Network Segmentation

[ˈnɛtwɜːk ˌsɛɡmɛnˈteɪʃn] · auch: Netzwerksegmentierung, Netzwerkzonierung

Network Segmentation bezeichnet die Unterteilung eines Netzwerks in isolierte Zonen mit definierten Zugriffsregeln zwischen den Zonen -- um die laterale Bewegung von Angreifern zu begrenzen, den Schaden bei Sicherheitsvorfaellen einzudaemmen und den Schutz kritischer Systeme zu erhoehen.

Warum Network Segmentation wichtig ist

Ohne Netzwerksegmentierung kann ein Angreifer, der einen Rechner kompromittiert hat, ungehindert durch das gesamte Netzwerk bewegen. Segmentierung begrenzt den "Blast Radius" eines Angriffs: Der Angreifer bleibt auf die kompromittierte Zone beschraenkt. Bei Ransomware-Angriffen ist fehlende Segmentierung regelmaessig der Hauptgrund fuer die vollstaendige Verschluesselung des Netzwerks.

Wo Network Segmentation gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.8.20 / A.8.22	Sicherheit von Netzwerken und Trennung in Netzwerken: Sensible Systeme muessen in separaten Netzwerkzonen betrieben werden.
NIS-2 / BSIG	§ 30 Abs. 2b	Netzwerksicherheit als technische Schutzmassnahme -- Segmentierung als etablierte Methode zur Eindaemmung von Vorfaellen.
DORA	Art. 9 Abs. 2	Netzwerksicherheit und Zugangskontrolle zwischen Netzwerksegmenten als Mindestanforderung.
PCI DSS 4.0	Req. 1 / Req. 4	Cardholder Data Environment muss durch Firewalls und Segmentierung vom restlichen Netzwerk getrennt werden.
BSI IT-Grundschutz	NET.1.1	Netzarchitektur und -design: Segmentierung nach Schutzbedarfszonen als Grundschutz-Anforderung.

BAM-Objektreferenz

BAM-Objekt CROSS-NS-01

BeschreibungCompliance-Objekt mit Framework-Mapping und Evidence-Anforderungen

GitHubBAM Core →

Haeufige Audit-Fehler

Flat-Network ohne jede Segmentierung
Segmentierung vorhanden, aber Regeln zwischen Segmenten zu permissiv
OT- und IT-Netze nicht getrennt
Keine Dokumentation der Netzwerkarchitektur

Zonenmodelle in der Praxis

Ein bewaehrtes Zonenmodell unterscheidet: Demilitarisierte Zone (DMZ) fuer extern erreichbare Dienste, internes Produktionsnetz fuer Anwendungsserver, Datenbankzone fuer Datenbankserver (kein direkter Zugriff aus dem Internet), Managementzone fuer administrative Systeme, und -- bei Industrieunternehmen -- eine OT-Zone (Operational Technology) vollstaendig getrennt vom IT-Netz. Zwischen jeder Zone definieren Firewall-Regelwerke, welcher Datenverkehr erlaubt ist. Das Prinzip des minimalen Netzwerkzugriffs (least privilege fuer Netzwerkverbindungen) gilt: Nur explizit erlaubter Datenverkehr ist zugelassen.

Mikrosegmentierung und Zero Trust

Traditionelle Segmentierung arbeitet auf Ebene von Netzwerkzonen. Mikrosegmentierung geht weiter: Sie definiert Zugriffsregeln auf Ebene einzelner Workloads oder Container. In Cloud-Umgebungen ist diese Granularitaet mit Software-Defined Networking (SDN) und Cloud-nativen Sicherheitsgruppen (AWS Security Groups, Azure NSGs) erreichbar. Mikrosegmentierung ist ein Kernbestandteil von Zero-Trust-Architekturen.

Naechste Ebene

Network Segmentation in der Praxis: Audit-Anforderungen und Evidence

Was Auditoren konkret pruefen -- Zonenmodell, Regelwerke, Tests und Evidence-Checkliste.

Ebene 2 lesen → NIS-2-Stresstest starten →