ECOVIS Tech-Tipps: Netzwerksegmentierung und Netzwerkisolierung

Die Sicherung des Unternehmensvermögens ist ein Kernprinzip eines jeden gut funktionierenden Unternehmens.

Dies gilt in zunehmendem Maße für digitale Assets, wie vertrauliche Kundeninformationen, personenbezogene Daten von Mitarbeitern, geistiges Eigentum und so weiter.

Aber wie sollte ein KMU tatsächlich vorgehen, um diese digitalen Assets zu sichern?

In unserer neuen Serie „ECOVIS Tech-Tips“ stellen wir Ihnen verschiedene Konzepte und Lösungen vor, die Ihnen helfen, Ihre Cybersicherheit zu erhöhen und die Kronjuwelen Ihres Unternehmens zu schützen.

Unsere Empfehlungen sind herstellerneutral und zielen darauf ab, Ihnen einfache Lösungen anzubieten, die einfach und kostengünstig zu implementieren sind.

Das Thema, auf das wir uns heute konzentrieren wollen, ist die Netzwerksegmentierung und -isolierung:

Kurz gesagt, ist die Netzwerksegmentierung die Aufteilung von Netzwerken, die verschiedene Abteilungen und/oder Abschnitte von Unternehmensnetzwerken in eine Reihe von Subnetzen unterteilt. Auf diese Weise erhalten Benutzer nur Zugriff auf ihr jeweiliges Subnetz, was ihre Möglichkeiten zum Zugriff auf Dateien oder Computer in anderen Subnetzen einschränkt. Sollte ein Angreifer den Weg in das Netzwerk finden können, gilt die gleiche Logik, er kann nur durch das jeweilige Subnetz roamen.

Auf diese Weise wird es wesentlich schwieriger, ein komplettes Unternehmensnetz zu kompromittieren.

Ein wichtiger Unterschied besteht zwischen physischer Segmentierung und logischer Segmentierung.

Die physische Segmentierung erfolgt durch die Erstellung eines Netzwerks, das physisch von anderen Netzwerken (z.B. anderen lokalen Netzwerken oder dem Internet) getrennt ist. Dieses Konzept kann erweitert werden, um ein vollständig isoliertes physisches Netzwerk zu schaffen, ohne Kabel oder drahtlose Verbindung zu einem anderen Netzwerk. Damit erklärt sich der Begriff Netzwerkisolierung.

Logische Segmentierung hingegen ist die Schaffung von Virtual Local Area Networks, kurz VLANs, die ein physikalisches Netzwerk in mehrere virtuelle bzw. logische Netzwerke unterteilen. Die logische Segmentierung kann sogar innerhalb einer einzigen Hardware erfolgen, die ein ganzes Netzwerk in einer virtuellen Umgebung mit virtuellen Routern, Switches, Servern und Clients betreibt.

Diese Form der Segmentierung ist in der Regel deutlich kostengünstiger als der Aufbau eines völlig separaten physischen Netzwerks, da vorhandene Hardware genutzt werden kann.

Wenn es um die Sicherheit geht, ist die logische Segmentierung jedoch schwächer als die physische Segmentierung, da die darunterliegende Hardware für mehrere Netzwerke gleich bleibt. Diese Hardware ist oft genug mit dem Internet verbunden, so dass Angreifer Schwachstellen in der Hardware oder der auf den Geräten installierten Firmware ausnutzen können, um die Segmentierung zu durchbrechen und auf die verschiedenen logischen Netzwerke zuzugreifen.

Isolierte physische Netzwerke sind besser auf solche Bedrohungen vorbereitet, da es kein Kabel gibt, das das Netzwerk mit dem Internet verbindet, und idealerweise keinen drahtlosen Zugangspunkt, der Angriffe auf das Netzwerk aus nächster Nähe ermöglichen würde, wie beispielsweise auf einem Firmencampus.

Diese zusätzliche Sicherheit aber hat ihren Preis. Ein physisch isoliertes Netzwerk ist wesentlich teurer im Bau und Unterhalt, da alle Geräte und Kabel separat gekauft und in Stand gehalten werden müssen. Darüber hinaus benötigt dieses Netzwerk eigene Sicherheitssysteme (z.B. eine Firewall, ein Intrusion Detection System (IDS) und/oder ein Intrusion Prevention System (IPS)), die weitere Kosten für diese Einrichtung verursachen.

Einfach ausgedrückt bedeutet mehr Sicherheit also auch mehr Kosten.

Wir müssen jedoch erwähnen, dass trotz dieser starken Sicherheitsmerkmale physisch getrennte Netzwerke nicht vollständig immun gegen alle Formen von Angriffen sind.

Stuxnet, die wohl bekannteste Malware bisher, ist ein perfektes Beispiel für die Verwundbarkeit von physisch getrennten Netzwerken.

Stuxnet wurde verwendet, um Zentrifugen in einer iranischen Nuklearanreicherungsanlage zu zerstören, indem sie übertaktet wurden. Obwohl die Zentrifugen nur an ein internes, isoliertes Netzwerk angeschlossen waren, war es einem Eindringling dennoch möglich, über einen USB-Stick Malware in das Netzwerk einzubringen, und in der Software des industriellen Steuerungssystems, das die Zentrifugen betrieb, Änderungen vorzunehmen.

Um physisch segmentierte Netzwerke sicher zu machen, ist daher ein starker Schutz vor Insider-Bedrohungen notwendig.

Die Bedeutung der Netzwerksegmentierung dürfte aufgrund der rasanten Entwicklung von Bereichen wie „Internet der Dinge“ und „Industrie 4.0“ deutlich zunehmen.

Beide Konzepte zielen darauf ab, Maschinen und Alltagsgegenstände „intelligent“ zu machen, indem kleine Computer diese verbaut werden und diese Computer miteinander verbunden werden. Diese Trends bieten zwar ein erhebliches Potenzial für eine höhere industrielle Effizienz und eine Erleichterung des Lebens der Menschen, erhöhen aber auch das Risiko von Cybersicherheitsvorfällen und Datenschutzverletzungen. Die Standardisierung des IoT ist immer noch ein laufender Prozess und viele Geräte erhalten nur wenige Sicherheitsupdates, wenn überhaupt.

Daher ist es besonders wichtig, IoT-Geräte von anderen Systemen im Netzwerk zu trennen, um sicherzustellen, dass ein Malware-Angriff auf ein IoT-Gerät nicht die gesamte IT Ihres Unternehmens beeinträchtigt.

Unabhängig davon, welche Netzwerksegmentierung oder Isolationseinrichtung Sie implementieren, wird es ein leistungsstarkes Werkzeug sein, um die Chancen zu begrenzen, dass Kernkomponenten Ihres Unternehmens (z.B. Produktionsanlagen) durch Malware in den Griff bekommen werden. Außerdem wird die Möglichkeit des Diebstahls geistigen Eigentums eingeschränkt, da der Zugang zu Netzwerkressourcen nur im erforderlichen Umfang an Mitarbeiter und Auftragnehmer vergeben wird. Sollte ein Eindringling eindringen, wird das Ausmaß der Schäden, die er erleiden kann, begrenzt.

Nachdem wir Sie mit all diesen Fakten bombardiert haben, lassen Sie und Ihnen versichern. Wir sind uns bewusst, dass diese Dinge ziemlich kompliziert sind und passende Lösungen einen klaren Einblick in Ihre Situation und Ihre Anforderungen erfordern.

Deshalb unterstützen wir von ECOVIS Beijing Sie gerne bei der Suche nach der richtigen Netzwerkstruktur für Ihr Unternehmen, insbesondere wenn Sie sich mit den Herausforderungen auseinandersetzen müssen, Ihre Unternehmenskommunikation zwischen Europa und China zum Laufen zu bringen.

 

Andre Baum

Associate Business Development und IT-Sicherheitsanalystin

Andre Baum ist unser IT-Sicherheitsexperte im Büro Heidelebrg. Herr Baum studierte in Köln, Wuhand und Taipeh. Als Absolvent der Fachrichtung Chinastudien und Internationale Studien erwarb er ein tiefes Verständnis für die ostasiatische Wirtschaft. Bevor er zu Ecovis Peking kam, arbeitete Herr Baum in Tokio und Washington, DC, in Bezug auf FDI und internationale Diplomatie. Neben seiner Muttersprache Deutsch spricht er Englisch, Chinesisch und Japanisch.

Seinen Interessen entsprechend erwarb sich Herr Baum fundierte Kenntnisse in den Bereichen IT und Netzwerksicherheit. Zusammen mit unserem in Peking ansässigen Rechtsteam betreut er Cybersicherheitsprojekte im Zusammenhang mit Vertriebs- und IoT-Lösungen für die Anbindung multinationaler Unternehmen in und außerhalb Chinas. Er lehrt Cybersicherheit und chinesisches Recht an der SRH Universität Heidelberg.

Herr Baum ist unser Hauptvertreter für deutsche Investoren, die ihr Geschäft nach China ausweiten wollen.

Für weitere Informationen wenden Sie sich bitte an uns:
Mail: andre.baum@ecovis-beijing.com