Im Produktionsumfeld sind die Anlagen und Produktionsmaschinen vor dem Hintergrund angeschafft worden, dem Unternehmenszweck gegebenenfalls 15 - 20 Jahre (oder noch länger) zu dienen. Die hierfür verwendeten Systeme können meist nur auf dem ursprünglichen Betriebssystem betrieben werden. Möchte man bei diesen Clients bzw. Servern auf ein neues Betriebssystem migrieren, entstehen oft hohe Kosten und Mühen, vorausgesetzt, dies das System bzw. die Produktionsanlage lässt dies überhaupt zu. Dies kann daran liegen, dass die Produktionssysteme sehr individuell und speziell auf bspw. den unternehmenseigenen Produktions- oder Lagerprozess angepasst oder nur für diesen entwickelt wurden.
Um allerdings trotzdem die IT-Sicherheit und die Gefahr eines Eingriffs von außen nicht komplett zu vernachlässigen, besteht die Möglichkeit einer netzwerktechnischen Segmentierung solcher Systeme.
Die Netzwerksegmentierung stellt in der Informationstechnologie eine Variante dar, ein bestimmtes Netzwerk in unabhängige (sichere) Segmente zu unterteilen.
Trotz einer Firewall, einem Antivirusprogramm und ständigen Updates in der IT-Infrastruktur haben die meisten Unternehmen dennoch Sicherheitsrisiken.
Netzwerksegmentierung - Eine Möglichkeit
Ein möglicher Lösungsansatz trotz alter Server bzw. Clients eine gewisse Sicherheit zu gewährleisten, ist die erwähnte Netzwerksegmentierung. Das grundlegende Vorgehen bei der Netzwerksegmentierung sieht vor, dass die gefahrbringende Umgebung vom produktiven System getrennt wird. Das bedeutet, dass das firmeninterne IT-System in Netzwerksegmente unterteilt wird, um eine höhere IT-Sicherheit gewährleisten zu können. Der typische in die Jahre gekommene Windows-XP-Rechner stellt so kein großes Risiko mehr dar, da der Bereich, in welchem er ans Netz angeschlossen ist, vom produktiven System getrennt ist. Mit einer Netzwerksegmentierung kann also im Vorfeld verhindert werden, dass sich ein Angriff im gesamten Netzwerk ausbreitet.
Das einfachste Beispiel für den Einsatz von Netzwerksegmentierung sind deutsche Schulen. In allen Bundesländern ist es Vorschrift, das schulische Verwaltungsnetz vom sog. pädagogischen Netz zu trennen. Aber auch in allen Bereichen der freien Wirtschaft und Industrie wird Netzwerksegmentierung häufig angewendet.
Erste Schritte zur Implementierung
Entscheidet man sich als Unternehmen, eine Netzwerksegmentierung durchzuführen, um seine unternehmensinterne IT-Infrastruktur zu schützen, sollten sich die Verantwortlichen zunächst um die folgenden Themen kümmern:
- Im ersten Schritt sollten die Bereiche, die kritische Daten, Prozesse und Systeme enthalten, identifiziert und analysiert werden. Diese Bereiche bilden dann die sogenannten Segmente.
- Auf Basis dieser Aufnahme sollten die entsprechenden Sicherheitszonen definiert werden. Diese Segmentierung sollte anhand der Kritikalität der Daten sowie der Zugriffsanforderungen erstellt werden.
- Um gewährleisten zu können, dass im Verlaufe von Netzwerkänderungen oder -erweiterungen alle Sicherheitskontrollen erhalten bleiben, sollte die Netzwerksegmentierung regelmäßig überprüft und im Zweifelsfall angepasst werden. Im Rahmen dieser Überprüfung sollte auch immer die Funktionsfähigkeit der IT-Infrastruktur geprüft werden.
Wie wird Netzwerksegmentierung in aller Regel umgesetzt?
Grundsätzlich wird die Netzwerksegmentierung anhand von sowohl virtuellen LANs (VLANs) als auch physisch voneinander getrennten LANs umgesetzt. Das Firmennetz wird dabei in verschiedene Bereiche unterteilt. In den meisten Fällen ist die typische Unterteilung des Unternehmensnetzwerks in ein Office-IT-Netz, in dem alle Arbeitsplatzrechner miteinander verbunden sind, und ein Produktionsnetz. In diesem Produktionsnetz sind dann alle Produktionssysteme miteinander vernetzt, unter anderem auch die unsicher gewordenen Windows-XP-Rechner, sofern diese noch im Einsatz sind. Das in aller Regel stärker gefährdete Produktionsnetz wird dann oftmals zusätzlich noch in weitere Sicherheitsbereiche unterteilt.
Die zwei am häufigsten verwendeten Architekturen, um eine Netzwerksegmentierung technisch umzusetzen, sind die Segmentierung mittels VLAN und die sogenannte Jumping Host Methode.
VLAN versus Jumping Host
Bei der Segmentierung mittels VLANs wird das Netzwerk im Grunde auf logischer Ebene (OSI-Layer 2) über die entsprechenden VLANs durchgeführt. Entweder wird bei dieser Methode ein Switch an sich unterteilt oder es werden den einzelnen Datenframes eine eigene VLAN-Kennung zugewiesen. Letzteres wird auch „tagged VLAN“ genannt und bietet die Alternative, auch mehrere VLANs über nur eine Kabelstrecke zu betreiben.
In der Regel verwendet man zusätzlich zur Netzwerksegmentierung auch, entsprechend der jeweiligen Segmente zugeordnet, eine oder mehrere Firewalls. Ein segmentiertes Netzwerk bietet ein hohe IT-Sicherheit für Unternehmensserver, auf denen Daten von hoher Kritikalität gespeichert sind. Die Erkennungs- und Abwehrmechanismen eines Unternehmens in Bezug auf Cyberangriffe werden besser, je mehr ein Netzwerk segmentiert wird. Im Falle einer hohen Netzwerksegmentierung können die angesprochenen Cyberangriffe verlangsamt werden, da die Angriffe frühzeitiger erkannt werden können. Schutzmaßnahmen für höhere IT-Sicherheit lassen sich einfacher, effizienter und qualitativer umsetzen, wenn Netzwerke, Daten und Prozesse klar getrennt sind. Auch in Bezug auf den Datenschutz bietet Netzwerksegmentierung eine gute Möglichkeit, die vom Gesetzgeber veröffentlichten Richtlinien zu unterstützen.
Ist die Netzwerksegmentierung abschließend umgesetzt worden, empfiehlt es sich, einen Belastungs- bzw. einen Penetrationstest durchzuführen. Mit Hilfe dieser Tests kann man im Anschluss an eine durchgeführte Segmentierung des unternehmensinternen Netzwerkes testen, ob diese auch erfolgreich umgesetzt wurde bzw. belastbar ist. Ein Penetrationstest soll hier die noch offenen Schwachstellen aufdecken. Er prüft im besten Falle, wie verwundbar das System wirklich ist und kann ggf. Aufschluss darüber geben, ob die Netzwerksegmentierung sinnvoll gestaltet wurde oder ob es weiteren Verbesserungsbedarf gibt.
Fazit
U. a. führen alte Geräte mit alten Anwendungen zu erhöhten Sicherheitsrisiken. Durch Netzwerksegmentierung können Risiken und potentielle Schadenhöhen verringert werden. Notwendig sind hierfür eine kluge Architekturwahl, Implementierung und Überwachung.