Geteiltes Netzwerk, doppelter Schutz: Durch Segmentierung zu mehr IT-Sicherheit

Autor/Redakteur: Jonas Spieckermann, Senior Sales Engineer Central Europe bei WatchGuard Technologies/gg

Eine gezielte Einteilung und spezifische Absicherung verschiedener Netzwerkbereiche trägt maßgeblich dazu bei, den Schaden im Falle eines Hackerangriffs in Grenzen zu halten. Auf Basis einer passenden Segmentierung können die IT-Sicherheitsverantwortlichen die jeweilige Schwachstelle schnell identifizieren und entsprechende Gegenmaßnahmen ergreifen.

Dass ein Netzwerk in verschiedene Bereiche unterteilt wird, ist grundsätzlich keine Seltenheit. Allerdings orientiert sich ein solches Vorgehen erfahrungsgemäß häufig an rein organisatorischen Gesichtspunkten. So kommen vielerorts VLAN-Strukturen zum Einsatz, um die Clients und vorherrschenden Anwendungen einzelner Abteilungen voneinander abzugrenzen. Es geht in erster Linie darum, die allgemeine Administration zu erleichtern – beispielsweise hinsichtlich der Updates der jeweiligen Systeme. Der Sicherheitsaspekt ist in vielen Fällen leider noch zweitrangig. Auch beim Einsatz von VLAN besteht die Gefahr, dass Angreifer, die sich erfolgreich Zugriff zu Teilnetzen verschafft haben, in andere Bereiche vordringen. Hierbei werden gezielt Schwachstellen in Switches genutzt oder durch Fehlkonfiguration im VLAN entstandene “Lücken” verwendet, um Zugriff auf weitere Segmente zu erlangen. In dem Fall ist das betroffene Unternehmen kaum besser dran als eines, das komplett auf eine Unterteilung des Netzwerks verzichtet – ein Ansatz, der insbesondere in kleinen Organisationen nach wie vor noch zu finden ist. Letztendlich ist es egal, ob die Netzwerkunterteilung nach verwaltungsspezifischen Aspekten oder gar nicht erfolgt: Die Unternehmen begeben sich vor dem Hintergrund der aktuellen Bedrohungslage auf dünnes Eis.

Schutz der wichtigen Informationen und Komponenten

Es geht heutzutage mehr denn je darum, die erfolgskritischen Bereiche eines Unternehmensnetzwerks nachhaltig abzusichern. Und dies gelingt am besten, wenn man eine physikalische Grenze zieht. Moderne Sicherheitsplattformen sind in der Lage, einzelne Netzwerksegmente – auch parallel zur organisatorischen Unterteilung mithilfe von VLANs – konsequent voneinander zu trennen und je nach Sicherheitsstufe mit spezifischen Sicherheitsregeln zu versehen. Denn es steht wohl außer Frage, dass es in einem Netzwerk unabhängig von der jeweiligen Größe und konkreten Ausrichtung des dahinterstehenden Unternehmens wichtige und weniger wichtige Komponenten und Daten gibt. So sollte beispielsweise in Netzwerkbereichen, in denen Kreditkarteninformationen gespeichert und verarbeitet werden, nicht nur im Zuge von PCI-DSS (Payment Card Industry Data Security Standard) erhöhte Aufmerksamkeit gelten. Um die Daten von Kreditkarteninhabern zu schützen, existieren seit einigen Jahren klare Vorgaben seitens des PCI Security Standards Council – eine Vereinigung, die 2006 auf Initiative der großen Kreditkartengesellschaften gegründet wurde. Dass die immer strengeren Regeln durchaus ihre Berechtigung haben, beweisen zahlreiche Beispiele – die Hackerangriffe auf die US-Baumarktkette Home Depot oder das Handelsunternehmen Target, bei denen mehrere Millionen Kreditkartennummern gestohlen wurden, waren auch hier wochenlang ein Medienthema. Die Folge: Vertrauensverlust auf Kundenseite und damit einhergehend enorme finanzielle Einbußen. Allerdings sind Kreditkarteninformationen, für die es inzwischen offizielle Sicherheitsstandards – auch hinsichtlich der konsequenten Abgrenzung – gibt, bei weitem nicht die einzigen sensiblen Daten, denen im Zuge des Netzwerkschutzes Beachtung geschenkt werden sollte. Darüber hinaus gelten für bestimmte Unternehmen beispielsweise Konstruktionszeichnungen, Projektbeschreibungen oder Marketingkonzepte als größter Schatz, den es jederzeit vehement zu verteidigen gilt. Oder es geht darum, die produzierenden Systeme konsequent abzusichern und Manipulationen vorzubeugen. Da jede Organisation in diesem Zusammenhang unterschiedliche Anforderungen stellt, sind spezifische Sicherheitsvorkehrungen gefragt, die im Idealfall auf einem zukunftsfähigen Segmentierungsansatz basieren.