Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Network Segmentation

Was ist Network Segmentation?

Network Segmentation bezeichnet die gezielte Unterteilung eines Netzwerks in kleinere, logisch voneinander getrennte Subnetze, um die Sicherheit, Performanz und Kontrolle zu erhöhen. Jedes dieser Segmente kann eigene Sicherheitsrichtlinien, Firewalls und Zugriffsberechtigungen aufweisen, wodurch sich das Risiko einer lateral movement von Angreifern deutlich reduziert.

In der Praxis bedeutet das: Wenn ein Gerät oder Benutzer kompromittiert wird, kann sich ein potenzieller Angreifer nicht ohne Weiteres auf andere Teile des Netzwerks ausbreiten. Die Segmentierung ist daher ein zentrales Element moderner Sicherheitsarchitekturen, insbesondere im Kontext von Zero Trust-Modellen und kritischer Infrastruktur.

Technischer Aufbau & Varianten

Typische Technologien zur Umsetzung:

  • VLANs (Virtual LANs): Logische Trennung auf Layer-2-Basis

  • Subnetting: Aufteilung durch IP-Adressbereiche

  • ACLs (Access Control Lists): Steuerung des Datenverkehrs auf Routern und Switches

  • Firewall-Zonen: Kontrollieren Datenflüsse zwischen Segmenten

  • Network Access Control (NAC): Dynamische Segmentierung anhand von Gerätestatus

  • SDN (Software Defined Networking): Zentrale, policy-basierte Steuerung

  • Microsegmentation: Paketbasierte Isolation einzelner Workloads (z. B. in Kubernetes, VMware NSX)

Beispiele für Segmentierungsstrategien:

  • Trennung von Produktion und Büro-IT

  • Separierung von Druckern, VoIP und Kameras in IoT-Netzen

  • Isolierung von Drittanbieter-Zugängen (z. B. Fernwartung)

Relevanz in der Praxis

Vorteile durch Netzwerksegmentierung:

  • Begrenzung von Angriffsauswirkungen: Ein kompromittiertes System kann nicht ohne Weiteres andere Bereiche erreichen.

  • Bessere Compliance: Segmentierung erleichtert die Umsetzung von Anforderungen nach DSGVO, ISO 27001 oder PCI DSS.

  • Performance-Optimierung: Weniger Broadcast-Traffic und klar definierte Verkehrsflüsse.

  • Erhöhte Sichtbarkeit und Kontrolle: Klarer Überblick über Netzwerkverbindungen und Zugriffspfade.

Standards & regulatorische Anforderungen

  • ISO/IEC 27001 – A.13.1.3: Netztrennung in Informationsverarbeitung

  • PCI DSS 4.0 – Requirement 1.2.1: Segmentierung von Cardholder-Data-Umgebungen

  • NIS-2 / BSI KRITIS: Sicherheitszonen für kritische Systeme

Verwandte Begriffe

  • VLAN

  • Zero Trust

  • Access Control List

  • Firewall

  • Network Access Control

  • Microsegmentation

  • SDN

Beispiel aus der Praxis

Ein Finanzdienstleister segmentierte sein Netzwerk in drei Sicherheitszonen: Benutzergeräte, Backend-Systeme und Kreditkartenanwendungen. Während Clients nur auf Webserver zugreifen konnten, war die Kommunikation zwischen Datenbank- und Anwendungsebene strikt über Firewalls reglementiert. Ein später entdeckter Phishing-Angriff konnte sich nicht in die sensiblen Bereiche ausbreiten – dank der klar definierten Netzwerkgrenzen.

zum Glossar