de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Sicherheit im Netz - Netzwerksegmentierung

Viele Unternehmen nutzen in Bereichen der Lagerhaltung oder der Produktion häufig noch eine ältere IT-Ausstattung, bspw. einen oder mehrere Windows-XP-Rechner in der Produktionshalle. Durch die Verwendung von alten Servern bzw. Clients entsteht das Risiko, von außen angreifbar zu werden. Das zentrale Problem sind fehlende Sicherheitsupdates für Server und Clients.

Im Pro­duk­ti­on­s­um­feld sind die Anla­gen und Pro­duk­ti­ons­ma­schi­nen vor dem Hin­ter­grund ange­schafft wor­den, dem Unter­neh­mens­zweck gege­be­nen­falls 15 - 20 Jahre (oder noch län­ger) zu die­nen. Die hier­für ver­wen­de­ten Sys­teme kön­nen meist nur auf dem ursprüng­li­chen Betriebs­sys­tem betrie­ben wer­den. Möchte man bei die­sen Cli­ents bzw. Ser­vern auf ein neues Betriebs­sys­tem migrie­ren, ent­ste­hen oft hohe Kos­ten und Mühen, vor­aus­ge­setzt, dies das Sys­tem bzw. die Pro­duk­ti­ons­an­lage lässt dies über­haupt zu. Dies kann daran lie­gen, dass die Pro­duk­ti­ons­sys­teme sehr indi­vi­du­ell und spe­zi­ell auf bspw. den unter­neh­mens­ei­ge­nen Pro­duk­ti­ons- oder Lager­pro­zess ange­passt oder nur für die­sen ent­wi­ckelt wur­den.

Um aller­dings trotz­dem die IT-Sicher­heit und die Gefahr eines Ein­griffs von außen nicht kom­p­lett zu ver­nach­läs­si­gen, besteht die Mög­lich­keit einer netz­werk­tech­ni­schen Seg­men­tie­rung sol­cher Sys­teme.

Die Netz­werk­s­eg­men­tie­rung stellt in der Infor­ma­ti­ons­tech­no­lo­gie eine Vari­ante dar, ein bestimm­tes Netz­werk in unab­hän­gige (sichere) Seg­mente zu unter­tei­len.

Trotz einer Fire­wall, einem Anti­vi­ru­s­pro­gramm und stän­di­gen Upda­tes in der IT-Infra­struk­tur haben die meis­ten Unter­neh­men den­noch Sicher­heits­ri­si­ken.

Netz­werk­s­eg­men­tie­rung - Eine Mög­lich­keit

Ein mög­li­cher Lösungs­an­satz trotz alter Ser­ver bzw. Cli­ents eine gewisse Sicher­heit zu gewähr­leis­ten, ist die erwähnte Netz­werk­s­eg­men­tie­rung. Das grund­le­gende Vor­ge­hen bei der Netz­werk­s­eg­men­tie­rung sieht vor, dass die gefahr­brin­gende Umge­bung vom pro­duk­ti­ven Sys­tem get­rennt wird. Das bedeu­tet, dass das fir­men­in­terne IT-Sys­tem in Netz­werk­s­eg­mente unter­teilt wird, um eine höhere IT-Sicher­heit gewähr­leis­ten zu kön­nen. Der typi­sche in die Jahre gekom­mene Win­dows-XP-Rech­ner stellt so kein gro­ßes Risiko mehr dar, da der Bereich, in wel­chem er ans Netz ange­sch­los­sen ist, vom pro­duk­ti­ven Sys­tem get­rennt ist. Mit einer Netz­werk­s­eg­men­tie­rung kann also im Vor­feld ver­hin­dert wer­den, dass sich ein Angriff im gesam­ten Netz­werk aus­b­rei­tet.

Das ein­fachste Bei­spiel für den Ein­satz von Netz­werk­s­eg­men­tie­rung sind deut­sche Schu­len. In allen Bun­des­län­dern ist es Vor­schrift, das schu­li­sche Ver­wal­tungs­netz vom sog. päda­go­gi­schen Netz zu tren­nen. Aber auch in allen Berei­chen der freien Wirt­schaft und Indu­s­trie wird Netz­werk­s­eg­men­tie­rung häu­fig ange­wen­det.

Erste Schritte zur Imp­le­men­tie­rung

Ent­schei­det man sich als Unter­neh­men, eine Netz­werk­s­eg­men­tie­rung durch­zu­füh­ren, um seine unter­neh­mens­in­terne IT-Infra­struk­tur zu schüt­zen, soll­ten sich die Ver­ant­wort­li­chen zunächst um die fol­gen­den The­men küm­mern:

  • Im ers­ten Schritt soll­ten die Berei­che, die kri­ti­sche Daten, Pro­zesse und Sys­teme ent­hal­ten, iden­ti­fi­ziert und ana­ly­siert wer­den. Diese Berei­che bil­den dann die soge­nann­ten Seg­mente.
  • Auf Basis die­ser Auf­nahme soll­ten die ent­sp­re­chen­den Sicher­heits­zo­nen defi­niert wer­den. Diese Seg­men­tie­rung sollte anhand der Kri­ti­ka­li­tät der Daten sowie der Zugriff­s­an­for­de­run­gen ers­tellt wer­den.
  • Um gewähr­leis­ten zu kön­nen, dass im Ver­laufe von Netz­wer­kän­de­run­gen oder -erwei­te­run­gen alle Sicher­heits­kon­trol­len erhal­ten blei­ben, sollte die Netz­werk­s­eg­men­tie­rung regel­mä­ßig über­prüft und im Zwei­fels­fall ange­passt wer­den. Im Rah­men die­ser Über­prü­fung sollte auch immer die Funk­ti­ons­fähig­keit der IT-Infra­struk­tur geprüft wer­den.

Wie wird Netz­werk­s­eg­men­tie­rung in aller Regel umge­setzt?

Grund­sätz­lich wird die Netz­werk­s­eg­men­tie­rung anhand von sowohl vir­tu­el­len LANs (VLANs) als auch phy­sisch von­ein­an­der get­renn­ten LANs umge­setzt. Das Fir­men­netz wird dabei in ver­schie­dene Berei­che unter­teilt. In den meis­ten Fäl­len ist die typi­sche Unter­tei­lung des Unter­neh­mens­netz­werks in ein Office-IT-Netz, in dem alle Arbeits­platz­rech­ner mit­ein­an­der ver­bun­den sind, und ein Pro­duk­ti­ons­netz. In die­sem Pro­duk­ti­ons­netz sind dann alle Pro­duk­ti­ons­sys­teme mit­ein­an­der ver­netzt, unter ande­rem auch die unsi­cher gewor­de­nen Win­dows-XP-Rech­ner, sofern diese noch im Ein­satz sind. Das in aller Regel stär­ker gefähr­dete Pro­duk­ti­ons­netz wird dann oft­mals zusätz­lich noch in wei­tere Sicher­heits­be­rei­che unter­teilt.

Die zwei am häu­figs­ten ver­wen­de­ten Archi­tek­tu­ren, um eine Netz­werk­s­eg­men­tie­rung tech­nisch umzu­set­zen, sind die Seg­men­tie­rung mit­tels VLAN und die soge­nannte Jum­ping Host Methode.

VLAN ver­sus Jum­ping Host

Bei der Seg­men­tie­rung mit­tels VLANs wird das Netz­werk im Grunde auf logi­scher Ebene (OSI-Layer 2) über die ent­sp­re­chen­den VLANs durch­ge­führt. Ent­we­der wird bei die­ser Methode ein Switch an sich unter­teilt oder es wer­den den ein­zel­nen Daten­fra­mes eine eigene VLAN-Ken­nung zuge­wie­sen. Letz­te­res wird auch „tag­ged VLAN“ genannt und bie­tet die Alter­na­tive, auch meh­rere VLANs über nur eine Kabel­st­re­cke zu bet­rei­ben.

In der Regel ver­wen­det man zusätz­lich zur Netz­werk­s­eg­men­tie­rung auch, ent­sp­re­chend der jewei­li­gen Seg­mente zuge­ord­net, eine oder meh­rere Fire­walls. Ein seg­men­tier­tes Netz­werk bie­tet ein hohe IT-Sicher­heit für Unter­neh­mens­ser­ver, auf denen Daten von hoher Kri­ti­ka­li­tät gespei­chert sind. Die Erken­nungs- und Abwehr­me­cha­nis­men eines Unter­neh­mens in Bezug auf Cyber­an­griffe wer­den bes­ser, je mehr ein Netz­werk seg­men­tiert wird. Im Falle einer hohen Netz­werk­s­eg­men­tie­rung kön­nen die ange­spro­che­nen Cyber­an­griffe ver­lang­s­amt wer­den, da die Angriffe früh­zei­ti­ger erkannt wer­den kön­nen. Schutz­maß­nah­men für höhere IT-Sicher­heit las­sen sich ein­fa­cher, effi­zi­en­ter und qua­li­ta­ti­ver umset­zen, wenn Netz­werke, Daten und Pro­zesse klar get­rennt sind. Auch in Bezug auf den Daten­schutz bie­tet Netz­werk­s­eg­men­tie­rung eine gute Mög­lich­keit, die vom Gesetz­ge­ber ver­öf­f­ent­lich­ten Richt­li­nien zu unter­stüt­zen.

Ist die Netz­werk­s­eg­men­tie­rung absch­lie­ßend umge­setzt wor­den, emp­fiehlt es sich, einen Belas­tungs- bzw. einen Pene­t­ra­ti­ons­test durch­zu­füh­ren. Mit Hilfe die­ser Tests kann man im Anschluss an eine durch­ge­führte Seg­men­tie­rung des unter­neh­mens­in­ter­nen Netz­wer­kes tes­ten, ob diese auch erfolg­reich umge­setzt wurde bzw. belast­bar ist. Ein Pene­t­ra­ti­ons­test soll hier die noch offe­nen Schwach­s­tel­len auf­de­cken. Er prüft im bes­ten Falle, wie ver­wund­bar das Sys­tem wir­k­lich ist und kann ggf. Auf­schluss dar­über geben, ob die Netz­werk­s­eg­men­tie­rung sinn­voll gestal­tet wurde oder ob es wei­te­ren Ver­bes­se­rungs­be­darf gibt.

Fazit

U. a. füh­ren alte Geräte mit alten Anwen­dun­gen zu erhöh­ten Sicher­heits­ri­si­ken. Durch Netz­werk­s­eg­men­tie­rung kön­nen Risi­ken und poten­ti­elle Scha­den­höhen ver­rin­gert wer­den. Not­wen­dig sind hier­für eine kluge Archi­tek­tur­wahl, Imp­le­men­tie­rung und Über­wa­chung. 

nach oben