Hat Ihre IT funktionierende Quarantäne-Bereiche?>

„Manchmal würde ich mich freuen, wenn wenigstens die Eingangstür eines Unternehmens mit einem rudimentären Schloss gesichert wäre. Aber selbst die steht meistens sperrangelweit offen. Und wenn ein Eindringling dann im Flur ist, sind alle andere Türen auch noch offen.“ Wenn Dirk Menz über IT-Security für Unternehmen spricht, zieht er oft plastische Vergleiche. Hier noch einer: Stellen Sie sich den aggressiven Corona-Grippevirus in einem Großraumbüro vor. Genauso verbreitet sich ein moderner Trojaner in einem unsegmentierten IT-Netzwerk. Sie merken es viel zu spät und der Schaden ist umfassend. Dirk Menz plädiert deswegen für Segmentierung und NAC. Was das bedeutet, erklärt er hier.

Inhalt:

  1. Die Vorteile von Netzwerksegmentierung
  2. Trojaner wie „Emotet“
  3. Gegen moderne Trojaner hilft nur Netzwerksegmentierung
  4. Die Umsetzung: VLANs
  5. Ein Beispiel für eine einfache Netzwerksegmentierung
  6. Network Access Control ist ein weiterer Schritt

Sie sind Entscheider …

… und möchten die Kurzfassung? Netzwerksegmentierung hat zwei Vorteile:

  1. Das Risiko, das von Trojanern ausgeht, wird massiv gesenkt, weil im Ernstfall nur ein Bruchteil der Systeme betroffen ist.
  2. Der Aufwand, Geräte im Netzwerk zu konfigurieren, ist viel kleiner, weil ein NAC das automatisiert. Das entlastet die Administratoren.

Trojaner wie „Emotet“ sind eine neue Schadprogramm-Generation ohne virtuelle Feinde

Schadprogramme haben heute eine andere Qualität als noch vor zehn Jahren. Sobald ein moderner Trojaner wie Emotet auf Ihrem Rechner ist, fährt dieses kleine Schadprogramm seine Fühler aus und analysiert das Netzwerk, in dem es sich befindet:

  1. „Bin ich in einem Firmennetzwerk?“
  2. „Finde ich offene Ports, um weiter ins Netzwerk vorzudringen?“
  3. „Wie viel ist dieses Unternehmen für mich wert, welche Daten liegen hier?“

Dann infiziert der Trojaner weitere Rechner. Neue Tools, die der Trojaner braucht, um weitere Teile des Netzwerkes zu infizieren oder bestimmte Aktionen zu starten, bekommt er von „zu Hause“ gestellt – also von denen, die den Trojaner aus der Ferne kontrollieren (Command & Control).

Durch Emotet eingeschleuste zusätzliche Schadprogramme verschlüsseln z. B. ganze Netzwerke in kurzer Zeit. Die Programmierer verlangen dann durch den Trojaner ein hohes Lösegeld und versprechen, nach der Zahlung des Lösegeldes das befallene Netzwerk wieder freizugeben. Das ist zum Beispiel der Stadtverwaltung Neustadt passiert.

Moderne Trojaner passen ihr Aussehen und ihr Vorgehen ständig an. Ein Virenscanner sucht nach einer festen Signatur – und ist von Trojanern mit ständig angepassten Werkzeugen überfordert.

Trojaner wie Emotet müssen nicht von außen kommen

In vielen Unternehmen können Gäste relativ frei ein und aus gehen. Mit den richtigen WLAN-Zugangsdaten könnte zudem jeder in das Firmen-WLAN eindringen. Dafür müsste diese Person nicht einmal das Gebäude betreten. Und dann wird es kritisch, denn meistens stehen Usern durch das Unternehmens-LAN dann Tür und Tor zu vielen Daten offen. Egal mit welchem Endgerät. Dann einen Trojaner zu hinterlassen ist einfach, ob bewusst oder durch Unachtsamkeit. Wir brauchen also zwei Arten des Schutzes:

  1. Ein Trojaner darf sich nicht einfach wild im gesamten Netzwerk ausbreiten können.
  2. Nicht jeder sollte mit jedem Endgerät in jede Ecke des Netzwerkes vordringen können. Im besten Fall sollten nur vertrauenswürdige, saubere, autorisierte Geräte im Netzwerk sein.

Wir planen die Netzwerksegmentierung…

…Ihrer Unternehmens-IT, konfigurieren das NAC und helfen, diese Sicherheitsstandards einzuhalten. Haben Sie Fragen zu Netzwerksegmentierung und NAC? Nehmen Sie jetzt Kontakt mit uns auf!

Gegen moderne Trojaner hilft nur Netzwerksegmentierung

Ich sage ganz klar: Netzwerke müssen feingliedrig in Netzwerksegmente unterteilt sein, um IT-Risikomanagement zu betreiben. Gegen diese Trojaner hilft nur: die Bedrohung frühzeitig erkennen und die betroffenen Netzwerksegmente unter Quarantäne stellen. Das funktioniert aber nur, wenn derartige Quantantärezellen im Netzwerk vorgesehen sind – das Unternehmensnetzwerk also vorsorglich segmentiert ist. Stellen Sie sich das etwa so vor: Die gesamte IT-Infrastruktur (mit allen Computern) eines Unternehmens sitzt in einem großen metaphorischen Büroraum. Dann verbreitet sich der Trojaner sofort in alle Richtungen. Sie können auch eine andere Metapher bemühen, etwa die „Brandabschnitte“ einer IT. Sorgen Sie dafür, dass ein metaphorisches Feuer sich in der IT nicht ungehindert ausbreitet.

Netzwerksegmentierung bedeutet in der IT, dass wir überlegen: Wie viele einzelne Netzwerksegmente brauchen wir, um das gesamte Netzwerk bestmöglich zu schützen?

Ein Beispiel: Mindestens jede Fachabteilung könnte ein eigenes Netzwerksegment sein. Es ist dann nicht möglich, als Vertriebler auf irgendwelche Daten der Technik zuzugreifen. Ein sogenanntes Enforcement Device kann diese Rechte durchsetzen. Das ist nichts anderes als ein Gerät, das bestimmte Regeln durchsetzt. Eine Firewall, eine Daten-Diode, je nach Anwendung. Das Enforcement Device detektiert und verhindert Zugriffe von Endgeräten, die nicht für diese Art des Zugriffs autorisiert sind.

Eine konzeptionell saubere Netzwerksegmentierung muss Grundlage moderner IT-Netzwerke sein.

Die Umsetzung: VLANs

VLANs sind mehrere virtuell segmentierte LANs auf einem Switch. Das Netzwerk ist dann virtuell in mehrere Netzwerke segmentiert. Wir entscheiden also, auf welches Netzwerksegment welche Endgeräte über welches VLAN zugreifen können. Das können wir per Hand konfigurieren oder – ebenfalls mit einer entsprechenden Konfiguration – automatisch durch das Enforcement Device umsetzen lassen. Das Enforcement Device kann anhand des Endgeräts entscheiden, zu welchem VLAN es gehört – und so automatisch virtuell das Netzwerk segmentieren.

Ein Beispiel für eine einfache Netzwerksegmentierung: VoIP im Unternehmensnetzwerk

In Firmennetzwerken sind viele Netzwerkdosen ausschließlich für VoIP (Voice over IP) vorgesehen. Das ist im Grunde das gleiche physikalische Netzwerk wie auch für die Arbeitsrechner. Die Netzwerkdose wurde lediglich so konfiguriert, dass darüber nur Telefondaten fließen dürfen. Sie könnten dort einen Laptop anschließen, aber nicht viel daran machen, außer zur Telefonanlage durchdringen. Auch das ist schon eine sanfte Form der Netzwerksegmentierung: Ein Laptop oder ein anderes Endgerät könnte nicht auf das Firmennetzwerk zugreifen.

Würde jetzt das Netzwerksegment für die Telefonanlage infiziert, könnten Sie die restliche Infrastruktur noch benutzen.

Das können wir konsequent weiterdenken: Designer greifen nur auf die Bilddatenbanken im Netzwerk zu, Buchhalter nur auf Finanzdaten. Das ist Netzwerksegmentierung: isolierte Arbeitswege im Netzwerk.

Network Access Control ist der zweite Schritt: Das „Schloss“ an den Türen zu den jeweiligen Netzwerksegmenten

Testfrage: Wenn jemand die Zugangsdaten zu Ihrem Firmennetzwerk kennt, kann dann derjenige mit einem fremden Gerät sofort auf Ihr Netzwerk zugreifen? Kann also jeder sein eigenes Device mitbringen und sich – mit den richtigen Zugangsdaten – frei im Netzwerk bewegen? Wenn die Antwort „Ja“ ist, sollten Sie etwas tun.

Wir wollen, dass sich nur vertrauenswürdige Geräte im Netzwerk bewegen dürfen
Zusätzlich zur Netzwerksegmentierung nutzen wir deswegen Network Access Control. So können unbekannte Geräte auch nicht auf einzelne Netzwerksegmente zugreifen, sondern die NAC filtert unbekannte Geräte-IDs von vornherein raus. So haben Sie ausschließlich vertrauenswürdige Geräte in Ihrem Firmennetzwerk.


Dirk Menz empfiehlt eine verbesserte IT-Sicherheit für Unternehmen durch Netzwerksegmentierung und Network Access Control (NAC). Netzwerksegmentierung reduziert das Risiko durch Trojaner, da im Ernstfall nur ein Teil der Systeme betroffen wäre. NAC hingegen gewährleistet, dass nur autorisierte, vertrauenswürdige Geräte Zugang zum Netzwerk haben. Solche Maßnahmen sind wichtig, da moderne Trojaner wie Emotet Netzwerke umfassend infizieren und enorme Schäden verursachen können.

Lust auf mehr?

Weitere Magazinartikel

Januar 2024

Server-Virtualisierung: Wie Sie IT-Komplexität meistern und Kosten senken

Server-Virtualisierung ist eine strategisch kluge Methode, um IT-Ressourcen zu maximieren und betriebliche Effizienz zu steigern.

Mehr erfahren

Oktober 2023

Skalierbarkeit in der IT: Scale-Out-Architekturen

Skalierbarkeit von Server und Storage: Was ist Scale-Out und Scale-Up? Welche technischen Aspekte und Vorteile müssen Sie wissen? Wir klären auf!

Mehr erfahren

Juni 2023

Change Management im 21. Jahrhundert: Wie Festpreismodelle den Unterschied machen

Feste Preise für Change Management? Warum das nicht nur gut für Ihren Geldbeutel ist, sondern auch im digitalen Wandel hilft – das verraten wir Ihnen hier.

Mehr erfahren

Juni 2023

Das digitale Dilemma: Warum Unternehmen Schwierigkeiten haben, den technologischen Fortschritt aufzuholen

Wir erklären Ihnen, was das digitale Dilemma ist und welche „Lücken“ u.a. dafür verantwortlich sind.

Mehr erfahren

August 2022

Warum eine erfolgreiche Digitalisierung sowohl Wurzeln als auch Sonnenlicht braucht

Digital Leadership ist in aller Munde. Aber das ist mehr, als ein neues Budget unterschreiben, sagt Michael Hollmann, Senior IT-Consultant bei BASYS Brinova.

Mehr erfahren

April 2022

Fachinformatiker:innen: Systemintegration als Heldentum der Digitalisierung

Olaf Brandt über Fachinformatiker für Systemintegration, Heldentum, Cloud-Architekten und warum BASYS dabei so erfolgreich ist.

Mehr erfahren

September 2020

Der virtuelle Arbeitsplatz: Das Zeitalter des klassischen Büros ist vorbei

Möchten Sie mehr über virtuelle Arbeitsplätze erfahren? Hier finden Sie weitere Informationen rund um das Thema standortunabhängiger Arbeitsplatz..

Mehr erfahren

August 2020

Ohne Netzwerksicherheit droht dem deutschen Mittelstand die Geiselhaft

Netzwerksicherheit und Schutz Ihrer Unternehmensdaten? Erfahren Sie, wie Sie mit einem Security-Checkup Ihre gesamte IT-Sicherheit optimieren können.

Mehr erfahren