IT-Sicherheit 24.11.2020

Flache Netzwerke – Ein Spielfeld für potenzielle Angreifer.

Traditionell geplante Netzwerkinfrastrukturen konzentrierten sich in der Vergangenheit eher auf die Konnektivität als auf die Absicherung von Benutzern und der zugrunde liegenden Informationstechnik. Ist dieser Design-Ansatz aus der Perspektive der Sicherheitstechnologie heute noch zeitgemäß, und was bedeutet fehlende Visibilität, nicht ausreichende Kontrolle und schlechte Transparenz im Unternehmensnetzwerk? Diese Fragen und weitere technologische Aspekte rund um ein sicheres Netzwerkdesign betrachten wir heute im Blog.

Artikel teilen

Hans-Jürgen Martini
Teamleitung Network & Security Engineers – CC-BISS

Die Wurzel allen Übels.

Die bis dato geplante Netzwerke entsprechen oft nicht mehr vollständig den gültigen IT-Standards. So sehen wir in Unternehmen immer noch veraltete IP-Konzepte und eine nicht mehr zeitgemäße Netzwerklogik. Gerade der deutsche Mittelstand folgt dabei, oft historisch bedingt, immer noch dem alten Konzept des „Any-Trust-Netzwerks“ und konzentriert sich ausschließlich auf die Konnektivität seiner Informationstechnik.

Flache IP-Konzepte und die Konsequenzen.

Die flachen IP-Netzwerkkonzepte ohne erkennbare Sicherheitszonen ermöglichen auf der einen Seite eine ungehinderte Kommunikation zwischen allen Benutzern und den Applikationsservern, weil Datenpakete ungefiltert aus allen Standorten in alle Netzwerkbereiche übertragen werden können. Auf der anderen Seite bedeutet dies aber auch, dass Netzwerkzonen nicht durch Sicherheitsgateways (z. B. Firewall oder IPS) überprüft werden, was wiederum dazu führt, dass sich potenzielle Malware, Netzwerk-Trojaner oder anderer Schadcode (z. B. Ransomware) innerhalb der kompletten Netzwerkinfrastruktur verbreiten und erheblichen Schaden anrichten können.

Besonders hervorzuheben sind die verheerenden Auswirkungen eines Angriffs durch Schadsoftware, was neben einem Ausfall einer kompletten IT-Infrastruktur auch dazu führen kann, dass kritische IT-gestützte Prozesse und Workflows für einen ungewissen Zeitraum zum Erliegen kommen. Der Ausfall eines geschäftskritischen Systems führt in letzter Konsequenz zu einem Totalausfall der wertschöpferischen Tätigkeiten für die Zeitdauer eines Disaster Recovery.

Fehlende Visibilität: Darum sind Eindringlinge im Netzwerk so schwer zu erkennen.

Erschwerend kommt hinzu, dass sich ein potenzieller Angreifer oder sein Schadcode im Netzwerk etablieren kann und unentdeckt bleibt, bis er die notwendigen Informationen für einen Angriff, z. B. Datendiebstahl, Verschlüsselung oder Erpressung, gesammelt hat

Die Administratoren sind ohne einen gewissen Grad an Netzwerk-Security-Management und Netzwerk-Security-Monitoring im wahrsten Sinne des Wortes „blind“ und können weder schnell reagieren noch einen proaktiven Betrieb gestalten. Um Netzwerkeinbrüche überhaupt entdecken zu können, muss man wissen, wie der „normale“ Zustand des Netzwerks aussieht. Erstaunlicherweise denken Unternehmen oft erst nach einem erfolgreichen Angriff über diese Tatsache nach.

In einem durchschnittlichen Netzwerk gibt es so viel Datenverkehr und Rauschen, dass es schwierig sein kann, Unterschiede zwischen „normalen“ Ereignissen wie erlaubten DNS-Lookups und Infektionen mit fortschrittlicher Malware, großen Mengen von Streaming-Daten und Denial-of-Service-Attacken oder Penetrationstests und Missbrauch von Privilegien zu unterscheiden.

Moderne Netzwerkdesigns adressieren die Schwachstellen der Vergangenheit.

Historisch gewachsene flache Netzwerke müssen umgebaut, modernisiert und umstrukturiert werden, damit sie den Sicherheitsanforderungen von heute und morgen gerecht werden. Neue Netzwerkarchitekturen mit virtuellen Netzwerkebenen untermauern die traditionellen Ansätze der Netzwerkabsicherung.

Das Spektrum der eingesetzten Funktionen reicht von Netzwerk-Firewalls mit intelligenten Intrusion-Prevention- und Malware-Erkennungsfunktionen über Schutzsoftware für Server und Endgeräte und intelligente Web Security Gateways bis hin zu Data Leakage Prevention und der Absicherung der Cloud mit cloudbasierten Sicherheitsfunktionen.

Die Grundlage für Zero Trust – Ein neues Sicherheitskonzept.

Das Zero-Trust-Modell ist ein Sicherheitskonzept, das auf dem Prinzip basiert, keinem Gerät, Benutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Es erfordert umfangreiche Maßnahmen zur Authentifizierung aller Benutzer und Dienste und zur Überprüfung des Netzwerk-Verkehrs.

Die Basis dieses Sicherheitskonzepts ist die Segmentierung des Netzwerks in Sicherheitszonen. Dabei werden, neben der Methode der Mikrosegmentierung, auch Maßnahmen zur Segmentierung von Zonen auf Basis von Layer 3 adressiert.

Was bedeutet also die Netzwerksegmentierung für die IT-Security und was ist ihr Vorteil?

  • Sie teilt das Netzwerk in Zonen ein, die Daten mit ähnlichen Compliance-Anforderungen enthalten.
  • Durch die Segmentierung des Netzwerks reduziert sich der Compliance-Umfang und die Sicherheitsrichtlinien werden vereinfacht.

Generell gilt: Je mehr ein Netzwerk segmentiert wird, desto sicherer wird es. Allerdings sollte man sich vor einer überproportionalen Segmentierung hüten. Die zentrale Herausforderung besteht grundsätzlich darin, so viele Zonen wie möglich zu bilden, ohne dabei die zeitliche Aufrechterhaltung und die Netzwerkintegrität zu gefährden.

Wie man am besten ein Segmentierungs-Projekt angeht und welche Mehrwerte ein Zero-Trust-Modell Ihrem Unternehmen bietet, zeigen Ihnen unsere Netzwerk- und Security-Experten vom Competence Center BISS (Bechtle Internet Security und Services) gerne in einem Workshop auf. Vereinbaren Sie heute noch mit uns einen Termin und stellen Sie die Weichen für Ihr Zero-Trust-Netzwerk.