Segmentierung von Netzwerk und Unternehmen – Schützen Sie Ihr Unternehmen vor Angriffen

Warum ist es für die Sicherheit Ihrer Arbeitsprozesse unerlässlich, in Segmenten zu denken? 

Viel wird bereits heute von Unternehmen unternommen, um einzeln Angriffsvektoren im Unternehmen, besonders im IT-Umfeld, abzusichern. Durch die immer raffinierteren Methoden von Angreifern und den oft hinterherhinkenden Ausbildungsstand der meisten Mitarbeiter was IT-Sicherheit angeht, werden dabei immer neue, zuverlässigere und ausgefeiltere Sicherheitsmechanismen nötig.

IT Security ist oft eines der größten Budgets im SMB Umfeld – obwohl es für die reine Wertschöpfungskette erstmal keinen direkten Nutzen hat, sondern eine reine Risiko-Versicherung darstellt. 

Die ständige Veränderung und Weiterentwicklung der Bedrohungslandschaft wird dabei zu oft nur in Einzelfällen, aber nicht insgesamt betrachtet – denn manchmal ist es schlicht nicht möglich, mit technischen Maßnahmen schnell genug zu reagieren, wenn eine neue Bedrohung entsteht. 

Für solche Fälle, wenn es doch einmal einem Angreifer oder einer Schadsoftware gelingen sollte, die bestehenden Sicherheitsmaßnahmen zu durchbrechen, wird eine relativ simple und dabei oft vernachlässigte Strategie essentiell: Die Unterteilung von Unternehmensprozessen und damit verbundenen IT-Systemen in einzelne Segmente.  

Erfahren Sie bei uns, wo Sie Ansätze für eine sinnvolle Segmentierung finden und damit Ihre Unternehmensprozesse weiter härten. 

Bei allen Überlegungen über die Segmentierung Ihrer Unternehmensprozesse können und sollten Sie natürlich viel weiter denken, als unsere Perspektive aus Sicht der IT dies zulässt. Übertragen Sie die Überlegungen zur Härtung einzelner Unternehmensbereiche gegeneinander unbedingt auch auf Produktionsprozesse, Zutrittsberechtigungen, Verwaltungsebenen und so weiter. 

Das Ziel einer Segmentierung muss dabei immer sein, dass bei Kompromittierung eines Systems oder auch eines ganzen Bereichs, möglichst alle anderen Geschäftsbereiche weiter funktional bleiben können. Ein Angriff auf Ihre Homepage darf unter keinen Umständen Ihre Produktion lahmlegen – und ein Unfall in der Produktion darf nicht die Verwaltungsabteilung an der Arbeit hindern. 

Um eine Segmentierung in Ihrem Unternehmen einzuführen, ist es erst einmal wichtig, sich bewusst zu werden, welche Aufgaben überhaupt im Unternehmen durchgeführt werden.

Diese können dann auf Abhängigkeiten untersucht werden – welche Systeme werden benötigt, um die wichtigen Aufgaben durchzuführen. 

Welche Mitarbeiter sind an den Aufgaben beteiligt. Welche Maschinen, Räumlichkeiten, etc. werden in Anspruch genommen, um die Aufgabe erledigen zu können.  Betrachten wir zum Beispiel einen IT-Web-Server, der von Ihren Kunden genutzt wird, um Bestellungen bei Ihnen einzukippen – hier gilt sogar besondere Vorsicht, da dieses System öffentlich zugänglich sein wird.

Das System muss aber zum Beispiel keinerlei Zugriff auf Ihre interne Benutzerverwaltung oder Personaldateien haben – und sollte entsprechend in einem eigenen Netzwerkbereich verwaltet werden, von dem aus ein Zugriff aus diese Daten auch nicht möglich ist.

Auch eine Vernetzung mit Ihren produzierenden Maschinen ist alles andere als notwendig. Alles was dieser Web-Server von Ihren Daten erhalten darf, sind ggf. aktuelle Bestandszahlen. Entsprechend sollte Ihre Unternehmens- und IT-Struktur daraufhin aufgebaut werden, dies sicher zu stellen. 

Genauso muss bei Anbindung verschiedener Standorte genau darüber nachgedacht werden, ob die Standorte untereinander tatsächlich voll auf alle Datenbereiche zugreifen müssen, oder ob nicht eine (teilweise) getrennte Datenhaltung die Sicherheit erhöhen kann, ohne die Nutzer zu sehr einzuschränken. 

Ein anderes Szenario ist die Unterteilung der Benutzerrollen, sodass es einem Angreifer auch mit den Benutzerdaten eines Mitarbeiters nicht gelingt, alle Unternehmensdaten auszuspähen.

Der Risikobereich muss so weit eingegrenzt werden, dass tatsächlich nur genau die Daten gefährdet sind, die ein Mitarbeiter in der täglichen Arbeit braucht.

Alles andere muss vor diesem Benutzer (und damit vor dem Angreifer, der sich seiner Daten bemächtigt) verborgen bleiben. 

Wenn Sie verschiedene Produktionsketten haben, kann es sogar sinnvoll sein, für jeden einzelnen Ablauf einen eigenen logischen Netzwerkbereich einzurichten, der getrennt von anderen Produktionsketten arbeitet. Zugriffe aus diesen Produktionsnetzen heraus sind dabei dann streng limitiert und nur auf essenziell notwendige Dienste gestattet.

Im IT-Netzwerkbereich können wir zum Beispiel einige häufig auftretende Segmentierungsbeispiele zusammenfassen: 

  • DMZ (Demilitarisierte Zone): Wird verwendet, um Webdienste ins Internet bereit zu stellen, ohne Zugriff auf interne Ressourcen zu erlauben bzw. diesen auf notwendige Zugriffe zu beschränken. Bei mehreren bereitgestellten Diensten kann es auch mehrere dieser DMZ-Netze geben 
  • Produktion: Ein oder mehrere Netzwerkbereich/e die exklusiv für Maschinen und zugehörige Elemente genutzt werden und weder auf Verwaltungsdaten noch ins Internet zugreifen dürfen 
  • Verwaltung: Klassische PC-Arbeitsplätze, die mit Dokumenten arbeiten. Buchhaltung, Personal, Administration, Projektplanung, usw. Dies sind die typischen Aufgabenfelder, die auf einen Großteil der internen Daten zugreifen müssen und daher über Benutzer-Berechtigungen streng gesteuert werden sollten 
  • Netzwerkmanagement: Server- und Netzwerksysteme, die zur Bereitstellung der Dienste genutzt werden, die den Arbeitsalltag ermöglichen. Normale Benutzer dürfen nicht auf diese Verwaltungsebene zugreifen, diese bleibt IT-Administratoren vorbehalten 
  • Überwachung & Sicherheit: Überwachungskameras und die Systeme zur Aufzeichnung dieser sind in einem separaten, nur durch befugtes Personal zugreifbaren, Netzwerkbereich aufzubewahren. Auch Alarm- und Brandmeldeanlagen sind vor jeglichem unbefugten Zugriff dringend zu schützen 
  • Backup: Die Datensicherung der zentralen IT sollte selbstverständlich abgetrennt von den produktiven Systemen liegen, sodass bei Angriff auf diese Produktivumgebung ausgeschlossen werden kann, dass gleichzeitig die kostbare Datensicherung ebenfalls zerstört wird. Als „Lebensversicherung“ gilt hier sogar die dringende Empfehlung, Stände der Datensicherung komplett außerhalb der eigenen Räumlichkeiten, zum Beispiel in einem anderen Rechenzentrum, aufzubewahren. 

Wie Sie sehen, gibt es viele Ansätze für eine Segmentierung einzelner Arbeitsbereiche in Ihrem Unternehmen. Je nach Umfeld können diese natürlich noch viel weitreichender sein, oder ggf. schon mit einfacheren Mitteln umgesetzt werden.  

Um über ein Konzept passend für Ihr Unternehmen zu sprechen, können Sie gerne einen Gesprächstermin mit uns vereinbaren.  

Buchen Sie jetzt Ihren persönliche Beratungstermin online:

Persönliche Beratung gewünscht oder ein individuelles Angebot einholen?

Tel.: +49 7171 7987-11

IT-Security

Warum ist die Absicherung so wichtig?

52 Milliarden Euro Schaden laut IW

Wie Sie Ihr Home-Office sicher nutzen!

Mit Watchguard Adaptive Defense 360

auch außerhalb des Unternehmens absichern.

Aktuellste Beiträge

Verpassen Sie keine wichtigen Neuigkeiten! Jetzt zum Newsletter anmelden

Kontaktformular