{"id":14857,"date":"2019-08-19T11:52:07","date_gmt":"2019-08-19T09:52:07","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14857"},"modified":"2019-08-15T10:56:30","modified_gmt":"2019-08-15T08:56:30","slug":"geteiltes-netzwerk-doppelter-schutz-durch-segmentierung-zu-mehr-it-sicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14857","title":{"rendered":"Geteiltes Netzwerk, doppelter Schutz: Durch Segmentierung zu mehr IT-Sicherheit"},"content":{"rendered":"\n

Autor\/Redakteur: Jonas Spieckermann, Senior Sales Engineer Central Europe bei WatchGuard Technologies<\/a>\/gg<\/p>\n\n\n\n

Eine gezielte Einteilung und spezifische Absicherung verschiedener Netzwerkbereiche tr\u00e4gt ma\u00dfgeblich dazu bei, den Schaden im Falle eines Hackerangriffs in Grenzen zu halten. Auf Basis einer passenden Segmentierung k\u00f6nnen die IT-Sicherheitsverantwortlichen die jeweilige Schwachstelle schnell identifizieren und entsprechende Gegenma\u00dfnahmen ergreifen. <\/p>\n\n\n\n

\"\"
Moderne Firewall-L\u00f6sungen bringen umfassende Dashboards mit, \u00fcber die sich die Systeme \u00fcberwachen lassen (Quelle: WatchGuard Technologies) <\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Dass\nein Netzwerk in verschiedene Bereiche unterteilt wird, ist grunds\u00e4tzlich keine\nSeltenheit. Allerdings orientiert sich ein solches Vorgehen erfahrungsgem\u00e4\u00df\nh\u00e4ufig an rein organisatorischen Gesichtspunkten. So kommen vielerorts\nVLAN-Strukturen zum Einsatz, um die Clients und vorherrschenden Anwendungen\neinzelner Abteilungen voneinander abzugrenzen. Es geht in erster Linie darum,\ndie allgemeine Administration zu erleichtern \u2013 beispielsweise hinsichtlich der\nUpdates der jeweiligen Systeme. Der Sicherheitsaspekt ist in vielen F\u00e4llen\nleider noch zweitrangig. Auch beim Einsatz von VLAN besteht die Gefahr, dass\nAngreifer, die sich erfolgreich Zugriff zu Teilnetzen verschafft haben, in\nandere Bereiche vordringen. Hierbei werden gezielt Schwachstellen in Switches\ngenutzt oder durch Fehlkonfiguration im VLAN entstandene „L\u00fccken“\nverwendet, um Zugriff auf weitere Segmente zu erlangen. In dem Fall ist das\nbetroffene Unternehmen kaum besser dran als eines, das komplett auf eine\nUnterteilung des Netzwerks verzichtet \u2013 ein Ansatz, der insbesondere in kleinen\nOrganisationen nach wie vor noch zu finden ist. Letztendlich ist es egal, ob\ndie Netzwerkunterteilung nach verwaltungsspezifischen Aspekten oder gar nicht\nerfolgt: Die Unternehmen begeben sich vor dem Hintergrund der aktuellen\nBedrohungslage auf d\u00fcnnes Eis.<\/p>\n\n\n\n

Schutz der wichtigen Informationen\nund Komponenten<\/strong><\/p>\n\n\n\n

Es geht heutzutage mehr denn je darum, die erfolgskritischen Bereiche eines Unternehmensnetzwerks nachhaltig abzusichern. Und dies gelingt am besten, wenn man eine physikalische Grenze zieht. Moderne Sicherheitsplattformen sind in der Lage, einzelne Netzwerksegmente \u2013 auch parallel zur organisatorischen Unterteilung mithilfe von VLANs \u2013 konsequent voneinander zu trennen und je nach Sicherheitsstufe mit spezifischen Sicherheitsregeln zu versehen. Denn es steht wohl au\u00dfer Frage, dass es in einem Netzwerk unabh\u00e4ngig von der jeweiligen Gr\u00f6\u00dfe und konkreten Ausrichtung des dahinterstehenden Unternehmens wichtige und weniger wichtige Komponenten und Daten gibt. So sollte beispielsweise in Netzwerkbereichen, in denen Kreditkarteninformationen gespeichert und verarbeitet werden, nicht nur im Zuge von PCI-DSS (Payment Card Industry Data Security Standard) erh\u00f6hte Aufmerksamkeit gelten. Um die Daten von Kreditkarteninhabern zu sch\u00fctzen, existieren seit einigen Jahren klare Vorgaben seitens des PCI Security Standards Council \u2013 eine Vereinigung, die 2006 auf Initiative der gro\u00dfen Kreditkartengesellschaften gegr\u00fcndet wurde. Dass die immer strengeren Regeln durchaus ihre Berechtigung haben, beweisen zahlreiche Beispiele \u2013 die Hackerangriffe auf die US-Baumarktkette Home Depot oder das Handelsunternehmen Target, bei denen mehrere Millionen Kreditkartennummern gestohlen wurden, waren auch hier wochenlang ein Medienthema. Die Folge: Vertrauensverlust auf Kundenseite und damit einhergehend enorme finanzielle Einbu\u00dfen. Allerdings sind Kreditkarteninformationen, f\u00fcr die es inzwischen offizielle Sicherheitsstandards \u2013 auch hinsichtlich der konsequenten Abgrenzung \u2013 gibt, bei weitem nicht die einzigen sensiblen Daten, denen im Zuge des Netzwerkschutzes Beachtung geschenkt werden sollte. Dar\u00fcber hinaus gelten f\u00fcr bestimmte Unternehmen beispielsweise Konstruktionszeichnungen, Projektbeschreibungen oder Marketingkonzepte als gr\u00f6\u00dfter Schatz, den es jederzeit vehement zu verteidigen gilt. Oder es geht darum, die produzierenden Systeme konsequent abzusichern und Manipulationen vorzubeugen. Da jede Organisation in diesem Zusammenhang unterschiedliche Anforderungen stellt, sind spezifische Sicherheitsvorkehrungen gefragt, die im Idealfall auf einem zukunftsf\u00e4higen Segmentierungsansatz basieren. <\/p>\n\n\n\n\n\n\n\n

Vielfalt im Netzwerk sicher unter\nKontrolle<\/strong><\/p>\n\n\n\n

Ein\nweiterer Punkt, den es hierbei zu beachten gilt, ist die Vielfalt der einzelnen\nNetzwerkkomponenten. Vom klassischen BYOD-Trend ganz abgesehen, geht gerade von\nden sogenannten IoT-Anwendungen (Internet of Things), die seit einigen Jahren wie\nPilze aus dem Boden schie\u00dfen, ein entscheidendes Gefahrenpotenzial aus. Von\nVoIP-Telefonen \u00fcber den modernen, internetverbundenen K\u00fchlschrank oder\nKaffeeautomaten in der Etagenk\u00fcche bis hin zum Smart TV im Konferenzraum \u2013 alle\ndiese Devices sind meist in das gleiche Netzwerk eingebunden wie die Rechner\nder Mitarbeiter, Produktionsanlagen oder wichtige Dokumentenserver. Und je mehr\nSysteme mit potenziellen Schwachstellen im Rahmen der Internetkommunikation\naufeinandertreffen, desto gr\u00f6\u00dfer ist das Risiko eines Netzwerk\u00fcbergriffs. Ohne\nSegmentierung kann sich ein Angreifer, der beispielsweise \u00fcber ein VoIP-Telefon\nZugang zum Netzwerk erh\u00e4lt, unentdeckt und in aller Ruhe seinen Weg zu den\nServern mit vertraulichen Daten \u2013 dem eigentlichen Ziel \u2013 bahnen. Umso wichtiger\nist es f\u00fcr Unternehmen, klare Grenzen zu ziehen. <\/p>\n\n\n\n

Eines f\u00fcr alles war gestern<\/strong><\/p>\n\n\n\n

Auch\nwenn die spezifische Abtrennung und Absicherung von Web- oder E-Mail-Servern,\ndie extern aus dem Internet erreichbar sind, in vielen Unternehmensnetzwerken\nheutzutage gegeben ist, greift der Segmentierungsansatz noch vielfach zu kurz.\nSo ist es dar\u00fcber hinaus sinnvoll, alle Systeme mit sensiblen Daten \u2013\nbeispielsweise Server mit besonderen Datenbanken, Entwicklungsdokumenten oder\nProjektbeschreibungen \u2013 in einen eigenen Netzwerkbereich auszugliedern. Auf\ndiese Weise erh\u00e4lt der Angreifer, der ein normales Client-Betriebssystem\ninfiziert hat, nicht direkt Zugriff auf diese vertraulichen Informationen.\nGleichzeitig sollten Administratoren im Rahmen von Embedded Devices klare\nAbgrenzungen treffen. Denn gerade von solchen Systemen \u2013 \u00e4hnlich wie bei\nProduktionsanlagen \u2013 geht eine erh\u00f6hte Bedrohung aus. Wie die Vergangenheit\nbereits gezeigt hat, sind deren Hersteller kaum in der Lage, zeitnah Patches zu\nliefern, sollte eine Sicherheitsl\u00fccke der eigenen Produkte bekannt werden. Und\nselbst wenn ein solches Software-Update bereitsteht, ist es meist eine\nMammutaufgabe f\u00fcr die IT-Verantwortlichen, die Systeme entsprechend zu\naktualisieren \u2013 insbesondere, wenn es an einer zentralen Patch-Verwaltung mangelt.\nEntsprechend gro\u00df ist die Gefahr, dass es ein Hacker \u00fcber ein solches\nEinfallstor schafft, Zugriff auf andere Systeme herzustellen. Ein prominentes\nBeispiel hierf\u00fcr lieferte das Unternehmen Snom als einer der gr\u00f6\u00dften Hersteller\nvon VoIP-Telefonen. Durch eine Reihe von Schwachstellen in den Ger\u00e4ten wurde es\nAngreifern aus dem Internet m\u00f6glich, die Telefone komplett in ihre Gewalt zu\nbringen und als \u201eSprungbrett ins interne Netzwerk\u201c zu missbrauchen. Ein solches\nRisiko l\u00e4sst sich gezielt reduzieren, wenn die entsprechenden VoIP-Ger\u00e4te in\neinem eigenen Segment betrieben werden, das \u00fcber eine UTM-Firewall gesch\u00fctzt\nwird. Auf diese Weise sind andere Systeme \u2013 wie Notebooks oder Server \u2013 bei\neinem m\u00f6glichen Zugriff von au\u00dfen nicht unmittelbar betroffen. Gleichzeitig\nverhindert die Firewall auch einen \u201einternen\u201c Lauschangriff auf die via\nIP-Telefon ausgetauschten Gespr\u00e4che. Somit schlagen die IT-Verantwortlichen\ngleich zwei Fliegen mit einer Klappe.<\/p>\n\n\n\n

Individuelle Segmentierungskonzepte\ngefragt<\/strong><\/p>\n\n\n\n

Mit\nVoIP und Fertigungsanlagen wurden bereits zwei konkrete Bereiche genannt, f\u00fcr\ndie das Thema Segmentierung eine wichtige Rolle spielt. Aber auch\nZutrittssysteme sollten genauer betrachtet werden, schlie\u00dflich ist es nicht\nausgeschlossen, dass ein Angreifer \u00fcber ein infiziertes Client-System den\nT\u00fcr\u00f6ffner zum Unternehmensgeb\u00e4ude bet\u00e4tigt. Die Liste lie\u00dfe sich beliebig\nfortsetzen, wobei es im Hinblick auf eine geeignete Segmentierungsstrategie\nnat\u00fcrlich immer auf das Unternehmen mit seinen individuellen Strukturen\nankommt. Explizit erw\u00e4hnt werden muss an dieser Stelle jedoch noch der\nbesondere Absicherungsanspruch von Gastnetzwerken und BYOD-Umgebungen. Hier ist\neine Abgrenzung zu den \u00fcbrigen Netzwerkressourcen in jedem Fall ratsam, um die\nGefahr eines Angriffs sowie den potenziellen, damit einhergehenden Schaden zu\nbegrenzen. Zudem sollten Administratoren das Netzwerk auch auf \u00e4ltere, nicht\nverwaltete und im schlimmsten Fall ungesch\u00fctzte Systeme untersuchen und\nentsprechend spezifisch segmentieren und absichern. <\/p>\n\n\n\n

Ein\nausgefeilter Segmentierungsansatz muss dabei nicht zwangsl\u00e4ufig mit hohen\nInvestitionen in entsprechende Sicherheitstechnik einhergehen. Moderne\nSicherheitsplattformen wie beispielsweise die UTM-Appliance WatchGuard M440\nbieten dank einer hohen Anzahl an Netzwerkports weitreichende und flexible\nM\u00f6glichkeiten der Netzwerkunterteilung und Absicherung. Je nach Segment lassen\nsich spezifische Schutzmechanismen verankern, konkrete Sicherheitsregeln\nfestlegen und einzelne Datenaustauschprozesse \u00fcberpr\u00fcfen. Mithilfe einer\npassgenauen Visualisierungsl\u00f6sung kann dar\u00fcber hinaus jederzeit nachvollzogen\nwerden, welche Kommunikation zwischen den einzelnen Segmenten stattfindet. Dies\nerleichtert nicht zuletzt die Fehlersuche und es kann schnell reagiert werden,\nsobald Auff\u00e4lligkeiten festgestellt werden. <\/p>\n\n\n\n

Gute Vorbereitung ist die halbe\nMiete<\/strong><\/p>\n\n\n\n

Im Rahmen von Segmentierung zahlt es sich oft aus, erfahrene Dienstleister mit ins Boot zu holen, die bei der Entwicklung und Umsetzung einer geeigneten Strategie mit Rat und Tat zur Seite stehen. Wenn es um die Auswahl einer geeigneten Appliance zur Unterst\u00fctzung eines weiterentwickelten Segmentierungsansatzes geht, sollte vor allem auf eine hohe Portdichte geachtet werden. Mit der Entscheidung f\u00fcr die richtige Plattform k\u00f6nnen der Hardware-Bedarf und damit die einhergehenden Kosten auch auf lange Sicht gesenkt werden, ohne Abstriche hinsichtlich der Funktionalit\u00e4t und Bedienerfreundlichkeit hinnehmen zu m\u00fcssen. Zudem sollten die jeweiligen Schnittstellen frei definierbar sein, um maximale Flexibilit\u00e4t hinsichtlich der Einteilung der verschiedenen Netzwerkbereiche zu garantieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Eine gezielte Einteilung und spezifische Absicherung verschiedener Netzwerkbereiche tr\u00e4gt ma\u00dfgeblich dazu bei, den Schaden im Falle eines Hackerangriffs in Grenzen zu halten. Auf Basis einer passenden Segmentierung k\u00f6nnen die IT-Sicherheitsverantwortlichen die jeweilige Schwachstelle schnell identifizieren und entsprechende Gegenma\u00dfnahmen ergreifen. <\/p>\n","protected":false},"author":3,"featured_media":14858,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6258,825,3764,6244,12741,3728,6443,36,1790,269,232,3160,4540,12139],"class_list":["post-14857","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-byod","tag-firewall","tag-iot","tag-kreditkarte","tag-m440","tag-pci-dss","tag-segmentierung","tag-sicherheit","tag-smart-tv","tag-switch","tag-utm","tag-vlan","tag-voip","tag-watchguard"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14857","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14857"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14857\/revisions"}],"predecessor-version":[{"id":14859,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14857\/revisions\/14859"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14858"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14857"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14857"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14857"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}