Netzwerksegmentierung

Stell dir vor, ein Angreifer schafft es, einen Bürorechner mit einem Phishing-Angriff zu kompromittieren. In einem flachen Netz ohne Segmentierung kann er sich von dort aus frei bewegen – Datenbankserver, Produktionssysteme, alle Netzwerkgeräte sind erreichbar. Netzwerksegmentierung begrenzt diesen „Blast Radius": Selbst ein kompromittierter Host kann nur das Segment erreichen, in dem er sich befindet. Alle anderen Bereiche sind durch Firewall-Regeln oder VLAN-Grenzen geschützt.

Netzwerksegmentierung ist nicht nur ein Sicherheitskonzept – sie ist auch für TOMs nach DSGVO relevant: Wenn Systeme mit personenbezogenen Daten in separaten Segmenten betrieben werden, reduziert das das Risiko bei Sicherheitsvorfällen erheblich. Sie spielt auch eine zentrale Rolle in Zero-Trust-Architekturen.

1) VLAN-basierte Segmentierung

Die gebräuchlichste Form der Netzwerksegmentierung ist die VLAN-Segmentierung (Virtual LAN). VLANs trennen ein physisches Netzwerk auf Layer 2 in logische Bereiche auf. Systeme in verschiedenen VLANs können nicht direkt miteinander kommunizieren – Inter-VLAN-Routing läuft nur über einen Router oder eine Firewall, die Regeln durchsetzen kann.

VLAN-Segmentierung – typisches Unternehmens-Layout

🔀 Core-Switch / Firewall
Inter-VLAN-Routing kontrolliert

VLAN 10

Mitarbeiter

Arbeitsplätze
Notebooks

192.168.10.0/24

VLAN 20

Server

File-Server
Datenbank, AD

192.168.20.0/24

VLAN 30

IoT / OT

Drucker, Kameras
Produktionsanlagen

192.168.30.0/24

VLAN 40

Gäste-WLAN

Besucher
BYOD-Geräte

192.168.40.0/24

Das Gäste-WLAN in VLAN 40 ist ein häufig vernachlässigter Sicherheitsbereich: Besucher und BYOD-Geräte dürfen nur ins Internet, nicht ins interne Netz. Ohne VLAN-Trennung würde ein Besucher-Notebook im selben Netz wie die Unternehmens-Datenbank liegen. IoT-Geräte (Drucker, Kameras) sind oft schlecht gepatcht und sollten immer in einem eigenen Segment isoliert werden.

2) Was Segmentierung verhindert: Lateral Movement

Der wichtigste Schutzeffekt von Netzwerksegmentierung ist die Verhinderung von Lateral Movement – der Ausbreitung eines Angreifers im Netzwerk nach der initialen Kompromittierung. Die folgende Animation zeigt den Unterschied zwischen einem flachen Netz (ohne Segmentierung) und einem segmentierten Netz.

Lateral-Movement-Simulation – segmentiert vs. flaches Netz

🎣Phishing-E-Mail kompromittiert Bürorechner (192.168.10.55)Kompromittiert

🔍Angreifer scannt Netzwerk – im flachen Netz: alle Hosts erreichbarNmap-Scan

🗄️Flaches Netz: Datenbankserver (192.168.20.30:3306) direkt erreichbar → Angriff möglichUnsegmentiert: offen

🛡️Segmentiertes Netz: VLAN 10 → VLAN 20 geblockt durch Firewall-RegelSegmentiert: blockiert

📡Angreifer versucht IoT-Gerät (Kamera) als Sprungbrett – im flachen Netz erreichbarLateral Movement

✓Segmentiertes Netz: IoT-VLAN isoliert, Kamera kann nur Internet-NTP erreichen – kein Sprungbrett möglichBlast Radius begrenzt

Drücke „Animation starten" um Lateral Movement zu simulieren.

„Blast Radius" ist ein Sicherheitsbegriff für das Ausmaß eines Schadens bei erfolgreicher Kompromittierung. Segmentierung reduziert den Blast Radius: Auch bei erfolgreichem Phishing auf einen Bürorechner bleiben Produktionssysteme, Datenbanken und IoT-Geräte hinter Firewall-Grenzen geschützt.

3) Segmentierungsansätze im Überblick

Es gibt mehrere technische Wege zur Netzwerksegmentierung. VLANs sind der Standard in Unternehmensnetzen, aber nicht der einzige Ansatz – besonders für Cloud-Umgebungen und Zero-Trust-Szenarien gibt es modernere Alternativen.

Segmentierungsansätze – Klicke für Details

VLAN (IEEE 802.1Q)

Layer 2 · Standard in Unternehmensnetzen

Subnetting

Layer 3 · IP-basierte Trennung

Firewall-Segmente

Physische Trennung · DMZ-Konzept

Micro-Segmentierung

Software-defined · Cloud-native

Klicke auf einen Ansatz für Details, Vor- und Nachteile.

Zusammenfassung

Netzwerksegmentierung begrenzt Lateral Movement nach Kompromittierung eines Hosts. VLANs sind der Standard: logische Trennung auf Layer 2, Inter-VLAN-Routing nur über kontrollierte Firewall-Pfade. Typische Segmente: Mitarbeiter, Server, IoT/OT, Gäste-WLAN. Schutzziel: kleiner Blast Radius. Relevant für DSGVO-TOMs, BSI-Grundschutz und Zero Trust. Details zur Segmentsteuerung: Firewall-Regelwerk.

Netzwerksegmentierung

1) VLAN-basierte Segmentierung

2) Was Segmentierung verhindert: Lateral Movement

3) Segmentierungsansätze im Überblick

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title