Was ist Netzwerksegmentierung? Als Netzwerksegmentierung wird die Untergliederung eines Netzwerks in mehrere Subnetze bezeichnet, für die jeweils eigene Sicherheitsrichtlinien und -protokolle gelten. Dadurch soll die laterale Bewegungsfreiheit innerhalb des Netzwerks eingeschränkt werden. Netzwerksegmentierung zählt zu den am häufigsten eingesetzten Techniken zur Abwehr von Cyberangriffen durch Reduzieren der Angriffsfläche eines Netzwerks.

Netzwerksegmentierung und Mikrosegmentierung im Vergleich

Zunächst ist es sinnvoll, den Unterschied zwischen Netzwerksegmentierung und Mikrosegmentierung zu klären.

Netzwerksegmentierung eignet sich vor allem zur Absicherung ein- und ausgehender Verbindungen. Durch Mikrosegmentierung hingegen wird eine zusätzliche Schutzschicht zur Absicherung des lateralen Traffics innerhalb der Umgebung geschaffen (Server-zu-Server, Anwendung-zu-Server, Web-zu-Server usw.). Wenn man sich das am Modell einer mittelalterlichen Festung veranschaulicht, entspricht Netzwerksegmentierung quasi dem Schutz vor externen Feinden durch Außenmauern und Burggraben. Bei der Mikrosegmentierung werden Wachen an den Türen der einzelnen Gemächer im Inneren postiert.

Was bringt Netzwerksegmentierung?

Segmentierung ist ein proaktiver Ansatz zur Bedrohungsabwehr, der entscheidende Vorteile gegenüber reaktiver Sicherheit bietet.

Reaktive Sicherheit umfasst die nachträgliche Untersuchung erfolgreicher Angriffe sowie entsprechende Maßnahmen zur Schadensbegrenzung. Dieses Verfahren ist umständlich und teuer, zumal die betroffenen Organisationen auch noch die Angriffsfolgen wie Datenverluste, Verstöße gegen einschlägige Vorschriften und Rufschädigung zu bewältigen haben.

Die Zahlen sprechen für sich: Angaben von Risk Based Security zufolge wurden allein im Jahr 2021 weltweit 4.145 Sicherheitsverletzungen öffentlich gemeldet; die Zahl der kompromittierten Datensätze belief sich auf über 22 Milliarden.

Jede Organisation ist also gut beraten, ihre Ressourcen verstärkt auf Prävention statt auf Reaktion zu fokussieren, damit potenzielle Risiken und Sicherheitslücken rechtzeitig erkannt und behoben werden können, bevor sie für Cyberangriffe ausgenutzt werden. Netzwerksegmentierung zählt gegenwärtig zu den gängigsten Methoden, mit denen sich dies erreichen lässt.

Formen der Netzwerksegmentierung

Traditionell ist zwischen zwei verschiedenen Formen der Netzwerksegmentierung zu unterscheiden:

• Bei der physischen Segmentierung werden Netzwerke mithilfe separater Firewalls, Kabel, Schalter und Internetverbindungen untergliedert. Dieses Verfahren ist teurer und weniger skalierbar als die virtuelle Segmentierung.
• Bei der virtuellen bzw. logischen Segmentierung werden Traffic-Ströme im Regelfall mithilfe von VLANs (Virtual Local Area Networks) segmentiert, wobei die einzelnen Segmente durch dieselbe Firewall geschützt werden können.

Anwendungsfälle für Netzwerksegmentierung

Was lässt sich also mit Netzwerksegmentierung konkret erreichen? Durch Netzwerksegmentierung profitiert Ihre Organisation gleich von mehreren Vorteilen:

• Verhindern der lateralen Ausbreitung externer Bedrohungen: Im Falle eines erfolgreichen Zugriffs Unbefugter auf ein segmentiertes Netzwerk sind nicht alle Unternehmensdaten unmittelbar gefährdet.
• Verhindern der lateralen Ausbreitung interner Bedrohungen: Durch Segmentieren interner Daten nach jeweils zugriffsberechtigten User-Gruppen (also z. B. nach Abteilung) reduzieren Organisationen das Risiko von Bedrohungen durch Insider – etwa, indem die Personalabteilung nicht auf Finanzdaten zugreifen kann.
• Trennung zwischen internen und Gastnetzwerken: Organisationen können Gästen Zugang zu einem eigenen Netzwerkbereich gewähren, der getrennt vom internen Unternehmensnetzwerk verwaltet wird, sodass kein Risiko für interne Geräte und Daten besteht.
• Schutz regulierter Daten zur Unterstützung von Compliance-Maßnahmen: Kartenzahlungs- und andere streng vertrauliche Daten können in einem Segment mit stringenten Zugriffsbeschränkungen gespeichert werden, um sie vor unbefugten Zugriffen zu schützen und die Maßnahmen der Organisation zur Erfüllung datenschutzrechtlicher Auflagen zu stärken.

Vorteile der Netzwerksegmentierung

Unabhängig vom jeweils angewandten Schema bietet die Netzwerksegmentierung deutliche Vorteile im Vergleich zu flachen Netzwerken ohne Hierarchie oder Subnetze. Insbesondere profitieren Organisationen von folgenden Eigenschaften segmentierter Netzwerke:

• Stärkere Cybersicherheit für vertrauliche Daten: Dies wird durch Prävention von Sicherheitsverletzungen durch ein- und ausgehenden Traffic, schärfere Zugriffskontrollen sowie spezifische Sicherheitskontrollen für jedes einzelne Segment gewährleistet.
• Vereinfachte Erfüllung von Nachweispflichten: Durch Einschränkung des Zugriffs auf sowie der Möglichkeit zur Übermittlung bestimmte/r Daten wird die Erbringung von Konformitätsnachweisen gemäß branchenspezifischen bzw. aufsichtsrechtlichen Vorschriften wie DSGVO und PCI DSS vereinfacht.
• Einfachere Risikoanalyse und Schadensbegrenzung: Wenn sich Cyberkriminelle nicht frei im gesamten Netzwerk bewegen können, lassen sich Angriffstechniken leichter erkennen und Schwachstellen im Sicherheitsstatus der Organisation aufdecken.
• Mehr Sicherheit für Endgeräte und User: Indem verhindert wird, dass sich Bedrohungen innerhalb des Netzwerks ausbreiten können, werden User und Endgeräte geschützt. Umgekehrt sind auch die Netzwerksegmente vor Bedrohungen sicher, die von Endgeräten ausgehen.
• Geringeres Risiko der Netzwerküberlastung: Aktivitäten in einem Segment verursachen keine Engpässe in anderen Bereichen des Netzwerks. Wenn z. B. Kunden in einem Einzelhandelsgeschäft Gast-WLAN nutzen, wird die Abwicklung von Kreditkartentransaktionen dadurch nicht beeinträchtigt.

Handlungsempfehlungen für Netzwerksegmentierung

Bei der Implementierung und Wartung eines effektiven Modells zur Netzwerksegmentierung sind vor allem fünf Handlungsempfehlungen zu beachten:

1. Nicht zu stark segmentieren

Viele Organisationen übertreiben es anfangs mit der Segmentierung und gliedern ihre Netzwerke in zu viele einzelne Teile auf. Dadurch wird die Transparenz des Netzwerks insgesamt beeinträchtigt, sodass der Verwaltungsaufwand eher noch größer wird als vor der Segmentierung. Umgekehrt dürfen die Segmente aber auch nicht zu groß sein – sonst ist die Angriffsfläche zu breit, was wiederum dem Sicherheitsstatus der Organisation schadet.

2. Regelmäßige Revisionen durchführen

Netzwerksegmentierung ist eine hervorragende Möglichkeit zur Stärkung der Netzwerksicherheit. Damit sie wirklich effektiv ist, muss jedoch laufend überprüft werden, ob Sicherheitslücken tatsächlich geschlossen, Zugriffsberechtigungen streng durchgesetzt und anfallende Updates umgehend installiert werden. Insbesondere lässt sich durch regelmäßige Revisionen sicherstellen, dass ein lückenloser Schutz gewährleistet und potenzielle Risiken behoben werden, noch bevor kriminelle Akteure sie ausnutzen können.

3. Prinzip der minimalen Rechtevergabe beachten

Wie effektiv eine Strategie zur Zugriffsverwaltung ist, hängt vor allem davon ab, inwieweit das Prinzip der minimalen Rechtevergabe berücksichtigt und durchgesetzt wird. Auch bei der Netzwerksegmentierung ist dieser Gesichtspunkt von maßgeblicher Bedeutung. Durch konsequente Umsetzung einer minimalen Rechtevergabe lässt sich gewährleisten, dass ausschließlich befugte User auf Ressourcen zugreifen können, die sie für ihre Arbeit tatsächlich benötigen. Dieser Punkt ist eine entscheidende Grundvoraussetzung für Zero Trust Network Access.

4. Zugriff für externe Dritte einschränken

Zugriffsrechte für externe Dritte sind immer mit hohem Risiko verbunden und sollten daher nur unter strikter Berücksichtigung des Erforderlichkeitsprinzips gewährt werden. Das gilt erst recht, wenn es sich um Zugriffsrechte für mehrere Netzwerksegmente handelt. Durch Segmentierung wird zwar das Gesamtrisiko eines erfolgreichen Angriffs auf das Netzwerk reduziert. Das heißt jedoch noch lange nicht, dass Zugriffsberechtigungen wahllos und ohne Rücksicht auf die Konsequenzen für den Sicherheitsstatus des Netzwerks an externe User vergeben werden dürfen.

5. Alles automatisieren, was sich automatisieren lässt

Bei der Segmentierung des Netzwerks bietet sich eine Vielzahl von Chancen zur Automatisierung. Neben den allgemeinen Vorteilen der Automatisierung – verbesserte Transparenz, kürzere Reaktionszeiten, Stärkung der Sicherheit usw. – unterstützt automatische Netzwerksegmentierung die schnelle Erkennung und Klassifizierung neuer Assets und Daten. Auch dieser Punkt zählt zu den Best Practices für eine effektive Segmentierung.

Nachteile der Netzwerksegmentierung

Heutige Netzwerkarchitekturen verteilen sich über mehrere Cloud und Rechenzentren. Es führt kein Weg an der Einsicht vorbei, dass herkömmliche Segmentierungskonzepte mit Firewalls und VLAN angesichts dieser Komplexität keinen zuverlässigen Schutz gewährleisten.

Herkömmliche Firewalls haben ein entscheidendes Manko, das der Segmentierung unmittelbar entgegensteht: Sie lassen flache Netzwerke entstehen, in deren Innern uneingeschränkte laterale Bewegungsfreiheit herrscht. Diesen Mangel auszugleichen, ist so umständlich und aufwendig, dass es die Kapazitäten der meisten Organisationen übersteigt. Trotz ihres erweiterten Funktionsumfangs weisen Firewalls der nächsten Generation weiterhin einen gravierenden Nachteil auf: Um auf Anwendungen zugreifen zu können, müssen User Zugang zum Netzwerk erhalten. Das gleiche gilt für VLANs.

Herkömmliche Ansätze bringen eine ganze Reihe von Herausforderungen für die Organisation mit sich:

• Unnötige Zugriffsberechtigungen: Herkömmliche Firewall-basierte Segmentierung dient zur Abwehr externer Angriffe, bietet aber keinen Schutz vor Insider-Bedrohungen.
• Fehlkonfigurationen: VLANs werden in heutigen Architekturen häufig falsch konfiguriert – insbesondere, wenn die Infrastruktur von einem externen Cloud-Anbieter verwaltet wird und die Organisation keine Möglichkeit hat, Änderungen vorzunehmen.
• Hoher Verwaltungsaufwand: Bei neuen Anwendungen oder Geräten bzw. sonstigen Änderungen an der Infrastruktur müssen jedes Mal die Firewall-Regeln neu konfiguriert werden, und selbst alltägliche Aufgaben wie Schwachstellen-Scans sind mit einem höheren Ressourcenaufwand verbunden.
• Komplizierte Kontrollmechanismen: Aufgrund der mangelnden Granularität herkömmlicher Methoden ist die Festlegung von Segmentierungsrichtlinien für Remote-Mitarbeiter, Geschäftspartner, Kunden usw. unnötig kompliziert.
• Mangelnde Skalierbarkeit: Wachsende Netzwerke lassen sich nur durch Neugliederung in kleinere Segmente bzw. Aktualisierung vorhandener Segmente bewältigen, was zu höheren Kosten für Skalierung und Wartung führt.
• Unbefriedigende Performance: Je mehr Netzwerkgeräte (Firewalls, Router usw.) eingesetzt werden, desto stärker ist die Beeinträchtigung der Netzwerkleistung insgesamt.

ZTNA: eine bessere Alternative

Je besser sich eine Organisation die Skalierbarkeit, Flexibilität und Reichweite der Cloud zunutze zu machen versteht, desto mehr verlieren netzwerkzentrierte Sicherheitsstrategien wie die herkömmliche Segmentierung an Relevanz. Stattdessen sind neue Ansätze erforderlich, die das interne Netzwerk mit allen damit verbundenen Risiken und Komplexitäten sozusagen ausklammern.

Als besonders vielversprechend erweisen sich hier Ansätze, die auf Zero Trust Network Access (ZTNA) beruhen, einem Framework, bei dem kein User oder Gerät automatisch als vertrauenswürdig eingestuft wird. Stattdessen basieren Zugriffsrichtlinien auf dem Prinzip der minimalen Rechtevergabe unter Berücksichtigung von Identität und Kontextdaten (Gerät, Standort, Anwendung, Inhalte usw.).

ZTNA verbindet einzelne User direkt mit einzelnen Anwendungen, ohne ihnen Zugang zum Netzwerk zu gewähren, sodass laterale Bewegungen verhindert werden. Dadurch wird eine grundsätzlich andere, weitaus effektivere Methode der Segmentierung ermöglicht, die mit Legacy-VPNs und Firewalls schlichtweg nicht machbar ist.

Vorteile von ZTNA gegenüber herkömmlicher Segmentierung

ZTNA zeichnet sich durch eine Reihe von Vorteilen gegenüber herkömmlicher Segmentierung aus:

• Ermöglicht einen adaptiven, identitätsorientierten, präzisen Zugriff ohne Netzwerkzugang. Keine Verbindung wird automatisch als vertrauenswürdig eingestuft; stattdessen erfolgt die Beurteilung der Vertrauenswürdigkeit anhand authentifizierter Identitäten.
• Erfordert keine Netzwerkverbindung, sodass interne Anwendungen (IP-Adressen) niemals im Internet exponiert werden. Organisationen profitieren von einer deutlich kleineren Angriffsfläche und geringerem Risiko.
• Ermöglicht Segmentierung einzelner User-zu-App-Verbindungen durch granulare Zugriffsrichtlinien, die in der Cloud durchgesetzt werden, und erspart Organisationen die Konfiguration von Zugriffsrichtlinien und Firewall-Regeln.
• Verbessert Flexibilität, Agilität und Skalierbarkeit bei reduziertem Bedarf an internen Firewall-Appliances. ZTNA kann als Cloud-Service oder als verwaltete, lokal installierte Software bereitgestellt werden.
• Unterstützt sicheren Anwendungszugriff für nicht verwaltete Geräte und externe Partner und minimiert das Risiko der Ausbreitung von Malware, indem User niemals ins Netzwerk gelangen.

Die Zscaler-Lösung zur effektiveren Segmentierung

Zscaler Private Access™ ist die weltweit am häufigsten eingesetzte ZTNA-Plattform. Usern wird sicherer Direktzugriff auf firmeninterne Anwendungen gemäß dem Prinzip der minimalen Rechtevergabe gewährt, ohne dass sie Zugang zum Netzwerk erhalten.

Der Einsatz von Zscaler Private Access empfiehlt sich für Organisationen, die entweder erstmals eine Netzwerksegmentierung planen oder den Umstieg von einem veralteten Modell in Angriff nehmen wollen. In beiden Fällen kann Zscaler die erfolgreiche Umsetzung einer ausgereiften Segmentierungsstrategie mit ZTNA unterstützen. Konkret sieht das Vorgehen wie folgt aus:

1. Im ersten Schritt erfolgt die Umstellung von Legacy-VPNs und Firewalls auf Zscaler Private Access. Durch Segmentierung einzelner User-zu-App-Verbindungen verkleinert die Organisation ihre Angriffsfläche und verhindert laterale Bewegungen innerhalb des Netzwerks.
2. Durch Segmentierung von App-zu-App-Verbindungen wird ZTNA auch auf Cloud-Workloads und Anwendungen angewandt, die in hybriden und Multicloud-Umgebungen gehostet werden.
3. Abschließend sollte noch eine identitätsbasierte Mikrosegmentierung von Prozess-zu-Prozess-Verbindungen für die laterale Kommunikation innerhalb einer einzelnen Cloud implementiert werden.