Sysbus
ArtikelSecurity

Geteiltes Netzwerk, doppelter Schutz: Durch Segmentierung zu mehr IT-Sicherheit

gcg

Vielfalt im Netzwerk sicher unter Kontrolle

Ein weiterer Punkt, den es hierbei zu beachten gilt, ist die Vielfalt der einzelnen Netzwerkkomponenten. Vom klassischen BYOD-Trend ganz abgesehen, geht gerade von den sogenannten IoT-Anwendungen (Internet of Things), die seit einigen Jahren wie Pilze aus dem Boden schießen, ein entscheidendes Gefahrenpotenzial aus. Von VoIP-Telefonen über den modernen, internetverbundenen Kühlschrank oder Kaffeeautomaten in der Etagenküche bis hin zum Smart TV im Konferenzraum – alle diese Devices sind meist in das gleiche Netzwerk eingebunden wie die Rechner der Mitarbeiter, Produktionsanlagen oder wichtige Dokumentenserver. Und je mehr Systeme mit potenziellen Schwachstellen im Rahmen der Internetkommunikation aufeinandertreffen, desto größer ist das Risiko eines Netzwerkübergriffs. Ohne Segmentierung kann sich ein Angreifer, der beispielsweise über ein VoIP-Telefon Zugang zum Netzwerk erhält, unentdeckt und in aller Ruhe seinen Weg zu den Servern mit vertraulichen Daten – dem eigentlichen Ziel – bahnen. Umso wichtiger ist es für Unternehmen, klare Grenzen zu ziehen.

Eines für alles war gestern

Auch wenn die spezifische Abtrennung und Absicherung von Web- oder E-Mail-Servern, die extern aus dem Internet erreichbar sind, in vielen Unternehmensnetzwerken heutzutage gegeben ist, greift der Segmentierungsansatz noch vielfach zu kurz. So ist es darüber hinaus sinnvoll, alle Systeme mit sensiblen Daten – beispielsweise Server mit besonderen Datenbanken, Entwicklungsdokumenten oder Projektbeschreibungen – in einen eigenen Netzwerkbereich auszugliedern. Auf diese Weise erhält der Angreifer, der ein normales Client-Betriebssystem infiziert hat, nicht direkt Zugriff auf diese vertraulichen Informationen. Gleichzeitig sollten Administratoren im Rahmen von Embedded Devices klare Abgrenzungen treffen. Denn gerade von solchen Systemen – ähnlich wie bei Produktionsanlagen – geht eine erhöhte Bedrohung aus. Wie die Vergangenheit bereits gezeigt hat, sind deren Hersteller kaum in der Lage, zeitnah Patches zu liefern, sollte eine Sicherheitslücke der eigenen Produkte bekannt werden. Und selbst wenn ein solches Software-Update bereitsteht, ist es meist eine Mammutaufgabe für die IT-Verantwortlichen, die Systeme entsprechend zu aktualisieren – insbesondere, wenn es an einer zentralen Patch-Verwaltung mangelt. Entsprechend groß ist die Gefahr, dass es ein Hacker über ein solches Einfallstor schafft, Zugriff auf andere Systeme herzustellen. Ein prominentes Beispiel hierfür lieferte das Unternehmen Snom als einer der größten Hersteller von VoIP-Telefonen. Durch eine Reihe von Schwachstellen in den Geräten wurde es Angreifern aus dem Internet möglich, die Telefone komplett in ihre Gewalt zu bringen und als „Sprungbrett ins interne Netzwerk“ zu missbrauchen. Ein solches Risiko lässt sich gezielt reduzieren, wenn die entsprechenden VoIP-Geräte in einem eigenen Segment betrieben werden, das über eine UTM-Firewall geschützt wird. Auf diese Weise sind andere Systeme – wie Notebooks oder Server – bei einem möglichen Zugriff von außen nicht unmittelbar betroffen. Gleichzeitig verhindert die Firewall auch einen „internen“ Lauschangriff auf die via IP-Telefon ausgetauschten Gespräche. Somit schlagen die IT-Verantwortlichen gleich zwei Fliegen mit einer Klappe.

Individuelle Segmentierungskonzepte gefragt

Mit VoIP und Fertigungsanlagen wurden bereits zwei konkrete Bereiche genannt, für die das Thema Segmentierung eine wichtige Rolle spielt. Aber auch Zutrittssysteme sollten genauer betrachtet werden, schließlich ist es nicht ausgeschlossen, dass ein Angreifer über ein infiziertes Client-System den Türöffner zum Unternehmensgebäude betätigt. Die Liste ließe sich beliebig fortsetzen, wobei es im Hinblick auf eine geeignete Segmentierungsstrategie natürlich immer auf das Unternehmen mit seinen individuellen Strukturen ankommt. Explizit erwähnt werden muss an dieser Stelle jedoch noch der besondere Absicherungsanspruch von Gastnetzwerken und BYOD-Umgebungen. Hier ist eine Abgrenzung zu den übrigen Netzwerkressourcen in jedem Fall ratsam, um die Gefahr eines Angriffs sowie den potenziellen, damit einhergehenden Schaden zu begrenzen. Zudem sollten Administratoren das Netzwerk auch auf ältere, nicht verwaltete und im schlimmsten Fall ungeschützte Systeme untersuchen und entsprechend spezifisch segmentieren und absichern.

Ein ausgefeilter Segmentierungsansatz muss dabei nicht zwangsläufig mit hohen Investitionen in entsprechende Sicherheitstechnik einhergehen. Moderne Sicherheitsplattformen wie beispielsweise die UTM-Appliance WatchGuard M440 bieten dank einer hohen Anzahl an Netzwerkports weitreichende und flexible Möglichkeiten der Netzwerkunterteilung und Absicherung. Je nach Segment lassen sich spezifische Schutzmechanismen verankern, konkrete Sicherheitsregeln festlegen und einzelne Datenaustauschprozesse überprüfen. Mithilfe einer passgenauen Visualisierungslösung kann darüber hinaus jederzeit nachvollzogen werden, welche Kommunikation zwischen den einzelnen Segmenten stattfindet. Dies erleichtert nicht zuletzt die Fehlersuche und es kann schnell reagiert werden, sobald Auffälligkeiten festgestellt werden.

Gute Vorbereitung ist die halbe Miete

Im Rahmen von Segmentierung zahlt es sich oft aus, erfahrene Dienstleister mit ins Boot zu holen, die bei der Entwicklung und Umsetzung einer geeigneten Strategie mit Rat und Tat zur Seite stehen. Wenn es um die Auswahl einer geeigneten Appliance zur Unterstützung eines weiterentwickelten Segmentierungsansatzes geht, sollte vor allem auf eine hohe Portdichte geachtet werden. Mit der Entscheidung für die richtige Plattform können der Hardware-Bedarf und damit die einhergehenden Kosten auch auf lange Sicht gesenkt werden, ohne Abstriche hinsichtlich der Funktionalität und Bedienerfreundlichkeit hinnehmen zu müssen. Zudem sollten die jeweiligen Schnittstellen frei definierbar sein, um maximale Flexibilität hinsichtlich der Einteilung der verschiedenen Netzwerkbereiche zu garantieren.

Ähnliche Beiträge:

  1. Die Cloud-Plattform von WatchGuard wurde erweitert: Neue WiFi-6-Access-Points und WLAN-Management
  2. Neuer WiFi-6-Access-Point und neue VPN-Appliance von WatchGuard
  3. Im Test: Tabletop-Security-Lösung Watchguard T40
  4. Authentifizierung: Viel hilft viel

Das könnte dir auch gefallen

Lancom bringt einen neuen VPN-Client für macOS auf den Markt

dcg

Die 5 größten Mythen über Container

gg

Interview mit Dr. Dieter Steiner, Geschäftsführer von SSP Europe, zum Thema “Schutz vor Wirtschaftsspionage”

gg
Die mobile Version verlassen
%%footer%%