Compliance-Lexikon · Strategie
Network Segmentation – Strategie
Netzwerksegmentierung wird haeufig als kostenintensive Infrastrukturmassnahme behandelt. Die strategische Dimension ist eine andere: In einer Welt, in der Perimeterverteidigung nicht mehr ausreicht, ist Segmentierung die einzige Massnahme, die den Schaden eines unvermeidlichen Sicherheitsvorfalls strukturell begrenzt.
Die strategische Perspektive
Network Segmentation ist der strategische Ausdruck einer Sicherheitsphilosophie: Nicht "Angreifer draussen halten", sondern "Schaden begrenzen, wenn Angreifer drin sind". Diese Perspektive -- "Assume Breach" -- ist der Ausgangspunkt moderner Zero-Trust-Architekturen und der empfohlene Ansatz fuer wesentliche Einrichtungen unter NIS-2 und DORA.
Network Segmentation und Executable Compliance
Der groesste strategische Hebel liegt in der automatisierten Verifikation: Statt jaehrlich manuell Firewall-Regeln zu pruefen, lassen sich Konfigurationspruefungen automatisieren. Das BAM-Objekt CROSS-NS-01 verbindet Segmentierungsanforderungen mit Evidence-Generierung.
Strategischer Kern
Die entscheidende Frage lautet nicht "Haben wir Segmentierung implementiert?", sondern "Koennen wir nachweisen, dass ein Angreifer, der eine Zone kompromittiert hat, die anderen Zonen nicht erreichen kann?" Das erfordert regelmaessige Tests -- nicht nur Dokumentation.
Software-Defined Networking und Cloud-native Segmentierung
In Cloud-Umgebungen ersetzen Software-Defined Networking und cloud-native Sicherheitsgruppen klassische Hardware-Firewalls. AWS Security Groups, Azure Network Security Groups und GCP Firewall Rules bieten Mikrosegmentierung auf Workload-Ebene -- bei entsprechendem Konfigurationsmanagement sogar mit automatisch verifizierbarem Zustand. Infrastructure-as-Code (Terraform, CloudFormation) macht Netzwerkregeln versionierbar und auditierbar.
OT/ICS-Sicherheit als strategischer Sonderfall
Fuer Betreiber kritischer Infrastrukturen (Energie, Wasser, Transport) ist die Trennung von IT und OT (Operational Technology) eine strategische Pflichtaufgabe. Industriesteuerungssysteme (ICS, SCADA) sind haeufig fuer Cyberangriffe nicht ausgelegt -- ein kompromittiertes IT-Netz darf nie Zugriff auf OT-Systeme haben. NIS-2 und BSI KRITIS-Anforderungen sind hier am konkretesten.
BAM Enterprise · Executable Compliance
Enterprise-Setup besprechen
Network Segmentation als ausfuehrbares Compliance-Artefakt -- in allen acht Frameworks gleichzeitig.
Den praktischen Einstieg -- wie Network Segmentation konkret fuer ISO 27001, NIS-2 und DORA implementiert wird -- findet sich auf Ebene 2.