Zum Inhalt springen Zur Navigation springen
Netzwerksegmentierung: Manchmal ist es besser, sich zu trennen

Netzwerksegmentierung: Manchmal ist es besser, sich zu trennen

Artikel von Dr. Datenschutz·7. August 2020

Es gibt einige Aspekte, wie beispielsweise eine gute Konfiguration der Firewall und die Benutzung von Anti-Viren Software, um die Sicherheit des Firmennetzwerks zu erhöhen. Warum es manchmal besser ist, Netzwerke zu trennen und welche Vorteile Netzwerksegmentierung genau mit sich bringt, erklärt der folgende Beitrag.

Netzwerksegmentierung: Was ist das?

Bei einer Netzwerksegmentierung wird das Unternehmensnetz in einzelne Bereiche unterteilt, um ein höheres IT-Sicherheitsniveau gewährleisten zu können. Hierbei trennt man vor allem Bereiche, die nur bedingt oder gar nicht miteinander vernetzt sind. Hierfür empfiehlt es sich, die Netzwerksegmente zum Beispiel nach Abteilungen zu unterteilen. Der Zugriff auf die Produktionsanlage muss bspw. nicht über die Clients aus den Bereichen Vertrieb, Buchhaltung oder Personalabteilung möglich sein. Dass ebenfalls eine Segmentierung zwischen Test- und Produktivumgebung sinnvoll ist, steht außer Frage.

Viele Unternehmen tätigen langfristige Investitionen, wenn etwa eine gekaufte Produktionsanlage eine Nutzdauer von mehreren Jahren oder sogar Jahrzehnten aufweist. Hierbei kann es vorkommen, dass aufgrund älterer Versionen keine aktuellen Softwareupdates mehr unterstützt werden und somit die Sicherheit darunter leiden würde. Wenn die Maschinen an sich aber noch voll funktionsfähig sind, wäre es unvorteilhaft, schon in neue zu investieren. Bei solchen Fällen ist es manchmal besser, sich zu trennen – hierbei kann die Netzwerksegmentierung Abhilfe schaffen, in dem der betroffene Rechner vom restlichen Netzwerk und dem Internet abgekoppelt wird und seine Aufgaben in einer eigenen Umgebung weiterhin verrichten kann.

Dem Angreifer ein Dorn im Auge

Die meisten IT-Sicherheitsvorfälle gehen von einem Netzwerksegment aus und infiltrieren den Rest des Netzwerks durch fehlende Segmentierung, da einfach Remote von einem Server auf alle anderen zugegriffen werden kann. Ebenfalls breitet sich Schadsoftware schneller aus, vor allem, wenn keine Barrieren existieren.

Angriffe grundsätzlich zu verhindern, ist nahezu ein Ding der Unmöglichkeit. Aber es existieren ausreichend Sicherheitsmaßnahmen, die auf der einen Seite einen Angriff deutlich erschweren und auf der anderen Seite den zu erwartenden Schaden möglichst geringhalten. Es ist ein großer Unterschied, ob ein einzelnes Segment in einem Firmennetzwerk unter einem Sicherheitsvorfall leidet und ggf. komplett neu aufgesetzt wird, oder das gesamte Unternehmensnetz betroffen ist und somit auch eventuelle weitere Unternehmen, wenn bspw. externe Dienstleistungen gestellt oder bezogen werden.

Es erweist sich als sinnvoll, die Funktionsbereiche der Netzwerkumgebung gut zu definieren und auch die Themen Datensensibilität und Zugangsbeschränkungen zu berücksichtigen. Somit segmentieren Unternehmen häufig auch Zonen mit kritischen Daten und IT-administrativen Funktionen. Eine regelmäßige Überprüfung der Segmentierung, gerade nach Änderungen in der Netzwerkumgebung, ist eine Grundvoraussetzung für die Steigerung der IT-Sicherheit im Unternehmen.

Finanzielle Sichtweise

Es ist ratsam, vor der Segmentierung einen Netzplan zu erstellen und zunächst abzuwägen, welche Bereiche zwingend segmentiert werden sollten und welche vorerst bereits von einer Verschärfung der Policies profitieren können. Eine Netzwerksegmentierung ist ein längerer, oft aufwändiger Prozess, der mit zeitweiligen Einbußen in der Funktionsfähigkeit einiger Bereiche verbunden sein kann.

In der Phase der Umgestaltung und Umsetzung kann es somit auch zu finanziellen Einbußen kommen. Das sind Aspekte, die im Vorwege zu berücksichtigen sind. Ebenfalls ist zu bedenken, dass die Einrichtung der Segmentierung häufig auch mit einem Mehr an Datenverkehr verbunden ist. Dies kann eine eventuelle Investition in leistungsstärkere Systeme mit sich bringen. Eine sinnvolle Schritt-für-Schritt Anleitung zur Implementierung von Schutzmaßnahem ist bspw. auf der Seite des BSI zu finden.

Eine abschließende Betrachtung

Ein Unternehmensnetz in einzelne Bereiche zu unterteilen erhöht die IT-Sicherheit des Unternehmens. Dabei aber besser nicht blind drauf los segmentieren, nach dem Motto „je mehr desto besser“. Dokumentation zu jeder Zeit ist hierbei essentiell. Damit wahrt man den Überblick und entwickelt schneller Lösungen bei eventuellen Ausfällen. Durch eine Netzwerksegmentierung sind Unternehmen in der Lage, schneller Bedrohungen zu identifizieren und durch die isolierte Umgebung zu kontrollieren. Dies verhindert, einen kompletten Systemausfall befürchten zu müssen. Auch das Thema Datenschutz und die Umsetzung von Richtlinien und Erkennungs- und Abwehrmechanismen profitieren von einer Trennung.

Zum Schluss sei jedoch erwähnt, dass das Trennen durch Netzwerksegmentierung nur ein Teil eines ganzheitlichen IT-Sicherheitskonzepts ist. Erst in Verbindung mit weiteren Schutzmaßnahmen stellt es eine effektive Lösung zur Steigerung der Unternehmenssicherheit dar.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.