Netzwerk-Segmentierung gegen Hackerangriffe

Die Netzwerksegmentierung eignet sich am besten für die Kontrolle des Nord-Süd-Verkehrs in einem Unternehmen. Ihr Hauptzweck besteht darin, wichtigen Unternehmensdaten in einzelnen Zonen einen sicheren Hafen zu bieten und die seitliche Bewegung von Angreifern im Netzwerk einzuschränken. Die Kür ist dabei die Mikro-Segmentierung. Sie geht noch einen Schritt weiter und bietet eine detailliertere Kontrolle, um auch Ost-West-Bewegungen einzudämmen. Sie schafft auf noch kleinerer und genauerer Ebene sichere Zonen in den Netzwerken, was es Unternehmen ermöglicht, Arbeitslasten zu isolieren und den internen Zugriff auf sensible Daten streng zu kontrollieren.

Vereinfacht ausgedrückt: Wenn die Netzwerk-Segmentierung die Böden, Decken und die schützende Außenhülle des Schiffes bildete, dann wäre die Mikro-Segmentierung sichtbar in Form der Stahltüren und Korridore, die den Zugang zu einzelnen Bereichen des Schiffes ermöglichen und zugleich einschränken. Beide Methoden können in Kombination eingesetzt werden, um die IT-Abwehr zu stärken.

Mikrosegmentierung hilft gegen Ransomware

Die Zahl der Ransomware-Angriffe auf Unternehmensnetzwerke scheint jedes Jahr neue Rekordhöhen zu erreichen. Ransomware ist für Hacker so attraktiv geworden, dass ein krimineller Industrie-Zweig für Ransomware-as-a-Service (RaaS) entstanden ist, der Möchtegern-Angreifern die Tools in Form einer Miete zur Verfügung stellt. Der Einsatz von Mikro-Segmentierung kann jedoch Ransomware bereits im Anfangsstadium eines Angriffs eindämmen. Wenn eine Sicherheitslücke auftritt und Malware einen Rechner in einem bestimmten Netzwerk übernimmt, sollte die in das mikro-segmentierte Netzwerk eingebettete Richtlinie die Fähigkeit der Malware blockieren, sich auf ein benachbartes Segment auszubreiten, was wiederum Unternehmen vor einer systemweiten Abschaltung schützen und ihnen einen großen finanziellen Verlust ersparen kann.

Zero Trust und Mikro-Segmentierung

Zero Trust ist eine Ausprägung des Prinzips der Geringsten Privilegien (Least Privilege). Es ist eine Denkweise, die Sicherheitskräften vorgibt, nicht davon auszugehen, dass digitale Identitäten jeder Art grundsätzlich vertrauenswürdig seien. Aus der Netzwerkperspektive bedeutet Zero Trust, dass interne Netzwerkbewegungen und -zugriffe nicht als vertrauenswürdiger angesehen werden sollten als externe. Daher ist die Mikro-Segmentierung der Königsweg, um Zero Trust auf der Netzwerkebene wirklich zu erreichen: durch den Einsatz restriktiver Filterrichtlinien innerhalb des internen Netzwerks, um den Ost-West-Verkehr zu kontrollieren. So, wie Einzelpersonen in einem Unternehmen nur dann Zugang zu Daten erhalten sollten, wenn sie diese benötigen, sollte auch der Datenverkehr nur dann von einem Unternehmensbereich in einen anderen gelangen dürfen, wenn die unterstützenden Anwendungen den Zugang zu diesen Bereichen benötigen, sprich: die Konnektivität verlangt wird.

Mikro-Segmentierung und die Public Cloud

Vor der Einführung der Mikro-Segmentierung war es sehr schwierig, Netzwerke in Bereiche und Unterbereiche zu teilen, da dies den physischen Einsatz von Geräten erforderte. Das Routing musste geändert werden, Firewalls mussten lokal installiert werden und der Segmentierungsprozess musste von einem Team sorgfältig überwacht und verwaltet werden. Zum Glück der SecOps-Teams ist dies aufgrund der schnellen Einführung der Cloud-Technologie nicht mehr der Fall.

Jedoch scheint es hier ein Missverständnis im Zusammenhang mit der Mikro-Segmentierung zu geben, da viele denken, dass es sich um eine reine Netzwerksicherheitslösung für private Cloud-Umgebungen handelt, während in Wirklichkeit die Mikro-Segmentierung in einer hybriden Cloud-Umgebung ebenso eingesetzt werden kann. Es spielt somit keine Rolle, ob es sich bei der IT-Umgebung um eine öffentliche Cloud, private Cloud, oder das Rechenzentrum vor Ort handelt. Tatsächlich bieten alle öffentlichen Cloud-Netzwerke, einschließlich derer von Microsoft Azure und Amazon AWS, eingebaute Filterfunktionen, welche die Kontrolle des Datenverkehrs erheblich erleichtern. Dies eignet sich gut für das Konzept der Mikro-Segmentierung, sodass auch Unternehmen, die eine hybride Cloud-Konfiguration verwenden, davon enorm profitieren.

Fazit

Die Mikro-Segmentierung ist eine praktikable und skalierbare Lösung zur Verschärfung von Netzwerksicherheitsrichtlinien, obwohl die Implementierung mit einigen Herausforderungen verbunden ist. Doch mag es für viele Unternehmen schwierig klingen, diese neue Sicherheitsmethode zu verwalten, so ist sie dennoch ein lohnendes Unterfangen, denn: Durch den Einsatz einer Mikro-Segmentierung als Teil der Netzwerk-Strategie kann ein Unternehmen seine Netzwerksicherheit äußerst effektiv gegen Hacker, Ransomware, sämtliche seitlichen Bewegungen und Zugriffsverletzungen erhöhen.

Professor Avisahi Wool

ist CTO und Mitgründer von AlgoSec.

Roger Homrich

Recent Posts

Organisationsstruktur beeinflusst Cybersicherheit

Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren Wirkung auf Cybercrime-Abwehr.

17 Stunden ago

Malware im März: Remcos löst CloudEyE ab

Neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos steht in Deutschland auf Platz…

17 Stunden ago

Künstliche Intelligenz in der Industrie 4.0: Chancen und Risiken

Maßnahmen zur Cyber-Sicherheit müssen sich darauf konzentrieren, KI-Systeme vor Angriffen zu schütze, sagt Thomas Boele…

2 Tagen ago

KI macht WordPress sicherer

WordPress ist die Nummer Eins für Webseiten-Software, scheint aber im Fokus von Hackern zu stehen.

2 Tagen ago

IBM sieht Europa im Auge des Cybersturms

Kein anderer Kontinent verzeichne ähnlich viele Angriffe auf seine IT-Systeme. Besonders ernst sei die Lage…

2 Tagen ago

REWE-Geschäftsführer bekommt digitalen Zwilling

Als Avatar soll Chief Digital Information Officer Robert Zores neuen Mitarbeitenden beim Onboarding helfen.

3 Tagen ago