Netzwerksegmentierung
Wichtige Bereiche trennen und einzeln schützen*
Laut einer Bitkom-Umfrage (Branchenverband der deutschen Informations- und Telekommunikationsbranche) aus diesem Jahr verursacht Cyberkriminalität der deutschen Wirtschaft einen Schaden in der Höhe von 206 Milliarden. Darunter fallen der Diebstahl von IT-Ausrüstung und Daten sowie Industriespionage und Sabotage. Dabei sind nicht nur Großunternehmen, sondern auch Handwerksbetriebe betroffen. Daher setzen viele Unternehmen schon jetzt auf verschiedenste Bausteine der IT-Sicherheit. Ein zusätzlicher Baustein zur Absicherung des Unternehmens und dessen Daten ist die Netzwerksegmentierung.
Die IT-Infrastrukturen in Unternehmen werden aufgrund der zunehmenden Digitalisierung von Geschäftsprozessen immer komplexer. Zudem muss die Datenverfügbarkeit sowohl im Betrieb als auch für Mitarbeiter unterwegs oder im Homeoffice stets gewährleistet sein. Da niemand vor einem Cyberangriff gefeit ist, kann man das Risiko, dass der gesamte Geschäftsbetrieb gefährdet wird, dadurch reduzieren, dass man ein Unternehmensnetzwerk in mehrere, kleinere Netzwerke (sogenannte „Subnetze“) „segmentiert“, die unterteilt und somit getrennt sind. Infolgedessen können auch die verschiedensten Unternehmensbereiche „digital“ voneinander getrennt und entsprechend gegen Angriffe geschützt werden. Beispielsweise kann eine grobe Netzwerkaufteilung nach Einkauf/ Verkauf, Personal und Forschung/Entwicklung stattfinden. Neben einer Aufteilung nach Abteilungen kann auch eine Unterteilung nach Stockwerken stattfinden. Grundsätzlich sollte jedoch der E-Mail- und Webserver in einem anderen Subnetz verwaltet werden als z.B. die Buchhaltung. Gleichzeitig können gemeinsam genutzte Ressourcen, wie z.B. Drucker, Scanner und Telefonie in einem eigenen abgetrennten Subnetz betrieben werden.
Demzufolge kann ein potenzieller Angreifer im Zweifelsfall nur Daten eines betroffenen Segmentes einsehen, erhält aber keinen Zugriff auf andere Bereiche des Unternehmens und deren „sensible“ Daten. Dies begrenzt den potenziellen Schaden eines Unternehmens und kann weiteren möglichen Schaden eindämmen. Daher kann man bei einer Netzwerksegmentierung auch von einem Netzwerksicherheitsverfahren sprechen.
Zur Umsetzung einer klassischen Netzwerksegmentierung kann verschiedenste Hard- und Software implementiert werden. Hierfür bekannt sind sicherlich Firewalls, Switches, Router oder Brücken aber auch eine Virtualisierung des Netzwerks in sogenannte „Virtual Local Area Networks“ (VLANs) kann zur Steigerung der Netzwerksicherheit beitragen.
Neben der Erhöhung der Netzwerksicherheit sind eine verbesserte Überwachung und ein einfacheres Erkennen und Isolieren von Angriffen sowie die Steigerung der Performance weitere Vorteile. Demgegenüber steht ein wesentlich höherer Aufwand an Administration, Logik und Kosten. Daher sollte vor der Implementierung genau geprüft und analysiert werden, in welche Segmente sinnvollerweise das bestehende Netzwerk und dessen vorliegende Hard- und Softwareinfrastruktur aufgeteilt werden kann und mit welchen zusätzlichen notwendigen Investitionen und anderen Aufwänden zu rechnen ist.
Empfehlenswert ist der Einsatz der Netzwerksegmentierung immer, denn Cyberkriminelle unterscheiden mittlerweile nicht mehr nach Unternehmensgröße! Gerade Handwerksbetriebe sind aufgrund der Nähe bzw. Geschäftsbeziehung zur sogenannten „kritischen Infrastruktur“ (kurz KRITIS), z.B. in Form von Krankenhäusern oder der Forschung, interessant für Cyberkriminelle. Auch Geschäftsbeziehungen sind für Cyberkriminelle interessant. Diese können verwendet werden, um an weitere interessantere Daten zu gelangen und dadurch Unternehmen erpressen zu können.
Gemeinsam mit dem IT-Berater des Vertrauens sollten alle möglichen und passenden IT-Sicherheitsmaßnahmen und dazugehörigen Aufwände abgewogen werden, um bei dem Unternehmen einen Mindeststandard an IT-Sicherheit sicherzustellen. Weitere zusätzliche in diesem Zusammenhang interessante Informationen für kleine und mittlere Unternehmen bietet hier auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter www.bsi.bund.de.
Die Einführung einer Netzwerksegmentierung ohne weitere zusätzliche IT-Sicherheitsmaßnahmen wie der Einsatz einer Firewall, einer Antivirensoftware, Verwendung von Backups oder der Sensibilisierung der Mitarbeiter ist nicht empfehlenswert und bietet folglich kein Patentrezept gegen Cyberangriffe.