de en
Nexia Ebner Stolz

Wirtschaftsprüfung

Sicherheit im Netz - Netzwerksegmentierung

Viele Un­ter­neh­men nut­zen in Be­rei­chen der La­ger­hal­tung oder der Pro­duk­tion häufig noch eine ältere IT-Aus­stat­tung, bspw. einen oder meh­rere Win­dows-XP-Rech­ner in der Pro­duk­ti­ons­halle. Durch die Ver­wen­dung von al­ten Ser­vern bzw. Cli­ents ent­steht das Ri­siko, von außen an­greif­bar zu wer­den. Das zen­trale Pro­blem sind feh­lende Si­cher­heits­up­dates für Ser­ver und Cli­ents.

Im Pro­duk­ti­ons­um­feld sind die An­la­gen und Pro­duk­ti­ons­ma­schi­nen vor dem Hin­ter­grund an­ge­schafft wor­den, dem Un­ter­neh­mens­zweck ge­ge­be­nen­falls 15 - 20 Jahre (oder noch länger) zu die­nen. Die hierfür ver­wen­de­ten Sys­teme können meist nur auf dem ur­sprüng­li­chen Be­triebs­sys­tem be­trie­ben wer­den. Möchte man bei die­sen Cli­ents bzw. Ser­vern auf ein neues Be­triebs­sys­tem mi­grie­ren, ent­ste­hen oft hohe Kos­ten und Mühen, vor­aus­ge­setzt, dies das Sys­tem bzw. die Pro­duk­ti­ons­an­lage lässt dies über­haupt zu. Dies kann daran lie­gen, dass die Pro­duk­ti­ons­sys­teme sehr in­di­vi­du­ell und spe­zi­ell auf bspw. den un­ter­neh­mens­ei­ge­nen Pro­duk­ti­ons- oder La­ger­pro­zess an­ge­passt oder nur für die­sen ent­wi­ckelt wur­den.

Um al­ler­dings trotz­dem die IT-Si­cher­heit und die Ge­fahr ei­nes Ein­griffs von außen nicht kom­plett zu ver­nachlässi­gen, be­steht die Möglich­keit ei­ner netz­werk­tech­ni­schen Seg­men­tie­rung sol­cher Sys­teme.

Die Netz­werk­seg­men­tie­rung stellt in der In­for­ma­ti­ons­tech­no­lo­gie eine Va­ri­ante dar, ein be­stimm­tes Netz­werk in un­abhängige (si­chere) Seg­mente zu un­ter­tei­len.

Trotz ei­ner Fire­wall, einem An­ti­vi­rus­pro­gramm und ständi­gen Up­dates in der IT-In­fra­struk­tur ha­ben die meis­ten Un­ter­neh­men den­noch Si­cher­heits­ri­si­ken.

Netzwerksegmentierung - Eine Möglichkeit

Ein mögli­cher Lösungs­an­satz trotz al­ter Ser­ver bzw. Cli­ents eine ge­wisse Si­cher­heit zu gewähr­leis­ten, ist die erwähnte Netz­werk­seg­men­tie­rung. Das grund­le­gende Vor­ge­hen bei der Netz­werk­seg­men­tie­rung sieht vor, dass die ge­fahr­brin­gende Um­ge­bung vom pro­duk­ti­ven Sys­tem ge­trennt wird. Das be­deu­tet, dass das fir­men­in­terne IT-Sys­tem in Netz­werk­seg­mente un­ter­teilt wird, um eine höhere IT-Si­cher­heit gewähr­leis­ten zu können. Der ty­pi­sche in die Jahre ge­kom­mene Win­dows-XP-Rech­ner stellt so kein großes Ri­siko mehr dar, da der Be­reich, in wel­chem er ans Netz an­ge­schlos­sen ist, vom pro­duk­ti­ven Sys­tem ge­trennt ist. Mit ei­ner Netz­werk­seg­men­tie­rung kann also im Vor­feld ver­hin­dert wer­den, dass sich ein An­griff im ge­sam­ten Netz­werk aus­brei­tet.

Das ein­fachste Bei­spiel für den Ein­satz von Netz­werk­seg­men­tie­rung sind deut­sche Schu­len. In al­len Bun­desländern ist es Vor­schrift, das schu­li­sche Ver­wal­tungs­netz vom sog. pädago­gi­schen Netz zu tren­nen. Aber auch in al­len Be­rei­chen der freien Wirt­schaft und In­dus­trie wird Netz­werk­seg­men­tie­rung häufig an­ge­wen­det.

Erste Schritte zur Implementierung

Ent­schei­det man sich als Un­ter­neh­men, eine Netz­werk­seg­men­tie­rung durch­zuführen, um seine un­ter­neh­mens­in­terne IT-In­fra­struk­tur zu schützen, soll­ten sich die Ver­ant­wort­li­chen zunächst um die fol­gen­den The­men kümmern:

  • Im ers­ten Schritt soll­ten die Be­rei­che, die kri­ti­sche Da­ten, Pro­zesse und Sys­teme ent­hal­ten, iden­ti­fi­ziert und ana­ly­siert wer­den. Diese Be­rei­che bil­den dann die so­ge­nann­ten Seg­mente.
  • Auf Ba­sis die­ser Auf­nahme soll­ten die ent­spre­chen­den Si­cher­heits­zo­nen de­fi­niert wer­den. Diese Seg­men­tie­rung sollte an­hand der Kri­ti­ka­lität der Da­ten so­wie der Zu­griffs­an­for­de­run­gen er­stellt wer­den.
  • Um gewähr­leis­ten zu können, dass im Ver­laufe von Netz­werkände­run­gen oder -er­wei­te­run­gen alle Si­cher­heits­kon­trol­len er­hal­ten blei­ben, sollte die Netz­werk­seg­men­tie­rung re­gelmäßig überprüft und im Zwei­fels­fall an­ge­passt wer­den. Im Rah­men die­ser Überprüfung sollte auch im­mer die Funk­ti­onsfähig­keit der IT-In­fra­struk­tur geprüft wer­den.

Wie wird Netzwerksegmentierung in aller Regel umgesetzt?

Grundsätz­lich wird die Netz­werk­seg­men­tie­rung an­hand von so­wohl vir­tu­el­len LANs (VLANs) als auch phy­si­sch von­ein­an­der ge­trenn­ten LANs um­ge­setzt. Das Fir­men­netz wird da­bei in ver­schie­dene Be­rei­che un­ter­teilt. In den meis­ten Fällen ist die ty­pi­sche Un­ter­tei­lung des Un­ter­neh­mens­netz­werks in ein Of­fice-IT-Netz, in dem alle Ar­beits­platz­rech­ner mit­ein­an­der ver­bun­den sind, und ein Pro­duk­ti­ons­netz. In die­sem Pro­duk­ti­ons­netz sind dann alle Pro­duk­ti­ons­sys­teme mit­ein­an­der ver­netzt, un­ter an­de­rem auch die un­si­cher ge­wor­de­nen Win­dows-XP-Rech­ner, so­fern diese noch im Ein­satz sind. Das in al­ler Re­gel stärker gefähr­dete Pro­duk­ti­ons­netz wird dann oft­mals zusätz­lich noch in wei­tere Si­cher­heits­be­rei­che un­ter­teilt.

Die zwei am häufigs­ten ver­wen­de­ten Ar­chi­tek­tu­ren, um eine Netz­werk­seg­men­tie­rung tech­ni­sch um­zu­set­zen, sind die Seg­men­tie­rung mit­tels VLAN und die so­ge­nannte Jum­ping Host Me­thode.

VLAN versus Jumping Host

Bei der Seg­men­tie­rung mit­tels VLANs wird das Netz­werk im Grunde auf lo­gi­scher Ebene (OSI-Layer 2) über die ent­spre­chen­den VLANs durch­geführt. Ent­we­der wird bei die­ser Me­thode ein Switch an sich un­ter­teilt oder es wer­den den ein­zel­nen Da­ten­frames eine ei­gene VLAN-Ken­nung zu­ge­wie­sen. Letz­te­res wird auch „tag­ged VLAN“ ge­nannt und bie­tet die Al­ter­na­tive, auch meh­rere VLANs über nur eine Ka­bel­stre­cke zu be­trei­ben.

In der Re­gel ver­wen­det man zusätz­lich zur Netz­werk­seg­men­tie­rung auch, ent­spre­chend der je­wei­li­gen Seg­mente zu­ge­ord­net, eine oder meh­rere Fire­walls. Ein seg­men­tier­tes Netz­werk bie­tet ein hohe IT-Si­cher­heit für Un­ter­neh­mens­ser­ver, auf de­nen Da­ten von ho­her Kri­ti­ka­lität ge­spei­chert sind. Die Er­ken­nungs- und Ab­wehr­me­cha­nis­men ei­nes Un­ter­neh­mens in Be­zug auf Cy­ber­an­griffe wer­den bes­ser, je mehr ein Netz­werk seg­men­tiert wird. Im Falle ei­ner ho­hen Netz­werk­seg­men­tie­rung können die an­ge­spro­che­nen Cy­ber­an­griffe ver­lang­samt wer­den, da die An­griffe frühzei­ti­ger er­kannt wer­den können. Schutzmaßnah­men für höhere IT-Si­cher­heit las­sen sich ein­fa­cher, ef­fi­zi­en­ter und qua­li­ta­ti­ver um­set­zen, wenn Netz­werke, Da­ten und Pro­zesse klar ge­trennt sind. Auch in Be­zug auf den Da­ten­schutz bie­tet Netz­werk­seg­men­tie­rung eine gute Möglich­keit, die vom Ge­setz­ge­ber veröff­ent­lich­ten Richt­li­nien zu un­terstützen.

Ist die Netz­werk­seg­men­tie­rung ab­schließend um­ge­setzt wor­den, emp­fiehlt es sich, einen Be­las­tungs- bzw. einen Pe­ne­tra­ti­ons­test durch­zuführen. Mit Hilfe die­ser Tests kann man im An­schluss an eine durch­geführte Seg­men­tie­rung des un­ter­neh­mens­in­ter­nen Netz­wer­kes tes­ten, ob diese auch er­folg­reich um­ge­setzt wurde bzw. be­last­bar ist. Ein Pe­ne­tra­ti­ons­test soll hier die noch of­fe­nen Schwach­stel­len auf­de­cken. Er prüft im bes­ten Falle, wie ver­wund­bar das Sys­tem wirk­lich ist und kann ggf. Auf­schluss darüber ge­ben, ob die Netz­werk­seg­men­tie­rung sinn­voll ge­stal­tet wurde oder ob es wei­te­ren Ver­bes­se­rungs­be­darf gibt.

Fazit

U. a. führen alte Geräte mit al­ten An­wen­dun­gen zu erhöhten Si­cher­heits­ri­si­ken. Durch Netz­werk­seg­men­tie­rung können Ri­si­ken und po­ten­ti­elle Scha­denhöhen ver­rin­gert wer­den. Not­wen­dig sind hierfür eine kluge Ar­chi­tek­tur­wahl, Im­ple­men­tie­rung und Über­wa­chung. 

nach oben