Netzwerksicherheit: Architekturen, Technologien und Best Practices

Netzwerksicherheit ist das Rückgrat jeder Unternehmens-IT-Sicherheit. Während Endpoint-Sicherheit einzelne Geräte schützt und Anwendungssicherheit Software absichert, schützt Netzwerksicherheit die Kommunikationsinfrastruktur - die Adern des Unternehmens durch die alle Daten fließen. Ein kompromittiertes Netzwerk ermöglicht einem Angreifer Zugang zu allen angeschlossenen Systemen.

Das klassische Perimeter-Modell und seine Grenzen

Jahrzehntelang basierte Netzwerksicherheit auf dem Perimeter-Modell: Eine Firewall trennt das “sichere” interne Netz vom “unsicheren” Internet. Alles innerhalb des Perimeters wurde als vertrauenswürdig behandelt.

Dieses Modell ist gescheitert - aus drei Gründen:

1. Cloud und Remote Work: Mitarbeitende und Daten befinden sich nicht mehr im Perimeter. SaaS-Anwendungen laufen in der Cloud, Mitarbeitende arbeiten vom Homeoffice.

2. Laterale Bewegung nach Erstkompromittierung: Hat ein Angreifer erstmal die Firewall überwunden (via Phishing, VPN-Schwachstelle, kompromittiertem Lieferanten), kann er sich im “vertrauenswürdigen” Innenetz frei bewegen.

3. Insider-Bedrohungen: Nicht alle Bedrohungen kommen von außen. Mitarbeitende mit böswilliger Absicht oder kompromittierten Zugangsdaten sind bereits innerhalb des Perimeters.

Das Modell funktioniert als eine Schicht der Verteidigung in der Tiefe - aber nicht als alleinige Sicherheitsstrategie.

Defence in Depth: Mehrschichtige Netzwerksicherheit

Moderne Netzwerksicherheit nutzt mehrere Schichten, die sich gegenseitig ergänzen:

Internet
    │
    ▼
┌─────────────────────────────────┐
│  DDoS-Mitigation (Upstream-ISP) │
└─────────────────────────────────┘
    │
    ▼
┌─────────────────────────────────┐
│  Perimeter-Firewall / NGFW      │  → Blockiert bekannte Angriffe,
│  (Next-Generation Firewall)     │    IPS-Signaturen, GeoIP
└─────────────────────────────────┘
    │
    ├──────────────────┐
    ▼                  ▼
┌─────────┐      ┌──────────────────────┐
│   DMZ   │      │  VPN-Gateway          │
│  (Web,  │      │  (Remote Access,      │
│   Mail) │      │   Site-to-Site)       │
└─────────┘      └──────────────────────┘
    │                  │
    ▼                  ▼
┌─────────────────────────────────┐
│  Interne Firewall / Segmentierung│  → VLAN-Trennung, Micro-Seg.
└─────────────────────────────────┘
    │
    ├──── VLAN 10: Produktion (ERP, DBs)
    ├──── VLAN 20: Büro-IT (Workstations)
    ├──── VLAN 30: Entwicklung
    ├──── VLAN 50: OT/Industrial (isoliert!)
    └──── VLAN 99: Management (stark eingeschränkt)
    │
    ▼
┌─────────────────────────────────┐
│  SIEM + NDR (Monitoring)         │  → Anomalie-Erkennung, Alerting
└─────────────────────────────────┘

Netzwerksegmentierung im Detail

Netzwerksegmentierung ist eine der wirkungsvollsten Sicherheitsmaßnahmen - und gleichzeitig eine der am häufigsten vernachlässigten.

Warum Segmentierung wichtig ist

Ohne Segmentierung gilt: Ein Angreifer der einen Buchhaltungsrechner kompromittiert, kann direkt auf den Datenbankserver, den Domaincontroller und alle anderen Systeme zugreifen. Mit Segmentierung: Er ist in seinem VLAN gefangen, bis er die interne Firewall überwinden kann.

Der NotPetya-Angriff (2017) ist das prominenteste Beispiel: Die Malware breitete sich innerhalb von Stunden durch flache, unsegmentierte Netzwerke aus und kostete Maersk, Merck und andere Unternehmen zusammen über 10 Milliarden Dollar. Maersk musste 45.000 PCs neu aufsetzen.

VLAN-Konzept

VLANs (Virtual Local Area Networks) trennen Netzwerke logisch, auch wenn sie physisch dieselbe Infrastruktur nutzen. Die Trennung wird durch Switches und Firewalls durchgesetzt.

Empfohlene VLAN-Struktur:

VLAN	Verwendung	Erlaubte Zugriffe
10	Server/Produktion	Nur aus VLAN 20/30 auf definierten Ports
20	Büro-Clients	Internet (via Proxy), interne Dienste (definiert)
30	Entwicklung	Dev-Server, Testumgebungen, Internet (via Proxy)
40	Gäste-WLAN	NUR Internet, kein interner Zugang
50	OT/SCADA	Physisch isoliert oder streng kontrollierter Gateway
60	IoT/Gebäudetech	Isoliert, kein Zugang zu anderen VLANs
99	Management (Out-of-Band)	Nur von dedizierten Jump-Hosts

Micro-Segmentierung (Zero Trust Networks)

Micro-Segmentierung geht weiter als VLANs: Einzelne Workloads oder Anwendungen werden isoliert, Kommunikation nur auf definierten Pfaden erlaubt. Realisiert durch:

• SDN (Software-Defined Networking): Zentrale Kontrolle aller Netzwerkflüsse
• VMware NSX / Cisco ACI: Micro-Segmentierung in virtualisierten Umgebungen
• eBPF-basierte Lösungen (Cilium): Netzwerkpolicies in Kubernetes-Clustern

Firewall-Technologien

Stateful Inspection Firewall

Verfolgt den Zustand aktiver Verbindungen und erlaubt nur legitime Antwortpakete. Blockiert unerwünschte eingehende Verbindungen.

Geeignet für: Perimeter-Schutz, NAT, grundlegende Paktefilterung.

Next-Generation Firewall (NGFW)

NGFWs (Palo Alto, Fortinet, Check Point, Cisco Firepower) kombinieren:

• Deep Packet Inspection (DPI): Inhalt des Pakets wird analysiert, nicht nur Header
• Application Awareness: Erkennt Anwendungen unabhängig von Port (Netflix auf Port 443)
• IPS-Integration: Intrusion Prevention direkt in der Firewall
• User Identity: Regeln basierend auf Benutzeridentität (via Active Directory Integration)
• SSL/TLS-Inspektion: Entschlüsselt und inspiziert verschlüsselten Traffic (HTTPS-Inspektion)
• URL-Filtering: Kategoriebasierte Web-Filter
• Threat Intelligence: Blockiert IPs/Domains aus Threat-Feeds

Web Application Firewall (WAF)

Eine WAF schützt speziell Webanwendungen vor OWASP Top 10 Angriffen: SQL Injection, XSS, CSRF, SSRF. Sie arbeitet auf Anwendungsebene (Layer 7) und versteht HTTP/HTTPS-Protokoll.

Geeignet für: Schutz öffentlicher Webanwendungen, API-Schutz, OWASP-Compliance.

Intrusion Detection und Prevention

IDS/IPS-Architekturen

Netzwerk-IDS (NIDS): Passives System, das Netzwerkverkehr überwacht und Anomalien meldet. Geringer Einfluss auf Performance, kein Blocking.

Netzwerk-IPS (NIPS): Inline-System das Angriffe in Echtzeit blockiert. Höhere Auswirkung bei False Positives (Blocken von legitimem Traffic).

Host-IDS/IPS (HIDS/HIPS): Läuft auf einzelnen Hosts, analysiert Systemaufrufe, Dateizugriffe, Prozesse. Heute oft als Teil von EDR-Lösungen integriert.

Erkennungsmethoden

Signaturbasierte Erkennung: Bekannte Angriffsmuster (wie Antivirus-Signaturen) werden im Traffic gesucht. Hohe Präzision für bekannte Angriffe, blind für Zero-Days.

Anomaliebasierte Erkennung: Das System lernt Normalverhalten (Baseline) und meldet Abweichungen. Erkennt unbekannte Angriffe, höhere False-Positive-Rate.

Verhaltensbasierte Erkennung (NDR): Network Detection and Response-Systeme (Darktrace, ExtraHop, Vectra AI) nutzen Machine Learning für kontinuierliches Verhaltensmonitoring. Erkennen subtile Anzeichen wie:

• Ungewöhnliche Datenmengen (potenzielle Exfiltration)
• Laterale Bewegung im Netzwerk
• Command-and-Control-Kommunikation
• Anomale Zugriffszeiten oder -muster

Sichere Netzwerkkommunikation

TLS/HTTPS überall

Alle Kommunikation im Netzwerk sollte verschlüsselt sein - auch intern. “HTTP nur intern” ist keine akzeptable Sicherheitsmaßnahme mehr. TLS 1.3 oder TLS 1.2 mit starken Cipher Suites.

IPsec für Site-to-Site und Remote Access

IPsec verschlüsselt IP-Pakete auf Netzwerkebene (Layer 3). Standard für Site-to-Site VPNs zwischen Unternehmensstandorten. IKEv2 ist der aktuelle Standard; IKEv1 sollte deaktiviert sein.

WireGuard als moderne Alternative

WireGuard ist ein moderneres VPN-Protokoll mit deutlich kleinerem Codebase (~4.000 Zeilen vs. ~100.000 bei OpenVPN). Schneller, einfacher zu konfigurieren, kryptographisch modern.

DNS over HTTPS / DNS over TLS

Standardmäßige DNS-Abfragen sind unverschlüsselt - ISPs und Angreifer können alle aufgelösten Domains sehen. DNS over HTTPS (DoH) oder DNS over TLS (DoT) verschlüsseln DNS-Abfragen.

Netzwerksicherheit und OT/ICS

Operational Technology (OT) - industrielle Steuerungssysteme (SCADA, ICS, SPS) - stellt besondere Herausforderungen:

• Alte Protokolle: Modbus, DNP3, Profinet sind oft ohne Authentifizierung und Verschlüsselung
• Patch-Schwierigkeiten: OT-Systeme können oft nicht einfach gepatcht werden (Wartungsintervalle, Herstellerfreigaben)
• Verfügbarkeit hat Priorität: Ein Neustart eines Steuerungssystems ist keine Option
• Air Gap ist keine Lösung: Viele OT-Netzwerke sind für Fernwartung und Updates mit IT verbunden

Best Practices für OT/IT-Netzwerktrennung:

• Physische oder logische Trennung (Demilitarisierte Zone zwischen IT und OT)
• Unidirektionale Gateways (Data Diodes) für Monitoring-Traffic von OT → IT
• Strikte Jump-Server-Lösung für legitimen IT→OT-Zugang
• IDS für OT-Protokolle (Nozomi Networks, Claroty, Dragos)

Häufige Angriffsvektoren und Gegenmaßnahmen

Netzwerk-Scanning und Reconnaissance

Angreifer: nmap, masscan zum Identifizieren offener Ports und Services

Gegenmaßnahmen:

• Nicht benötigte Ports schließen
• IDS-Signatur für Portscan-Muster
• Rate-Limiting auf Firewall für neue Verbindungen

ARP-Spoofing (LAN-Angriffe)

Angreifer: Täuscht vor, das Standard-Gateway zu sein → Man-in-the-Middle im lokalen Netz

Gegenmaßnahmen:

• Dynamic ARP Inspection (DAI) auf Switches
• 802.1X-Authentifizierung für alle LAN-Ports
• Private VLANs (verhindert Kommunikation zwischen Clients im selben VLAN)

VLAN Hopping

Angreifer: Nutzt Fehlkonfigurationen in Trunk-Ports oder Double Tagging um andere VLANs zu erreichen

Gegenmaßnahmen:

• Trunk-Ports explizit konfigurieren (kein auto-trunking)
• Native VLAN von Standard (VLAN 1) auf unbenutztes VLAN ändern
• Ungenutzte Ports in ein “Parking”-VLAN legen und deaktivieren

SMB-basierte Angriffe (Lateral Movement)

Angreifer: EternalBlue, Pass-the-Hash, Pass-the-Ticket über SMB (Windows File Sharing)

Gegenmaßnahmen:

• SMB nicht zwischen Clients erlauben (Firewall-Regel: VLAN 20 → VLAN 20: SMB verboten)
• Windows Defender Firewall (Endpoint Firewall) aktivieren
• SMB v1 deaktivieren (WannaCry-Gegenmaßnahme)
• Credential Guard (Windows 11) gegen Pass-the-Hash

DNS-Angriffe

Angreifer: DNS-Tunneling für C2-Kommunikation (umgeht Firewall-Regeln), DNS-Spoofing

Gegenmaßnahmen:

• DNS-Filtering (Blockieren bekannter C2-Domains, Kategoriefilter)
• DNS-Traffic-Analyse im SIEM (ungewöhnlich hohe DNS-Query-Volumes)
• DNSSEC (gegen Spoofing)
• Interne DNS-Server statt direkter Internetzugang zu externen DNS

Netzwerk-Penetrationstest

Ein Netzwerk-Penetrationstest simuliert einen Angreifer der:

• Von außen (externer Test) versucht, in das Netzwerk einzudringen
• Von innen (interner Test / “Assumed Breach”) versucht, sich lateral zu bewegen und Privilegien zu eskalieren

Typische Erkenntnisse aus Netzwerk-Penetrationstests:

Häufigste Findings (Praxisdaten):

1. Ungepatchte Systeme (kritisch) - oft Windows Server 2012+, ältere VPN-Appliances
2. SMB v1 noch aktiv - EternalBlue-Risiko
3. LLMNR/NBT-NS aktiviert - NTLM-Hash-Capture mit Responder
4. Fehlende Netzwerksegmentierung - Client-VMs können auf Server zugreifen
5. Standard-Credentials auf Netzwerkgeräten (Switches, Drucker, Router)
6. Unverschlüsselte Protokolle intern (Telnet, HTTP, FTP)
7. Kerberoasting-Anfälligkeit (schwache Service-Account-Passwörter)
8. Nicht überwachte Out-of-Band-Management-Zugänge (IPMI, iDRAC, iLO)

Scope eines Netzwerk-Pentests:

• Externer Test: Öffentliche IP-Adressen des Unternehmens
• Interner Test: Internes Netzwerk (oft mit initialer VPN-Verbindung oder vor-Ort)
• Annahme-Kompromittierung-Test: Startet mit niedrigprivilegierten Domain-Credentials

Monitoring und Detection

SIEM (Security Information and Event Management)

SIEMs sammeln Logs aus allen Netzwerkquellen und korrelieren sie:

• Firewall-Logs: Blockierte Verbindungen, erlaubte Flows
• IDS/IPS-Alerts: Erkannte Angriffe
• DNS-Query-Logs: Verbindungen zu C2-Domains
• VPN-Logs: Authentifizierungen, Verbindungszeiten
• Netflow/IPFIX: Netzwerk-Verkehrsstatistiken (wer kommuniziert mit wem?)
• Active Directory-Logs: Authentifizierungen, Privilegien-Nutzung

Kritische Korrelationsregeln:

• Brute-Force: 10+ fehlgeschlagene Logins in 60 Sekunden → Alert
• Lateral Movement: Neuer Admin-Login auf nicht-Standard-Workstation
• Exfiltration: Ungewöhnliche ausgehende Datenmenge zu externem Ziel
• Beacon: Regelmäßige kleine DNS-Abfragen zu selten besuchten Domains

Network Detection and Response (NDR)

NDR-Systeme analysieren Netzwerkverkehr (nicht nur Logs) auf Verhaltensebene - und erkennen Angriffe die keine Signatur hinterlassen.

Netzwerksicherheit in der Cloud

Cloud-Netzwerksicherheit unterscheidet sich vom klassischen On-Premises-Ansatz:

VPC/VNET (Virtual Private Cloud / Virtual Network): Logisch isolierte Netzwerke in AWS/Azure/GCP. Security Groups und Network ACLs ersetzen physische Firewalls.

Security Groups: Zustandsbehaftete Firewall-Regeln auf Instanz-Ebene. Whitelist-Modell: nur explizit erlaubter Traffic gelangt durch.

Service Endpoints / Private Link: Verbindungen zu Cloud-Diensten (S3, Azure Storage) über private Netzwerkverbindungen statt öffentliches Internet.

Cloud-native Firewall: AWS Network Firewall, Azure Firewall, GCP Cloud Armor - verwaltete Firewall-Dienste mit IPS-Funktionalität.

Herausforderung: Fehlkonfigurationen (öffentlich erreichbare S3-Buckets, offene Security Groups) sind die häufigste Ursache von Cloud-Datenverletzungen.

Compliance-Anforderungen

BSI IT-Grundschutz:

• NET.1.1 Netzarchitektur: Segmentierung, DMZ, Management-Netz
• NET.1.2 Netzmanagement: Sichere Verwaltung von Netzwerkkomponenten
• NET.3.2 Firewall: Konfigurationsanforderungen, Change Management
• NET.3.3 VPN: Kryptographische Anforderungen (BSI TR-02102-3)

NIS2 Art. 21: Netzwerksicherheitsmaßnahmen als explizite Anforderung.

ISO 27001:2022 Anhang A 8.20: Netzwerksicherheit als eigenständige Kontrollmaßnahme.

KRITIS IT-SiG 2.0: Systeme zur Angriffserkennung (SzA) verpflichtend - typisch IDS/IPS + SIEM + NDR.

Empfehlungen für den Einstieg

Sofortmaßnahmen (niedrig hängende Früchte):

1. LLMNR und NetBIOS-Namensauflösung deaktivieren (NTLM-Hash-Capture verhindern)
2. SMB v1 auf allen Windows-Systemen deaktivieren
3. Standard-Credentials auf allen Netzwerkgeräten ändern
4. Management-Zugang auf Netzwerkgeräte auf definierte Admin-IPs einschränken
5. Alle ungenutzten Switch-Ports deaktivieren und in “Parking-VLAN” setzen

Kurzfristig (1-3 Monate): 6. Netzwerksegmentierungskonzept erstellen und implementieren 7. IDS/IPS aktivieren (NGFW-Feature nutzen falls vorhanden) 8. DNS-Filtering aktivieren 9. VPN auf MFA upgraden (Zertifikat + OTP oder FIDO2) 10. Netzwerk-Penetrationstest beauftragen

Mittelfristig (3-12 Monate): 11. SIEM implementieren mit grundlegenden Korrelationsregeln 12. 802.1X für WLAN und kabelgebundene Ports 13. NAC (Network Access Control) einführen 14. Zero-Trust-Strategie entwickeln