Die NCP engineering GmbH beschreibt in einem aktuellen Blog-Beitrag die Netzwerksegmentierung als effektive Methode, um IT-Systeme vor Angriffen zu schützen. Durch die Unterteilung von Netzwerken in abgeschlossene Bereiche mit kontrollierten Zugängen lässt sich die Angriffsfläche drastisch reduzieren.
Laut einer Studie des Kriminologischen Forschungsinstituts Niedersachsen (KFN) setzten bereits 2020 rund 62,6 Prozent der deutschen Unternehmen auf die Segmentierung ihrer IT-Netze, schreibt NCP in dem Beitrag. „Vor allem Branchen mit hochsensiblen Daten wie Banken, Gesundheitswesen oder Betreiber kritischer Infrastrukturen (KRITIS) gelten als Vorreiter“, so NCP. „Doch der Trend ist eindeutig: Segmentierung setzt sich überall durch.“
IT-Sicherheit: Angriffsfläche und Lateral Movement eindämmen
Separate Netzwerkzonen mit strikten Zugangskontrollen schränken Hacker massiv ein. „Selbst wenn Angreifer einen Bereich übernehmen, bleiben die anderen Segmente verschont“, erklärt NCP. „Der Grund: Eindringlinge sind in ihren Bewegungen eingeschränkt, sie können sich nicht im ganzen Netzwerk ausbreiten.“ Auch Erpressungstrojaner infizieren und verschlüsseln in segmentierten Umgebungen deutlich weniger Rechner. Zudem lassen sich vertrauliche Daten in eigens geschützten Zonen speichern.
Die feingliedrigere Zugriffskontrolle durch Netzwerksegmentierung erleichtert Unternehmen auch die Erfüllung gesetzlicher Datenschutzvorgaben, wobei vor allem die europäische Datenschutz-Grundverordnung (DSGVO) zu nennen ist. Gleichzeitig entlastet die Aufteilung in kleinere Bereiche die Bandbreite und das IT-Management. „Ressourcen lassen sich gezielter und bedarfsgerechter zuteilen“, so NCP. „Falls neue Abteilungen oder Dienste hinzukommen, fügt die IT einfach weitere Segmente hinzu, ohne das gesamte Netzwerk umkrempeln zu müssen.“
Least Privilege: Zugriffskontrolle schränkt Angreifer ein
Zur technischen Umsetzung der Netzwerksegmentierung setzen die meisten Firmen auf eine Kombination aus VLANs, ACLs, Firewalls und VPN-Lösungen. „Die logische Trennung und Zugriffskontrolle innerhalb der Segmente übernehmen Virtual Local Area Networks und Access Control Lists. Firewalls und VPNs regeln hingegen den Zugriff zwischen den Segmenten“, erklärt NCP. Am Anfang sollte aber immer eine sorgfältige Analyse der eigenen IT-Landschaft stehen.
Trotz Segmentierung dürfen Unternehmen aber niemals die Überwachung und Analyse ihres Datenverkehrs vernachlässigen, warnt NCP. Nur Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) erkennen Angriffe rechtzeitig. „Netzwerksegmentierung ist also eine starke Waffe, aber kein Allheilmittel“, betont NCP. „Sie kann andere Sicherheitsmaßnahmen unterstützen, aber niemals ersetzen.“
