Was ist Segmentierung?
Segmentierung (im Netzwerkkontext) bedeutet, die IT-Landschaft in logische oder physische Zonen zu unterteilen und den Datenverkehr zwischen diesen Zonen zu kontrollieren (z. B. über Firewalls, VLANs, Zugriffslisten). Nur erlaubte Kommunikation wird durchgelassen; der Rest wird blockiert oder protokolliert.
Warum ist Segmentierung wichtig?
Ohne Segmentierung können sich Angreifer oder Schadsoftware nach einem ersten Einstieg lateral im Netz ausbreiten (Seitwärtsbewegung). Kritische Bereiche (z. B. Backup-Systeme, Finanzen, Produktionssteuerung) sollen so abgegrenzt werden, dass ein Kompromitt einer Zone nicht automatisch alle anderen betrifft. Zusammen mit MFA, Exposure Management und Patch-Management gehört Segmentierung zu den klassischen Abwehrmaßnahmen.
Typische Umsetzung
- Zonen definieren: z. B. Internet-Perimeter, DMZ, internes LAN, Verwaltung, Backup, OT.
- Regeln festlegen: Wer darf von wo auf was zugreifen? Default: verweigern; nur explizit erlauben.
- Admin-/Backup-Zugriff: Über gesicherte Wege (z. B. Jump Host, VPN), nicht „von überall“ ins kritische Segment.
- Port-Restriktion: Nur benötigte Dienste/Ports zwischen Segmenten erlauben.
Mikrosegmentierung
Bei Mikrosegmentierung werden Regeln sehr fein granular gesetzt (z. B. pro Workload oder Anwendung). Das erhöht den Schutz, erfordert aber mehr Planung und Pflege. Für KMU reicht oft eine sinnvolle Grobsegmentierung (z. B. Perimeter, DMZ, Kernnetz, Verwaltung) mit klaren Regeln.
Kurz gesagt
Segmentierung begrenzt die Ausbreitung von Angreifern und Schadsoftware im Netz. Kritische Bereiche (z. B. Backups, Admin) in eigene Zonen mit kontrolliertem Zugang legen.