Mehr Sicherheit durch Teilen

Netzwerke segmentieren. Aber sinnvoll.

Höhere Sicherheit durch Steuerung der Zugriffsrechte.

Unser IT-Sicherheitsexperte René Möller gibt Ihnen Tipps zum Thema Informationssicherheit im Unternehmen. Hier geben wir Ihnen ein paar Tipps, wie Sie eine sinnvolle Netzwerksegmentierung planen und umsetzen.

Wie schütze ich meine Netzwerke vor unberechtigtem Zugriff?

Im kleinen 1x1 von Cyber Security Experten heißt es: Netzwerke, oder besser gesagt Sicherheitszonen, sollten voneinander segmentiert werden. Sicherheitszonen sind definierte Bereiche eines oder mehrerer Netzwerke, welche bestimmte Eigenschaften haben.

Sinnvolle Gruppierungen erfolgen idealerweise nach:

  • Gerätetypen (Office PCs, Smartphone, Drucker, Server, IoT/OT Geräte, etc.)
  • Funktionen wie bspw. Servergruppen (Fileserver, ERP Systeme, etc.)
  • Clientgruppen (private Clients, dienstliche Clients)

Wichtig ist die Gemeinsamkeit der definierten Zonen, an die bestimmte Sicherheitsansprüche gestellt werden. Diese können sehr gut nach den drei Informationssicherheitsgrundzielen Verfügbarkeit, Vertraulichkeit und Integrität bestimmt werden.

Haben bspw. Clients die Priorität Vertraulichkeit und Integrität, so haben Server, die Dienste für viele Clients anbieten, zusätzlich eine viel höhere Priorität an die Verfügbarkeit. Darüber hinaus sollten Serversysteme noch nach den Kriterien „intern und extern erreichbar“ getrennt werden. Ein internes Kriterium wäre bspw. ein Druckserver, ein externes ein E-Mail-Server.

2 Herausforderungen in der Netzwerksegmentierung.

Die Hauptmotivation der Segmentierung ist der Schutz vor unberechtigtem Zugriff. Damit soll vermieden werden, dass sich ein Angriff von einem kompromittierten Gerät nicht - oder nicht so leicht - auf das gesamte Unternehmensnetzwerk verbreiten kann. In der Praxis ist dies allerdings nicht so einfach umzusetzen. Zwei Hauptgründe dafür sind:
 
  1. Segmentierung bedeutet nicht gleich Trennung. Daten müssen von einer Zone in die andere übertragen werden. Die genutzten Dienste müssen als Firewall-Regeln definiert werden. Über diese geöffneten Ports können und werden jedoch Angriffe durchgeführt.
  2. Die jeweilige Definition der notwendigen Dienste ist oft nur durch eine aufwändige Analyse des Datenverkehrs möglich, gerade wenn Herstellerangaben zur Software ungenau sind.

Je besser das Logging und die Eventanalyse der eingesetzten Firewall-Lösung ist, desto leichter, sicherer und schneller ist die Definition der Dienste möglich. Darauf aufsetzend müssen die Pakete auch inspiziert werden, denn Angriffe finden sehr oft über Protokolle und / oder Applikationsschwachstellen statt, welche erkannt und blockiert werden müssen.

Unsere Managed Firewall Lösungen der Produktlinie Secure Net sowie Internet Pro Secure bieten exzellente Möglichkeiten der Logfile-und Eventanalyse sowie eine Angriffsverteidigung auf Protokollebene. Unsere Spezialisten können gemeinsam mit Ihnen effizient die beste Lösung umsetzen. Sprechen Sie uns gerne an.