Netzwerksegmentierung:

Standards, Methoden und Vorgehensweisen

Netzwerksegmentierung verringert die Angriffsfläche eines Unternehmens und schützt kritische IT-Systeme sowie sensible Daten. Dieser Artikel zeigt auf, welche Ziele, Anforderungen und Vorgehensweisen dabei entscheidend sind, um die Cyber-Resilienz nachhaltig zu stärken.

Bild 1: Netzwerksegmente reduzieren IT-Sicherheitsrisiken (C. Gellweiler)

Bedeutung der Netzwerksegmentierung

Netzwerksegmentierung ist eine präventive technische Sicherheitsstrategie zur Schadensbegrenzung bei Angriffen über das Netzwerk auf geschäftskritische Dienste und vertrauliche Daten. Dabei wird das Unternehmensnetzwerk in Zonen (Segmente) unterteilt, die logisch und physisch voneinander getrennt sind. Bei einem Sicherheitsvorfall wird der Aktionsradius eines eingedrungenen Angreifers durch diese Separierung begrenzt. Versuche, in weitere Netze vorzudringen (Lateral Movement), werden verhindert. Das Risiko einer Kompromittierung von Applikationen, Datenbanken und Middleware wird deutlich reduziert. Die Angriffsfläche der IT-Infrastruktur (Attack Surface) und die Auswirkungen von Attacken, zum Beispiel Datenexfiltration, werden insgesamt verringert.

Die Unterteilung eines Netzwerks in Zonen wird vor allem durch den Schutzbedarf der Anwendungen und Datenbanken bestimmt, also durch die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit. Weitere wesentliche Kriterien für die Segmentierung sind die Art der Umgebung (z. B. Entwicklung, Test, Produktion), die Funktion (z. B. Office-Kommunikation, ERP), die Anbindungen bzw. Zugriffsmöglichkeiten (Internet, Intranet, Partneranbindungen, Remote-Arbeitsplätze) sowie die Lokationen (z. B. Zentrale, Filialen). Durch die Zonierung werden die Verkehrsflüsse zwischen unterschiedlichen Sendern und Empfängern (z. B. Cloud-Dienste, Partner, internes Rechenzentrum, Remote-Zugänge) gezielt gesteuert.

Regulatorische Anforderungen und Standards

Regulatorische Anforderungen werden insbesondere an Unternehmen der Finanzbranche durch Behörden der Europäischen Union gestellt. Im Fokus stehen dabei NIS-2 und DORA:

• Die EU-Directive 2022/2555, auch als NIS-2-Richtlinie bezeichnet, regelt unter anderem die Cybersicherheit im Finanzsektor. Ziffer 89 der NIS-2-Richtlinie nennt Netzwerksegmentierung und Zero-Trust-Prinzipien als Maßnahmen zur Erhöhung des Cybersicherheitsniveaus.

• Die EU-Verordnung 2019/881, auch als Digital Operational Resilience Act (DORA) oder Cybersecurity Act benannt, konzentriert sich auf die operative Belastbarkeit und das Management von IT-Sicherheitsrisiken bei Banken und Finanzinstituten. Zwar enthält die DORA-Verordnung keine expliziten Anforderungen an die Netzwerksegmentierung, dennoch sind Unternehmen in der Finanzindustrie angehalten, sich an „Best Practices“ und internationalen Standards zu orientieren.

Bedeutende nationale und internationale Institutionen definieren diese Standards und bieten Leitfäden für die Umsetzung in Unternehmen. Führender Herausgeber dieser Standards ist in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das National Institute of Standards and Technology (NIST) definiert die Standards für die USA, die darüber hinaus globale Beachtung finden.

Wichtige Publikationen dieser Organisationen sind:

• BSI-Standard 200-2: IT-Grundschutz-Methodik
• Positionspapier Zero Trust 2023
• IT-Grundschutz-Kompendium (Edition 2023), Baustein NET.1.1 „Netzarchitektur und -design“

• NIST Special Publication 800-207 „Zero Trust Architecture“
• NIST Cybersecurity Framework (CSF) 2.0

Im internationalen Kontext werden wesentliche Anforderungen von der International Organization for Standardization beziehungsweise International Electrotechnical Commission (ISO/IEC) veröffentlicht. Die Anforderungen zur Netzwerksegmentierung befinden sich in den Normen

• ISO/IEC 27001 – Information security management systems – Requirements

und

• ISO/IEC 27002 – Information security, cybersecurity and privacy protection – Information security controls.

Grundsätzliche Methoden der Netzwerksegmentierung

Netzwerksegmentierung über VLANs ist seit Jahrzehnten gängige Praxis zur Trennung verschiedener Server- und Client-Systeme. Dieser Ansatz genügt jedoch nicht mehr zur Abwehr aktueller und zukünftiger Bedrohungen. Eine robuste und zeitgemäße Netzwerksegmentierung kann grundsätzlich auf zwei Arten realisiert werden:

1. Umzug von Servern in kleine, dedizierte Netzwerksegmente, die durch Paketfilter voneinander getrennt sind.
2. Software-definierte Netzwerke (SDN), die Server-Gruppen trennen und deren Verbindungen über Overlay-Netzwerke administrieren.

Bei der Paketfilter-Methode sind die Segmente durch Firewalls mit Access Control Lists (ACLs) voneinander isoliert. Nach dem Need-to-know-Prinzip erlauben diese Firewalls nur Verbindungen mit definierten Adressen, Protokollen und Ports. Alle anderen internen oder externen Verbindungsversuche zu Servern oder Datenbanken gelten als verdächtig und werden blockiert. Dieser Zero-Trust-Ansatz minimiert die Angriffsfläche.

Zugriffssteuerungen zwischen Netzwerksegmenten können alternativ oder ergänzend zu Firewalls auch auf Netzwerk-Routern eingerichtet werden. Aufgrund der höheren Komplexität und eingeschränkten Administrierbarkeit wird davon jedoch abgeraten.

Die Netzwerksegmentierung über SDN erfordert eine eigene Netzwerkinfrastruktur, in der Server bzw. Hosts in Gruppen über Overlay-Netze verwaltet werden. Diese Gruppen sind zunächst voneinander isoliert. Die zulässigen Kommunikationsverbindungen werden durch zentral verwaltete Richtlinien definiert. Eine klassische Zuweisung von IP-Adressen und VLANs entfällt.

In Tabelle 1 sind beide Methoden mit ihren Vor- und Nachteilen grob gegenübergestellt.

Quelle: Dr. C. Gellweiler, 2025 // Tabelle 1: Vor- und Nachteile von Methoden der Netzwerksegmentierung

Phasenorientiertes Vorgehen

Die Planung einer Netzwerksegmentierung ist ein strukturierter Prozess, der sowohl technische als auch organisatorische Aspekte umfasst. Das Kernteam besteht aus Experten von Abteilungen für Server- und Netzwerkbetrieb. Sie unterstützen einen erfahrene Projektmanager bei Planung und Durchführung von Segmentierungsvorhaben.

Die typischen Projektphasen einer Netzwerksegmentierung sind:

Konzeption:

• Zieldefinition
• Ist- und Anforderungsanalysen
• Auswahl der Segmentierungsmethode (Firewall-Segmente vs. SDN)
• Beschreibung der Zielarchitektur
• Erstellung des Migrationskonzepts
• Zeit- und Kostenplanung

Planung:

• Kommunikationsanalysen (Ziel- und Quelladressen, Protokolle, Ports)
• Bestimmung der Schutzbedarfe aller Server und Datenbanken
• Planung der Zielsegmente (nach Schutzbedarf, Funktion, Umgebung)
• Planung der Firewall-Regeln bzw. Richtlinien
• Planung notwendiger Netzwerkerweiterungen
• Beschaffung der Komponenten und Auswahl der Anbieter
• Erstellung eines generischen Ablaufplans („Runbook“) mit Test- und Fallbackplan
• Pilot- und Rolloutplanung

Netzwerkerweiterung, Test und Pilotierung:

• Implementierung der Netzwerkerweiterungen
• Konfiguration des Routings, der Zonen, Regeln bzw. Gruppen
• Programmierung der Automatisierung (SDN)
• Test- und Pilotdurchführung

Server-Umzüge:

• Runbook-Anpassungen für jede Migration
• Migration aller Server in die Zielsegmente
• Hypercare-Phase nach jedem Umzug
• Laufende Dokumentation und Planaktualisierung
• Monitoring und Logging des Netzwerkverkehrs
• Kontinuierliche Optimierung

Zusammenfassung

Netzwerksegmentierung ermöglicht es Unternehmen, Sicherheitsrisiken zu minimieren, Schutzbedarfe gezielt abzudecken und regulatorische Anforderungen der EU zu erfüllen. Internationale Standards (z. B. ISO/IEC, NIST) bieten Orientierung bei der Planung. Moderne Methoden umfassen Paketfilterung mit Firewalls und Software-definierte Netzwerke. Da Netzwerksegmentierung komplex und ressourcenintensiv ist, erfordert sie sorgfältige Planung und Steuerung. Unternehmen, die sie konsequent umsetzen, schaffen robuste, resilientere Netze mit klaren Grenzen, kontrollierten Zugriffen und höherer Sicherheit – ein strategisches Muss in der heutigen Bedrohungslandschaft.

Referenzen

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), IKT-Risikomanagement, BaFin – DORA – IKT-Risikomanagement

Bundesamt für Sicherheit in der Informationstechnik, BSI-Standard 200-2: IT-Grundschutz-Methodik, BSI – BSI-Standard 200-2: IT-Grundschutz-Methodik

Bundesamt für Sicherheit in der Informationstechnik, NIS-Richtlinien, BSI – NIS-Richtlinien

Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kompendium (Edition 2023), BSI – Bundesamt für Sicherheit in der Informationstechnik – IT-Grundschutz-Kompendium (Edition 2023)

Bundesamt für Sicherheit in der Informationstechnik (Positionspapier Zero Trust 2023) Anhang – Säulen des Zero Trust Integrationsmodells, Sektion A.1.3.1, Netzwerksegmentierung als eine Funktion zur Integration des Zero-Trust-Modells BSI – Bundesamt für Sicherheit in der Informationstechnik – Positionspapier Zero Trust 2023

Digital Operational Resilience Act (DORA), Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019, Regulation (EU) 2019/881

National Institute of Standards and Technology, NIST Special Publication 800-20 “Zero Trust Architecture”, https://doi.org/10.6028/NIST.SP.800-207,

National Institute of Standards and Technology, The NIST Cybersecurity Framework (CSF) 2.0, https://doi.org/10.6028/NIST.CSWP.29

NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) EUR-Lex – 02022L2555-20221227 – EN – EUR-Lex