04/09/2019

Netzwerksegmentierung – und plötzlich ist Schubladendenken wertvoll!

In Zeiten der Volldigitalisierung haben große Unternehmen längst die Wichtigkeit von IT-Sicherheitskomponenten erkannt und im Firmennetzwerk implementiert. Diese sind:
• eine intakte und stabile Firewall
• Virenschutzprogramme auf dem neuesten Stand
• regelmäßige Sicherheitsupdates der im Betrieb laufenden Programme (Betriebssystem, Office-Programme, spezifische Software)
• regelmäßige IT-Sicherheitsschulung der Mitarbeiter zur Themensensibilisierung

Umso unangenehmer ist es dann, wenn sich dennoch ein Virus im System ungehindert ausbreitet oder ein Hacker-Angriff das Unternehmen ausbootet.

Damit ist gemeint, dass Unternehmensbereiche in verschiedene Schubladen gesteckt werden (in Segmente unterteilt), in denen sie ungehindert arbeiten können – der Blick in eine andere Schublade ist jedoch nicht möglich. Der Sinn dahinter: Wird eine Schublade „aufgebrochen und ausgeraubt“, bleiben die anderen unangetastet! Ein Beispiel: In einer Produktionshalle laufen mehrere Computer mit spezifischer Software zur Fertigung von Produkten. Es besteht keinerlei Bedarf, dass diese Computer ans Internet angeschlossen sind, oder dass jemand aus der Personalabteilung über das Netz Zugriff auf diese Fertigungssoftware hat. Für den Fall, dass also in der Personalabteilung ein Virus das System lahmlegt, sind die Computer in der Produktion davon nicht betroffen, weil sie sich nicht in der selben Schublade wie die Personalabteilung befinden.

Die Isolation von unsicheren Komponenten

Gerade in gewachsenen Strukturen gibt es Altlasten (Legacy-Systeme), die ein Sicherheitsrisiko darstellen, weil ein zeitgemäßer Schutz (Virussoftware, Sicherheitsupdates etc.) gar nicht mehr möglich ist. Gemeint sind damit z. B. Computer, auf denen eine 15 Jahre alte, eigens für das Unternehmen programmierte Software läuft. Die Software erhält längst schon keine Updates mehr und kann auch nicht auf ein neueres Gerät überspielt werden. Dennoch erfüllt sie ihre Aufgabe, ein Austausch wäre kostenintensiv. Also wird dieser Computer bestmöglich von den anderen Netzwerkkomponenten getrennt, sodass ein allfälliger Virenbefall im Unternehmensnetzwerk gar nicht bis zu diesem Gerät vordringen kann.

Wie geht man an die Sache heran?

Zunächst einmal gilt einen Katalog zu erstellen, der alle Komponenten in einem Netzwerk identifiziert (Administration, Produktion, Logistik, etc.). Das klingt einfach, aber sehr oft sind keine vollständigen Listen verfügbar – oder, um in unsere bildhaften Beschreibung zu bleiben – man weiß gar nicht, wieviele Schubladen der Schrank eigentlich haben soll.
Im Anschluss wird eine grobe Segmentierung vorgenommen – z.B. wird das administrative Netzwerk vom Produktionsnetzwerk getrennt. Natürlich gibt es Systeme, die in beiden Welten zu Hause sind (Schubladenspringer sozusagen) – Ihnen muss dann besondere Aufmerksamkeit geschenkt werden
Mittels einer feingranularen Segmentierung kann jetzt die Produktion selbst noch einmal unterteilt werden (evtl. nach Standorten, nach Maschinen oder nach Art der Fertigung), sodass am Ende viele Schubladen mit klar definierten Unternehmensbereichen einen soliden Schrank ergeben.
Last, but not least wird ein Protokoll erstellt, dass die einzelnen Schubladen und deren Inhalte exakt dokumentiert und auch ersichtlich macht, wer für welchen Bereich die jeweiligen Rechte hat.

Zusammengefasst sind die Schritte zur Segmentierung folgende:
• Trennung von Unternehmensbereichen, die nichts oder nur wenig miteinander zu tun haben.
• Kontrolle über das gesamte Netzwerk
• Überwachung über Zonengrenzen (Ausgewogenheit von Security und Produktionsanforderung)
• Erfüllen von Standards und Normen in allen Segmenten und zu jeder Zeit (Whitepapers, IEC-Zertifkate)
• Notwendige Remote-Zugriffe von Softwareherstellern einplanen und besonders sichern
• Schulung der Mitarbeiter zum besseren Verständnis von Netzwerksegmentierungen

Fazit

Schubladendenken mag im Zusammenhang mit der globalen Vernetzung verstaubt klingen und vielleicht sogar hinderlich erscheinen. Für die IT-Sicherheit des Unternehmens ist es jedoch eine Strategie, die neben der Firewall, der Antivirensoftware, den regelmäßigen Sicherheitsupdates und der Sicherheitsschulung von Mitarbeitern als fünfte IT-Sicherheitssäule im Unternehmen ausgezeichnete Dienste leistet!

Limes Security unterstützt Sie in Ihrem Vorhaben Netzwerksegmentierung auch in Ihrem Unternehmen umzusetzen: von der Erhebung der Komponenten bis zur feingranularen Segmentierung. Nehmen Sie noch heute unverbindlich mit uns Kontakt für ein erstes Gespräch auf.