte Geräte) |
Zwischen VLANs: Firewall-Regeln die nur erlaubten Traffic durchlassen.
DMZ - Demilitarized Zone
Internet → Firewall1 → DMZ (Webserver, Mail-Gateway, VPN) → Firewall2 → Intern
DMZ-Systeme sind aus dem Internet erreichbar - aber von internen Systemen streng getrennt. Wird DMZ-System kompromittiert: kein direkter Weg ins interne Netz.
Micro-Segmentierung
Modernster Ansatz: Segmentierung nicht nur auf Netzwerk-Ebene, sondern auf Individual-System-Ebene.
Statt: Server-VLAN (alle Server kommunizieren frei)
Besser: Webserver A darf NUR kommunizieren mit:
- Datenbank-Server X auf Port 5432
- Load Balancer auf Port 80/443
- Alle anderen Verbindungen: BLOCKIERT
Implementierung: Software-Defined Networking (SDN), VMware NSX, Cisco ACI, Cloud Security Groups.
Segmentierung und Ransomware
Ohne Segmentierung:
- Ransomware auf Workstation X
- SMB-Broadcast im Netz
- Alle erreichbaren Shares verschlüsselt
- Active Directory kompromittiert
- Kompletter Shutdown (alle 500 Systeme)
Mit Segmentierung:
- Ransomware auf Workstation X (Büro-VLAN 10)
- Firewall blockiert SMB zu Server-VLAN
- Nur Workstations im selben Segment betroffen
- Server und Domain Controller unangetastet
- Wiederherstellung in Stunden statt Wochen
Netzwerksegmentierung ist einer der wirksamsten Ransomware-Schutzmechanismen.
Segmentierung zwischen IT und OT
Operational Technology (OT) - Steuerungssysteme für Produktion, Gebäude, Infrastruktur - darf niemals im selben Netzwerk wie IT-Systeme sein:
IT-Netz ← Firewall (Air Gap oder Data Diode) → OT-Netz
Erlaubter Traffic:
- Nur von IT zu OT (nicht zurück): Monitoring-Daten lesen
- Keine Verbindung von OT-Workstations ins Internet
Verboten:
- Keine direkten Verbindungen zwischen IT-Workstations und SPS
- Kein Internet-Zugang für OT-Geräte
Triton/TRISIS-Malware (2017): Angriff auf Safety-Systeme einer Raffinerie war möglich weil IT und OT verbunden waren.
Compliance-Anforderungen
PCI DSS 1.3: Netzwerksegmentierung als Pflicht für Cardholder Data Environment - Zahlungssysteme müssen von anderen Netzwerken isoliert sein.
NIS2 Art. 21: Netzwerksicherheit und Netzsegmentierung als explizite Maßnahme für wesentliche Einrichtungen.
BSI IT-Grundschutz NET.1.1: Netzwerk-Architektur und -design - Segmentierung als Grundanforderung.
ISO 27001 A.8.22: Trennung von Netzwerken.
