Netzwerksicherheit

Netzwerksicherheit bezeichnet den Schutz von Computernetzwerken vor unbefugtem Zugriff, Datenverlust, Sabotage und Spionage. Sie ist die Grundlage jeder Unternehmens-IT-Sicherheit - alle anderen Sicherheitsbereiche (Endpoint, Cloud, Anwendungen) setzen sichere Netzwerke voraus.

Schutzziele

Netzwerksicherheit dient drei fundamentalen Schutzzielen:

Vertraulichkeit: Daten werden nur von autorisierten Personen gelesen (Verschlüsselung, Zugriffskontrollen).

Integrität: Daten können nicht unbemerkt verändert werden (Hashing, Signaturen, IDS/IPS).

Verfügbarkeit: Netzwerke und Dienste sind zuverlässig erreichbar (DDoS-Schutz, Redundanz, QoS).

Kerntechnologien

Firewall

Die Firewall ist die erste Verteidigungslinie. Sie filtert Netzwerkverkehr anhand von Regeln:

• Stateless Firewall: Prüft einzelne Pakete ohne Kontext (veraltet)
• Stateful Inspection Firewall: Verfolgt Verbindungszustände (Standard)
• Next-Generation Firewall (NGFW): Deep Packet Inspection, Application Awareness, IDS/IPS-Integration, SSL-Inspektion

Internet → NGFW (DMZ) → WAF → Webserver
                     → VPN Gateway → Intranet
                     → SIEM (Logging aller Flows)

IDS und IPS

IDS (Intrusion Detection System): Erkennt Angriffe und Anomalien im Netzwerkverkehr, erzeugt Alerts.

IPS (Intrusion Prevention System): Erkennt und blockiert Angriffe in Echtzeit.

Signaturbasiert: Erkennt bekannte Angriffsmuster (hohe Treffsicherheit, aber blind für neue Angriffe).

Anomaliebasiert: Erkennt Abweichungen vom Normalverhalten (erkennt auch Zero-Days, höhere Fehlalarmrate).

Moderne NGFWs integrieren IPS-Funktionalität direkt.

Netzwerksegmentierung

Das Prinzip: Das Netzwerk wird in isolierte Segmente (VLANs, Subnetze) aufgeteilt. Kompromittierung eines Segments bedeutet nicht automatisch Zugang zu allen anderen.

Segment: Produktion    (VLAN 10) - ERP, Datenbanken
Segment: Büro-IT       (VLAN 20) - Arbeitsplätze, Drucker
Segment: DMZ           (VLAN 30) - Webserver, Mail-Relay
Segment: Management    (VLAN 99) - Switches, Router, BMC
Segment: OT/Industrial (VLAN 50) - Steuerungssysteme (physisch getrennt!)

Firewall-Regel: VLAN 20 → VLAN 10: NUR Port 443 (HTTPS)
Firewall-Regel: VLAN 30 → VLAN 10: VERBOTEN

Ohne Segmentierung kann ein Angreifer nach erstem Zugang das gesamte Netzwerk lateral durchqueren (Lateral Movement).

VPN (Virtual Private Network)

VPNs verschlüsseln Verbindungen über unsichere Netze (Internet):

• Site-to-Site VPN: Verbindet Unternehmensniederlassungen
• Remote-Access VPN: Mitarbeitende verbinden sich von außen (IPsec, OpenVPN, WireGuard)

Sicherheitsrisiken: Ungepatchte VPN-Appliances sind häufig angegriffene Einstiegspunkte (Fortinet, Citrix, Pulse Secure hatten kritische Schwachstellen 2020-2024).

NAC (Network Access Control)

NAC kontrolliert, wer sich mit dem Netzwerk verbinden darf. Vor dem Zugang werden Geräte auf Compliance geprüft:

• Ist das Betriebssystem aktuell gepatcht?
• Ist Antivirus aktiv?
• Ist das Gerät inventarisiert?

Non-compliant-Geräte landen in einem Quarantäne-VLAN.

DNS-Sicherheit

DNS ist ein unterschätzter Angriffspunkt:

• DNS-Spoofing/Cache Poisoning: Gefälschte DNS-Antworten leiten auf Angreifer-Server um
• DNS-Tunneling: Malware nutzt DNS für Command & Control (schwer zu blockieren)
• DNSSEC: Kryptographische Signierung von DNS-Antworten (Authentizitätsschutz)
• DNS-Filterung: Blockt Domains von Malware/C2-Servern (Kategoriefilter)

Häufige Netzwerkangriffe

ARP-Spoofing / ARP-Poisoning: Angreifer im lokalen Netz täuscht vor, das Standard-Gateway zu sein → Man-in-the-Middle-Position. Gegenmaßnahme: Dynamic ARP Inspection (DAI) auf Switches, 802.1X.

VLAN Hopping: Switch Spoofing oder Double Tagging ermöglicht Zugang zu anderen VLANs. Gegenmaßnahme: Trunk-Ports explizit konfigurieren, native VLAN ändern.

Rogue Access Points: Nicht autorisierte WLAN-Zugangspunkte (auch durch Mitarbeitende eingebracht). Gegenmaßnahme: WLAN-IDS, 802.1X statt Pre-Shared Keys.

Man-in-the-Middle: Angreifer positioniert sich zwischen Client und Server, liest oder manipuliert Kommunikation. Gegenmaßnahme: TLS überall, HSTS, Zertifikats-Pinning.

DDoS (Distributed Denial of Service): Volumetrische Überlastung von Netzwerkverbindungen oder Diensten. Gegenmaßnahme: Upstream-DDoS-Mitigation, anycast, CDN, Scrubbing-Center.

Netzwerksicherheit testen

Netzwerk-Penetrationstest: Simuliert einen Angreifer der von außen (extern) oder nach erstem Einbruch (intern) das Netzwerk angreift. Testet Firewall-Regeln, Segmentierung, Authentifizierung, ungepatchte Systeme.

# Typische Pentest-Werkzeuge (Netzwerk)
nmap -sV -sC -O --script vuln 192.168.0.0/24   # Discovery + Schwachstellen
masscan -p1-65535 --rate=10000 10.0.0.0/8       # Schnelles Port-Scanning
responder -I eth0 -rdwv                          # LLMNR/NBT-NS Poisoning
impacket-secretsdump -target-ip 10.0.0.5        # SMB/NTLM-Daten

Netzwerksicherheit und Compliance

NIS2 Art. 21: Sicherheitsmaßnahmen umfassen explizit Netzwerksicherheit (Netzwerkkonfiguration, Firewalls, Segmentierung).

BSI IT-Grundschutz NET-Bausteine: NET.1.1 (Netzarchitektur), NET.1.2 (Netzmanagement), NET.3.2 (Firewall), NET.3.3 (VPN) definieren detaillierte Anforderungen.

ISO 27001 A.8.20: “Netzwerksicherheit” als explizite Kontrolle in ISO/IEC 27001:2022.

KRITIS: Betreiber kritischer Infrastrukturen müssen “Systeme zur Angriffserkennung” (SzA) gemäß IT-SiG 2.0 betreiben - typisch realisiert durch IDS/IPS und SIEM.

Zero Trust und Netzwerksicherheit

Klassische Netzwerksicherheit basiert auf dem Perimeter-Modell: “Innen ist sicher, außen ist gefährlich.” Zero Trust ersetzt dieses Modell:

• Kein implizites Vertrauen basierend auf Netzwerkposition
• Jede Verbindung wird authentifiziert und autorisiert (Nutzer + Gerät + Kontext)
• Micro-Segmentierung bis auf Anwendungsebene
• Kontinuierliches Monitoring aller Verbindungen

Netzwerksegmentierung bleibt wichtig - aber nicht als alleinige Sicherheitsmaßnahme.