Netzwerksegmentierung für KMU: Warum und wie du dein Netz aufteilst

Warum ein flaches Netzwerk ein Sicherheitsrisiko ist

Die meisten Netzwerke in kleinen und mittleren Unternehmen sind historisch gewachsen. Irgendwann wurde ein Switch aufgestellt, ein paar Kabel gezogen, der Router vom Provider angeschlossen, und seitdem teilen sich Arbeitsplatzrechner, Server, Drucker, die Telefonanlage, das Gäste-WLAN und vielleicht auch noch ein paar IoT-Sensoren ein und dasselbe Netzwerk. Alles hängt im selben Subnetz, alles kann mit allem kommunizieren. Funktioniert ja.

Bis es nicht mehr funktioniert.

Das Problem mit einem flachen Netzwerk ist nicht der Normalbetrieb. Im Alltag merkt niemand, dass der Arbeitsplatzrechner der Buchhaltung theoretisch direkt mit dem Backup-Server kommunizieren könnte. Oder dass das smarte Thermostat im Konferenzraum im selben Netzwerksegment hängt wie der Domaincontroller. Solange niemand diese Verbindungen missbraucht, fällt das nicht auf.

Aber genau hier liegt das Risiko. Wenn ein Angreifer einen einzelnen Rechner kompromittiert, etwa über eine Phishing-Mail mit Malware oder eine ungepatchte Schwachstelle, dann hat er in einem flachen Netzwerk sofort Zugriff auf das gesamte Netz. Er kann sich frei bewegen, Systeme scannen, Schwachstellen finden, Daten exfiltrieren und sich zu den wirklich wertvollen Zielen vorarbeiten: dem Domaincontroller, dem ERP-System, den Backups. Dieses Vorgehen nennt sich Lateral Movement, und es ist der Grund, warum aus einem kompromittierten Arbeitsplatzrechner innerhalb von Stunden eine vollständige Netzwerkübernahme werden kann. Ein funktionierender Incident Response Plan kann den Schaden begrenzen, aber ohne Segmentierung bleibt das Zeitfenster extrem kurz.

Die Zahlen sind ernüchternd. Bei den meisten Ransomware-Angriffen vergehen zwischen dem initialen Zugriff und der Verschlüsselung des gesamten Netzwerks nur wenige Tage, manchmal nur Stunden. Die Angreifer nutzen diese Zeit, um sich durch das Netzwerk zu bewegen, Berechtigungen zu eskalieren und die Backups zu zerstören, bevor sie zuschlagen. In einem segmentierten Netzwerk wäre dieser Weg versperrt oder zumindest erheblich erschwert.

Was Netzwerksegmentierung bedeutet

Netzwerksegmentierung ist das Prinzip, ein Netzwerk in mehrere voneinander getrennte Bereiche aufzuteilen. Jeder Bereich, auch Zone genannt, enthält nur Systeme mit ähnlichen Anforderungen an Sicherheit und Kommunikation. Zwischen den Zonen wird der Datenverkehr durch Firewalls oder Access Control Lists kontrolliert und auf das Notwendige beschränkt.

Das Konzept ist nicht neu. In der physischen Welt entspricht es Brandschutztüren in einem Gebäude. Ein Brand in einem Raum soll sich nicht unkontrolliert auf das gesamte Gebäude ausbreiten können. Jede Brandschutztür begrenzt den Schaden auf den betroffenen Bereich und gibt den Einsatzkräften Zeit zu reagieren. Genau das leistet Netzwerksegmentierung für dein IT-Netz.

ISO 27001 adressiert Netzwerksegmentierung in Annex A.8.22 (Segregation of Networks). Die Anforderung lautet, dass Gruppen von Informationsdiensten, Benutzern und Informationssystemen in Netzwerken segregiert werden sollen. NIS2 geht noch einen Schritt weiter und verlangt in den Mindestmaßnahmen explizit Maßnahmen zur Netzwerksicherheit, zu denen die Segmentierung zweifellos gehört. Auch das BSI empfiehlt im IT-Grundschutz (NET.1.1) die Zonierung und Segmentierung von Netzwerken als grundlegende Sicherheitsmaßnahme.

Die sechs Zonen: So teilst du dein Netzwerk auf

Bevor du anfängst, VLANs zu konfigurieren, brauchst du ein durchdachtes Zonenmodell. Die folgenden sechs Zonen bilden ein sinnvolles Grundgerüst für die meisten KMU. Je nach Unternehmen kannst du Zonen zusammenlegen oder weitere hinzufügen, aber dieses Modell deckt die typischen Anforderungen ab.

Zone 1: DMZ (Demilitarisierte Zone)

Die DMZ ist die Zone zwischen dem Internet und deinem internen Netzwerk. Hier stehen alle Systeme, die aus dem Internet erreichbar sein müssen: der Webserver, der Mailserver, der VPN-Gateway, eventuell ein Reverse Proxy. Diese Systeme sind per Definition exponiert und damit einem höheren Risiko ausgesetzt. Die DMZ sorgt dafür, dass ein kompromittierter Webserver keinen direkten Zugang zum internen Netzwerk hat.

Die Kommunikation zwischen DMZ und Internet ist auf die notwendigen Ports beschränkt (HTTP/HTTPS, SMTP, VPN). Die Kommunikation zwischen DMZ und internem Netzwerk ist streng reglementiert: Der Mailserver darf E-Mails an den internen Mailrelay weiterleiten, aber er darf nicht auf den Fileserver oder den Domaincontroller zugreifen. Die Grundregel lautet: Aus der DMZ heraus darf niemals eine Verbindung ins interne Netz initiiert werden, es sei denn, es gibt eine explizite, dokumentierte Ausnahme.

Zone 2: Server-Zone

In der Server-Zone stehen deine internen Server: Domaincontroller, Fileserver, ERP-System, Datenbankserver, Monitoring, interner Mailserver. Diese Systeme sind das Rückgrat deiner IT und enthalten die wertvollsten Daten. Die Server-Zone hat die strengsten Zugangsregeln.

Client-Rechner dürfen nur über definierte Ports auf Server-Dienste zugreifen. Ein Arbeitsplatzrechner darf eine HTTPS-Verbindung zum ERP-System aufbauen, aber er darf nicht per RDP oder SSH direkt auf den Server zugreifen. Administrativer Zugang zu Servern erfolgt ausschließlich aus einem separaten Management-Netz oder über eine Jump-Host-Lösung. Das verhindert, dass ein kompromittierter Client-Rechner direkt administrative Zugriffe auf Server ausführen kann.

Zone 3: Client-Zone

Die Client-Zone umfasst alle Arbeitsplatzrechner und Notebooks der Mitarbeiter. Diese Zone hat das höchste Kompromittierungsrisiko, weil hier die Interaktion mit E-Mails, Websites und externen Dateien stattfindet. Die Client-Zone darf auf Server-Dienste zugreifen, aber die Kommunikation zwischen Clients untereinander sollte so weit wie möglich eingeschränkt werden.

Warum? Weil Lateral Movement typischerweise von Client zu Client erfolgt. Ein kompromittierter Rechner versucht, andere Rechner im selben Segment zu scannen und anzugreifen. Wenn die Clients untereinander nicht kommunizieren können, wird dieser Angriffsvektor eliminiert. In der Praxis lässt sich das über Private VLANs oder Mikrosegmentierung umsetzen, aber selbst eine einfache Trennung von Clients und Servern in unterschiedliche VLANs ist ein enormer Fortschritt gegenüber einem flachen Netz.

Zone 4: Produktions- und OT-Zone

Falls dein Unternehmen Produktionsanlagen, Steuerungssysteme oder andere Operational Technology betreibt, brauchen diese eine eigene Zone. OT-Systeme haben besondere Anforderungen: Sie laufen oft mit veralteter Software, können nicht einfach gepatcht werden und haben lange Lebenszyklen. Ein kompromittiertes OT-System kann physische Schäden verursachen, von der Produktionsunterbrechung bis hin zu Sicherheitsrisiken für Mitarbeiter.

Die OT-Zone muss strikt vom IT-Netzwerk getrennt sein. Wenn Daten zwischen IT und OT ausgetauscht werden müssen, etwa Produktionsaufträge aus dem ERP, erfolgt das über definierte Schnittstellen und kontrollierte Datenflüsse. Ein Datendiode oder ein Application-Level-Gateway kann hier sinnvoll sein. Auf keinen Fall sollte ein Office-Rechner direkt auf ein Steuerungssystem zugreifen können.

Zone 5: Gäste-WLAN

Das Gäste-WLAN ist konzeptionell die einfachste Zone: Es bietet Internetzugang für Besucher, Dienstleister und private Geräte. Punkt. Kein Zugriff auf interne Ressourcen, kein Zugriff auf andere Zonen. Das Gäste-WLAN ist komplett isoliert und hat nur eine Verbindung nach draußen ins Internet.

In der Praxis wird das Gäste-WLAN häufig vernachlässigt. Manchmal teilt es sich ein Subnetz mit dem internen WLAN, manchmal gibt es gar kein separates Gäste-Netz, und Besucher bekommen das interne WLAN-Passwort. Das ist ein Risiko, das sich mit minimalem Aufwand beseitigen lässt. Jeder halbwegs aktuelle Access Point kann ein separates Gäste-Netz mit eigenem VLAN bereitstellen.

Zone 6: IoT-Zone

Immer mehr Geräte hängen am Netzwerk, die keine klassischen Computer sind: IP-Kameras, Zutrittskontrollsysteme, smarte Thermostate, Multifunktionsdrucker, digitale Türschilder, Aufzugsteuerungen. Diese Geräte haben oft minimale Sicherheitsfunktionen, werden selten aktualisiert und sind ein beliebtes Einfallstor für Angreifer.

IoT-Geräte gehören in ein eigenes VLAN mit stark eingeschränkter Kommunikation. Eine IP-Kamera muss vielleicht ihren Videostream an den NVR (Network Video Recorder) senden, braucht aber keinen Zugang zum Internet oder zum restlichen Netzwerk. Ein Drucker muss Druckaufträge von Clients empfangen, aber er braucht keinen Zugang zum Domaincontroller. Je restriktiver die Regeln für die IoT-Zone, desto besser.

VLANs in der Praxis: Die technische Umsetzung

Die technische Grundlage für Netzwerksegmentierung sind VLANs (Virtual Local Area Networks). Ein VLAN ist ein logisch getrenntes Netzwerk auf derselben physischen Infrastruktur. Statt für jede Zone eigene Switches und Kabel zu verlegen, konfigurierst du die Trennung auf den vorhandenen Switches per Software. Das spart Hardware und macht die Segmentierung flexibel.

Wie VLANs funktionieren

Jedes VLAN bekommt eine eindeutige ID (VLAN-Tag) nach dem Standard IEEE 802.1Q. Switch-Ports werden einem VLAN zugewiesen: Ein Port, der VLAN 10 zugewiesen ist, kann nur mit anderen Ports in VLAN 10 kommunizieren. Pakete zwischen VLANs müssen über einen Router oder eine Layer-3-Firewall geleitet werden, wo sie inspiziert und gefiltert werden können.

Es gibt zwei Arten von Switch-Ports: Access-Ports und Trunk-Ports. Access-Ports gehören zu genau einem VLAN und werden typischerweise für Endgeräte verwendet. Trunk-Ports transportieren den Datenverkehr mehrerer VLANs gleichzeitig und werden für die Verbindung zwischen Switches oder zwischen Switch und Firewall eingesetzt. Der VLAN-Tag im Ethernet-Frame kennzeichnet, zu welchem VLAN ein Paket gehört.

Ein typisches VLAN-Schema

Für ein KMU mit den sechs beschriebenen Zonen könnte das VLAN-Schema so aussehen:

VLAN 10 – Management: Switches, Access Points, Firewall-Management-Interfaces. Nur für Administratoren erreichbar.

VLAN 20 – DMZ: Webserver, Mailserver, VPN-Gateway. Erreichbar aus dem Internet über definierte Ports.

VLAN 30 – Server: Domaincontroller, Fileserver, ERP, Datenbanken. Erreichbar aus der Client-Zone über Anwendungsprotokolle.

VLAN 40 – Clients: Arbeitsplatzrechner und Notebooks. Internetzugang und Zugriff auf Server-Dienste.

VLAN 50 – Produktion/OT: Steuerungssysteme, Produktionsanlagen. Strikt isoliert, kontrollierter Datenaustausch mit der Server-Zone.

VLAN 60 – Gäste: Gäste-WLAN. Nur Internetzugang, keine internen Ressourcen.

VLAN 70 – IoT: Kameras, Sensoren, Zutrittskontrolle. Eingeschränkte Kommunikation mit spezifischen Zielservern.

Die IP-Adressierung folgt dem VLAN-Schema: VLAN 10 bekommt 10.10.10.0/24, VLAN 20 bekommt 10.10.20.0/24 und so weiter. Diese Konvention macht die Zuordnung intuitiv und erleichtert die Firewall-Konfiguration.

DHCP und DNS in segmentierten Netzen

Jedes VLAN braucht einen eigenen DHCP-Bereich. Der DHCP-Server steht typischerweise in der Server-Zone und bedient alle VLANs über DHCP-Relay (ip helper-address auf dem Router/Layer-3-Switch). So brauchst du nur einen DHCP-Server, der zentral verwaltet wird.

DNS funktioniert ähnlich: Ein interner DNS-Server in der Server-Zone beantwortet Anfragen aus allen Zonen. Die Firewall-Regeln müssen DNS-Verkehr (Port 53) aus allen internen Zonen zum DNS-Server erlauben. Das Gäste-WLAN kann alternativ einen externen DNS-Server nutzen, damit Gäste keine internen DNS-Einträge auflösen können.

Firewall-Regeln zwischen den Zonen

Die VLANs allein bringen noch keine Sicherheit. Ohne Firewall-Regeln, die den Verkehr zwischen den VLANs kontrollieren, ist die Segmentierung nur eine logische Trennung ohne Schutzwirkung. Die Firewall ist das Herzstück der Segmentierung.

Das Grundprinzip: Default Deny

Jede Firewall-Regelkonfiguration beginnt mit einer einzigen Regel: Alles ist verboten. Deny Any Any. Von dieser Basis aus öffnest du gezielt nur die Kommunikationswege, die tatsächlich benötigt werden. Das ist das Prinzip der minimalen Berechtigung, angewandt auf Netzwerkkommunikation.

In der Praxis bedeutet das: Du setzt dich mit den Fachabteilungen zusammen und dokumentierst, welche Systeme mit welchen anderen Systemen über welche Protokolle kommunizieren müssen. Jede Kommunikationsbeziehung wird zu einer Firewall-Regel. Was nicht dokumentiert und freigegeben ist, bleibt gesperrt.

Beispiel-Regelwerk für die sechs Zonen

Die folgenden Regeln sind ein Ausgangspunkt. In der Praxis wirst du sie an deine spezifischen Systeme und Anforderungen anpassen.

Clients → Server (VLAN 40 → VLAN 30): Erlaubt sind die Anwendungsprotokolle, die die Mitarbeiter für ihre Arbeit brauchen: HTTPS (443) zum ERP und Intranet, SMB (445) zum Fileserver, LDAP/Kerberos (389/88) zum Domaincontroller, DNS (53), NTP (123). Nicht erlaubt: RDP, SSH, direkte Datenbankzugriffe, ICMP (oder nur für Admins).

Clients → Internet (VLAN 40 → WAN): Erlaubt: HTTP/HTTPS über den Proxy oder die Firewall. Je nach Anforderung auch weitere Protokolle für spezifische Anwendungen. Der Webverkehr sollte über einen Proxy oder eine Next-Generation-Firewall mit URL-Filtering laufen.

Server → Internet (VLAN 30 → WAN): Nur für definierte Zwecke: Windows Update, Antivirus-Updates, Cloud-Dienste. Jeder Server, der Internetzugang braucht, bekommt eine explizite Regel. Server ohne Bedarf bleiben offline.

DMZ → Server (VLAN 20 → VLAN 30): Nur für spezifische, dokumentierte Datenflüsse. Der Mailserver in der DMZ darf E-Mails an den internen Mailserver weiterleiten (SMTP, Port 25). Der Reverse Proxy darf Anfragen an interne Webapplikationen weiterleiten. Sonst nichts.

DMZ → Clients: Verboten. Keine Ausnahmen.

Gäste → alles außer Internet: Verboten. Das Gäste-WLAN hat ausschließlich Internetzugang.

IoT → Server (VLAN 70 → VLAN 30): Nur für spezifische Geräte und Zielserver. Die Kamera darf ihren Stream zum NVR senden. Das Zutrittskontrollsystem darf mit seinem Managementserver kommunizieren. Alles andere ist gesperrt.

IoT → Internet: Grundsätzlich gesperrt. Falls ein IoT-Gerät Cloud-Anbindung braucht, wird das als Ausnahme mit spezifischer Ziel-IP und Zielport konfiguriert.

Produktion/OT → IT-Netz: Grundsätzlich gesperrt. Datenaustausch nur über definierte Schnittstellen in der Server-Zone.

Logging und Monitoring

Jede Firewall-Regel sollte Logging aktiviert haben, mindestens für abgelehnte Verbindungen (Deny-Log). Damit erkennst du, wenn Systeme versuchen, über Zonengrenzen hinweg zu kommunizieren, die nicht vorgesehen sind. Eine durchdachte Logging- und Monitoring-Strategie ist dabei unverzichtbar. Das kann auf eine Fehlkonfiguration hindeuten oder auf einen Angriff. Ein SIEM-System oder zumindest ein zentraler Syslog-Server sammelt diese Logs und ermöglicht Auswertungen.

Praxisbeispiel: Ein Unternehmen mit 100 Mitarbeitern

Damit die Theorie greifbar wird, hier ein konkretes Beispiel. Die Müller Maschinenbau GmbH hat 100 Mitarbeiter, einen Standort, eine eigene Produktion und eine klassische IT-Landschaft.

Ausgangssituation

Das Netzwerk ist historisch gewachsen. Alle Geräte hängen im Subnetz 192.168.1.0/24. Ein einzelner Switch verbindet alles: 80 Arbeitsplatzrechner, 5 Server, 3 Drucker, 10 IP-Kameras, eine SPS-Steuerung in der Produktionshalle, 4 Access Points und das Gäste-WLAN. Der Router vom Provider macht NAT und hat eine einfache Firewall, die eingehenden Verkehr sperrt, aber intern gibt es keine Kontrolle.

Das Problem

Nach einem Pentest stellt der externe Dienstleister fest, dass ein kompromittierter Arbeitsplatzrechner innerhalb von Minuten den Domaincontroller erreichen, alle Netzwerkfreigaben scannen und auf die SPS-Steuerung in der Produktion zugreifen könnte. Der Pentest-Bericht enthält die Empfehlung: Netzwerksegmentierung einführen.

Die Lösung

Die IT-Abteilung plant gemeinsam mit einem externen Dienstleister die Segmentierung. Die vorhandenen Managed Switches unterstützen VLANs, die bestehende Firewall kann Inter-VLAN-Routing mit Regelwerk. Neue Hardware ist nicht nötig, nur Konfiguration.

Das Zonenmodell wird definiert:

Die Buchhaltung, das Vertriebsteam und die Konstruktion landen im Client-VLAN. Die fünf Server (Domaincontroller, Fileserver, ERP, Datenbank, Backup) kommen ins Server-VLAN. Die SPS-Steuerung und das HMI-Terminal bekommen ein eigenes Produktions-VLAN. Die Kameras und das Zutrittskontrollsystem werden ins IoT-VLAN verschoben. Das Gäste-WLAN bekommt ein isoliertes VLAN. Der extern erreichbare VPN-Concentrator kommt in die DMZ.

Die Firewall-Regeln werden nach dem Prinzip Default Deny aufgebaut. Für jede Kommunikationsbeziehung gibt es eine dokumentierte Regel mit Quell-Zone, Ziel-Zone, Protokoll, Port und Begründung. Die IT-Abteilung pflegt diese Regeln in einer Tabelle, die auch im ISMS als Maßnahmennachweis dient. Tools wie ISMS Lite erlauben es, das Zonenmodell und die Firewall-Regeln direkt als Maßnahmennachweis in der Risikobehandlung zu verknüpfen.

Das Ergebnis

Nach der Umstellung kann ein kompromittierter Arbeitsplatzrechner nicht mehr die SPS-Steuerung erreichen. Er kann nicht direkt auf den Backup-Server zugreifen. Er kann nicht einmal andere Arbeitsplatzrechner scannen, weil die Firewall auch den intra-VLAN-Verkehr für nicht benötigte Protokolle sperrt. Die Angriffsfläche hat sich dramatisch verkleinert. Der zweite Pentest drei Monate später bestätigt: Lateral Movement ist erheblich eingeschränkt.

Schritt-für-Schritt-Umsetzung

Du möchtest dein eigenes Netzwerk segmentieren? Hier ist der konkrete Fahrplan.

Schritt 1: Bestandsaufnahme

Bevor du segmentierst, musst du wissen, was du hast. Erstelle ein vollständiges Inventar aller Geräte im Netzwerk: Server, Clients, Drucker, Telefone, Kameras, IoT-Geräte, Netzwerkkomponenten. Nutze dafür Netzwerkscanner wie Nmap oder die Inventarfunktion deines Managementsystems. Dokumentiere für jedes Gerät die aktuelle IP-Adresse, den Standort, den Zweck und die Kommunikationsbeziehungen.

Dieser Schritt ist der aufwändigste und der wichtigste. Wenn du nicht weißt, welche Geräte in deinem Netzwerk sind und wie sie kommunizieren, kannst du nicht sinnvoll segmentieren. Das IT-Asset-Inventar aus deinem ISMS ist hier die Grundlage.

Schritt 2: Zonenmodell definieren

Ordne jedes Gerät einer Zone zu. Nutze das Sechs-Zonen-Modell als Ausgangspunkt und passe es an dein Unternehmen an. Vielleicht brauchst du keine OT-Zone, weil du keine Produktion hast. Vielleicht brauchst du eine zusätzliche Zone für ein separates Entwicklungsnetz. Das Zonenmodell muss zu deinem Unternehmen passen, nicht umgekehrt.

Erstelle ein Netzwerkdiagramm, das die Zonen und die geplanten Kommunikationswege zeigt. Dieses Diagramm wird zum zentralen Planungsdokument und später zur Dokumentation im ISMS.

Schritt 3: Kommunikationsmatrix erstellen

Für jede Zone dokumentierst du, mit welchen anderen Zonen sie kommunizieren muss, über welche Protokolle und Ports. Diese Matrix wird die Grundlage für dein Firewall-Regelwerk. Besprich die Matrix mit den Fachabteilungen, denn die wissen am besten, welche Anwendungen sie nutzen und welche Verbindungen sie brauchen.

Eine einfache Tabelle reicht: Quell-Zone, Ziel-Zone, Protokoll, Port, Zweck, Verantwortlicher. Diese Tabelle wird zum lebenden Dokument, das bei jeder Änderung aktualisiert wird.

Schritt 4: VLAN-Konfiguration

Konfiguriere die VLANs auf deinen Switches. Weise jedem VLAN eine ID und ein IP-Subnetz zu. Konfiguriere die Access-Ports für Endgeräte und die Trunk-Ports für die Verbindungen zwischen Switches und zur Firewall. Richte DHCP-Bereiche für jedes VLAN ein.

Wichtig: Ändere nicht alles auf einmal. Beginne mit einer Zone, etwa dem Gäste-WLAN, und teste die Konfiguration gründlich, bevor du die nächste Zone angehst. Ein schrittweises Vorgehen reduziert das Risiko von Produktionsausfällen erheblich.

Schritt 5: Firewall-Regeln implementieren

Setze die Kommunikationsmatrix in Firewall-Regeln um. Beginne mit Default Deny und öffne dann gezielt die dokumentierten Kommunikationswege. Aktiviere Logging für alle Regeln, insbesondere für Deny-Regeln. Teste jede Regel nach der Implementierung.

Plane ausreichend Zeit für das Testing ein. Es werden Kommunikationsbeziehungen auftauchen, die in der Matrix fehlen, weil sie niemand auf dem Schirm hatte. Eine Anwendung, die plötzlich nicht mehr funktioniert, weil der benötigte Port gesperrt ist. Ein Update-Mechanismus, der nicht mehr durchkommt. Das ist normal und gehört zum Prozess. Deswegen ist der schrittweise Rollout so wichtig.

Schritt 6: Dokumentation und Review

Dokumentiere das gesamte Segmentierungskonzept: Zonenmodell, VLAN-Schema, IP-Adressplan, Kommunikationsmatrix, Firewall-Regelwerk, Netzwerkdiagramm. Diese Dokumentation ist Teil deines ISMS und wird bei Audits geprüft.

Plane regelmäßige Reviews ein: mindestens einmal jährlich, besser halbjährlich. Bei jedem Review prüfst du, ob die Firewall-Regeln noch aktuell sind, ob neue Systeme korrekt zugeordnet wurden und ob die Segmentierung noch dem aktuellen Bedrohungsbild entspricht. Firewall-Regelwerke haben die Tendenz, über die Zeit aufzuweichen, weil Ausnahmen hinzugefügt, aber nie wieder entfernt werden. Dem musst du aktiv entgegenwirken.

Typische Fehler und wie du sie vermeidest

Die folgenden Fehler sehen wir in der Praxis immer wieder. Wenn du sie kennst, kannst du sie von Anfang an vermeiden.

Zu viele Ausnahmen

Jede Ausnahme in der Firewall ist ein Loch in der Segmentierung. Wenn du für jede Beschwerde eines Mitarbeiters eine neue Allow-Regel erstellst, hast du nach einem Jahr ein Regelwerk mit hunderten Einträgen und keine effektive Segmentierung mehr. Jede Ausnahme braucht eine dokumentierte Begründung, eine Genehmigung und ein Ablaufdatum. Temporäre Regeln, die für einen Migration oder einen Test angelegt werden, müssen nach Abschluss wieder entfernt werden.

Keine Überwachung nach der Einführung

Segmentierung ist kein Einmalprojekt. Ohne kontinuierliches Monitoring der Firewall-Logs weißt du nicht, ob die Regeln greifen, ob es Anomalien gibt oder ob sich das Kommunikationsverhalten verändert hat. Richte Alarme für ungewöhnliche Deny-Muster ein und überprüfe regelmäßig die Allow-Regeln auf Aktualität.

Management-Zugriff nicht gesichert

Die Management-Interfaces von Switches, Firewalls und Access Points müssen in einem eigenen Management-VLAN liegen, das nur für Administratoren erreichbar ist. Wenn der Management-Zugang über das gleiche VLAN wie die Clients läuft, kann ein kompromittierter Client die Netzwerkinfrastruktur angreifen und die Segmentierung aushebeln.

Vergessene Altlasten

Bei der Migration in ein segmentiertes Netzwerk werden häufig einzelne Geräte vergessen. Ein alter Drucker, der noch im Server-VLAN hängt. Ein Test-Server, der nie in das richtige VLAN verschoben wurde. Diese Altlasten sind potenzielle Brücken zwischen Zonen. Ein regelmäßiger Netzwerkscan deckt solche Überbleibsel auf.

Mikrosegmentierung: Der nächste Schritt

Die klassische Netzwerksegmentierung über VLANs und Firewalls ist ein guter erster Schritt. Für Unternehmen mit höheren Sicherheitsanforderungen gibt es darüber hinaus das Konzept der Mikrosegmentierung. Dabei wird die Kontrolle nicht nur zwischen Zonen, sondern zwischen einzelnen Workloads oder sogar einzelnen Anwendungen durchgesetzt.

Mikrosegmentierung wird typischerweise durch Software-Defined Networking (SDN) oder Host-basierte Firewalls umgesetzt. Produkte wie VMware NSX, Cisco ACI oder auch die Windows-Firewall mit Group Policies ermöglichen es, Kommunikationsregeln auf der Ebene einzelner virtueller Maschinen oder Container durchzusetzen. Das Ergebnis ist eine noch feinere Kontrolle: Selbst wenn zwei Server im selben VLAN stehen, kann die Mikrosegmentierung sicherstellen, dass sie nur über die erlaubten Protokolle kommunizieren.

Für die meisten KMU ist die klassische VLAN-basierte Segmentierung der richtige Startpunkt. Mikrosegmentierung lohnt sich, wenn du bereits segmentiert hast und die Sicherheit weiter erhöhen möchtest, etwa für besonders schützenswerte Systeme wie Datenbanken mit personenbezogenen Daten oder Systeme im PCI-DSS-Scope.

Segmentierung als Basis für Zero Trust

Netzwerksegmentierung ist auch der Grundstein für eine Zero-Trust-Architektur. Das Zero-Trust-Modell geht davon aus, dass kein Gerät und kein Benutzer per se vertrauenswürdig ist, auch nicht innerhalb des eigenen Netzwerks. Jeder Zugriff wird authentifiziert, autorisiert und kontinuierlich überprüft.

In einem segmentierten Netzwerk hast du die Infrastruktur, um Zero Trust umzusetzen: Die Firewall zwischen den Zonen kann nicht nur Ports und Protokolle prüfen, sondern auch Benutzeridentitäten und Gerätezustände. Eine Next-Generation-Firewall kann Regeln definieren wie: „Nur Benutzer der Gruppe Finanzen dürfen über HTTPS auf den ERP-Server zugreifen, und nur von Geräten, die ein aktuelles Endpoint-Protection-Agent laufen haben."

Das ist natürlich ambitionierter als die grundlegende Zonierung. Aber es zeigt, wohin die Reise geht und warum die Segmentierung deines Netzwerks kein optionales Nice-to-have ist, sondern die Grundlage für eine zeitgemäße Sicherheitsarchitektur.

Netzwerksegmentierung ist Grundschutz, nicht Kür

Die Segmentierung deines Netzwerks gehört zu den wirksamsten Maßnahmen, die du für die Informationssicherheit deines Unternehmens ergreifen kannst. Sie erfordert keine exotische Hardware und kein riesiges Budget. Was sie erfordert, ist ein durchdachtes Konzept, sorgfältige Planung und die Disziplin, die Regeln auch nach der Einführung aufrechtzuerhalten.

Der Aufwand lohnt sich. Ein segmentiertes Netzwerk begrenzt den Schaden bei einem Sicherheitsvorfall, erschwert Lateral Movement, schützt kritische Systeme und erfüllt die Anforderungen von ISO 27001, NIS2 und dem BSI-Grundschutz. Es macht dein Unternehmen nicht unangreifbar, aber es macht einen erfolgreichen Angriff erheblich schwieriger und den potenziellen Schaden erheblich kleiner.

Fang an mit der Bestandsaufnahme. Zeichne dein Zonenmodell. Setze das Gäste-WLAN in ein eigenes VLAN. Und dann arbeitest du dich Zone für Zone vor, bis dein Netzwerk nicht mehr ein offenes Feld ist, sondern eine Reihe abgeschlossener Räume mit kontrollierten Zugängen.

Weiterführende Artikel

• Top 10 Informationssicherheitsrisiken für den Mittelstand
• IT-Asset-Management für das ISMS: Inventar, Kritikalität und Klassifizierung
• Zugangs- und Zutrittskontrolle: Richtlinie erstellen und umsetzen
• Schutzbedarfsfeststellung: Assets bewerten und priorisieren
• Berechtigungskonzept erstellen: Rollen, Rechte und Rezertifizierung

Beginne mit dem Gäste-WLAN, denn das ist die Zone mit dem geringsten Risiko für Produktionsausfälle und dem größten Lerneffekt für dein Team. Wenn das steht und sauber funktioniert, nimmst du dir die nächste Zone vor.