Cyberangriffe sind fast schon an der Tagesordnung - dennoch ist der Schaden für die Betroffenen immens, finanziell und imageseitig. Ein wichtiger Faktor der IT-Security ist das Netzwerk: Es kann Angreifern den Zugriff auf die IT-Infrastruktur erschweren, denn wer keinen Zugriff hat, kann auch keinen Schaden anrichten. Um ihr Netzwerk sicher zu machen, benötigen Unternehmen Standards. Dazu gehören unter anderem die Standortvernetzung, ein sauberes Netzwerkkonzept mit entsprechendem Betrieb und der kontrollierte und damit sicheren Zugang ins Netzwerk nach IEEE 802.1x (Port Based Network Access Control).
Foto: KOTOIMAGES - shutterstock.com
Die Gefahren aus dem Cyberraum nehmen zu
2022 gab es in Sachen IT-Sicherheit schlechte Nachrichten: Hacker professionalisierten sich und Angriffe fanden in der Breite statt. Ihre Ziele waren nicht nur Regierungen, sondern auch digitale Player wie zum Beispiel große Cloudanbieter, Konzerne wie Thyssenkrupp sowie Städte und Dienstleister des Gesundheitswesens. Das Vorgehen der Angreifer wie Advanced Persistent Threats (APT) bzw. Tools wie Mal- oder Ransomware können mittlerweile nach Kundenwunsch konfiguriert oder durch Baukastensysteme schnell und günstig zum Einsatz gebracht werden. Sicher kann sich also keiner mehr fühlen. Und wer in das Visier der Angreifer gerät, erleidet nicht nur einen Imageschaden, sondern kann auch schnell finanzielle Probleme bekommen - bis hin zur Insolvenz.
IT-Sicherheit in Unternehmen beginnt unter anderem am Netzwerk. Es regelt den Zugriff auf Systeme und Geräte und stellt Angreifern so Barrieren in den Weg: Wer Systeme und Geräte nicht erreicht, kann diese auch nicht angreifen und keinen Schaden anrichten. Eine Standardisierung ist hier der Schlüssel zur Cybersicherheit: Darüber lässt sich der aktuelle Stand der Technik und damit das bestmögliche Schutzniveau besser und schneller erreichen.
Die Standardisierung des Netzwerks zeichnet sich durch drei Punkte aus:
Eine saubere Standortvernetzung
Alle Standorte werden in einem sicheren Netzwerk zusammengefasst, in einem Rechenzentrum zusammengeführt, über einen zentralen Punkt mit dem Internet verbunden und über eine Firewall geschützt. Daraus resultiert ein großer Sicherheitsgewinn: Der Break-Out ins Internet ist kontrolliert und es können nur zugelassene Verbindungen verwendet werden. Ist das nicht der Fall, benötigt man an jedem Unternehmensstandort einen eigenen Break-Out ins Internet, der separat geschützt werden muss; das ist weder sicher(er) noch wirtschaftlich. Firmen wissen um die Bedeutung der Standortvernetzung und in der Regel ist sie vorhanden - in der Form von SD WAN, EtherConnect oder MPLS.
Die sicherste Variante, weil sie die komplette Kontrolle bietet, stellt eine verschlüsselte MPLS-Verbindung dar. Unternehmen sollten außerdem die Komplexität von Firewalls nicht unterschätzen: Zwar versuchen viele Firewall-Hersteller das Leben der Kunden einfacher zu machen, indem eine Konfiguration mit wenigen Klicks erstellt werden kann. Das Thema Firewall ist aber komplex und wird sehr schnell abstrakt - gerade leistungsstarke Firewalls von Cisco, Checkpoint oder Palo Alto Networks erfordern Expertise in Sachen Netzwerkschichten (OSI-Modell), Protokollen, Ports, Routen und Paketgrößen sowie der Applikationen und ihrer Kommunikationsweise. Unternehmen brauchen dafür ein Team oder einen externen Managed Service Provider.
Ein gutes Netzkonzept und einen passenden Betreiber
Zentral ist hier die Netzwerksegmentierung und -aufteilung in verschiedene Standorte und Funktionen. Es kann sinnvoll sein, eigene Segmente für Clients (mit PC und Notebooks), Drucker, VOIP für Telefonie, IoT-Netz oder Gastnetz zu implementieren. So lässt sich der Traffic lenken und priorisieren. Gäste haben Zugang zum Internet ohne Zugriff auf das Firmennetz zu besitzen.
Die Netzwerksegmentierung ist meist gelebte und gängige Praxis, doch auch hier gilt: Professionalität geht mit Komplexität einher - und dann reicht der eigene Administrator in der Regel nicht mehr aus. Die IP-Adressbereiche müssen logisch zusammengefasst und gruppiert werden; man muss sich Gedanken über Design und Struktur machen. Wächst das Unternehmen, wird es noch komplexer: Das ist gerade bei Dienstleistern oder dem produzierenden Gewerbe zu beobachten, welche stark expandieren. Neue Standorte, Logistik oder Lagerhallen sollen in wenigen Tagen in Betrieb genommen werden. Wenn dann kein Standard im Netzdesign vorhanden ist, wie man Standorte integriert oder wie man das Netzwerk segmentiert und sicher macht, kommt die Unternehmens-IT schnell an ihre Grenzen.
Die Einführung von 802.1x, einem authentifizierungsbasierten und damit sicheren Zugang ins Netzwerk nach einem definierten Standard gemäß internationaler Definition der IEEE
Damit hat das Netzwerk eine Art Pförtner, der die Zugangskontrolle durchführt. Jedes Gerät, das ins Netzwerk will, wird überprüft. Fehlt die Berechtigung oder sind weitere Voraussetzungen nicht erfüllt, sind verschiedene Szenarien denkbar: Ein Port wird abgeschaltet, bis der Admin ihn freigibt, oder der Port schaltet automatisch um, sodass der Teilnehmer statt ins Firmennetz ins Gastnetz eingeloggt werden kann, wenn er die Berechtigung dafür hat. Die Entscheidung kann unter anderem anhand von Zertifikaten getroffen werden. Mit weiteren Methoden können zusätzliche Faktoren einbezogen werden - Hardware-Adresse, Softwarestand, aktueller Virenscanner, Verschlüsselung müssen den Compliance-Richtlinien entsprechen, bevor der Netzzugang gewährt wird. Geräten, die nicht dem Standard entsprechen, wird der Zugriff verwehrt.
Das Problem: Viele Unternehmen kennen oder können 802.1x nicht. Hinzu kommt die Heterogenität der Netzwerke mit Drucker, Telefon, PC und Notebooks, die Trennung von Gast- und Firmennetz oder die Umsetzung eines Gastnetzes über mehrere Standorte hinweg. Und 802.1x bezieht sich nicht nur auf das LAN, sondern auch auf WLAN: Dessen Netzwerkschlüssel (PSK - Pre-Shared-Key) stellt heute keine ausreichende Sicherheit mehr dar und das WLAN hört nicht am Gebäudeende auf - eventuell kann man sich vom Parkplatz vor der Tür einloggen. Deswegen ist auch hier die Einführung von 802.1x sinnvoll - auch wenn das Netz empfangen wird, wird unautorisierten Geräten der Zutritt verwehrt.Zum Video: „Du kommst hier nicht rein!“
Der Weg zum organisierten und sicheren Netzwerk
Standortvernetzung, sauberes Netzdesign und 802.1x: So entsteht ein eigenes, vollständig organisiertes, gut gemanagtes und damit sicheres Netzwerk. Das bedeutet Übersicht und Transparenz: Wer sein Netzwerk im Griff hat, weiß, was sich darin tut und wer netzwerkseitig Zugriff auf die kritischen Unternehmensressourcen (z. B. Server oder Datenbanken) hat.
Unternehmen müssen ihr Netzwerk nicht selbst sicher machen, sondern können auf Experten von Managed Service Providern zurückgreifen. Diese kennen als Spezialisten für das Netzwerk die Schwachstellen, sie wissen, wie man sie behebt, und können Standards und Prozesse zumeist leichter als die eigene IT implementieren. Damit lässt sich ein höheres Sicherheitsniveau herstellen und damit Angreifern und Hackern das Leben schwer machen.
Industriestandards sind unabdingbar
Um eine größere IT-Sicherheit zu erreichen, brauchen Unternehmen Standards - auch mit Blick auf das Netzwerk. Dazu zählen zum einen die Standortvernetzung als Grundstein von Cybersicherheit, eine darauf aufbauende Netzwerksegmentierung und einen Zugriff aufs Netzwerk, der über Network Access Control (NAC) zum Beispiel mit Zertifikaten gesteuert wird. Wer das nicht allein umsetzen kann, der greift auf professionelle Managed Service Provider und deren Netzwerkspezialisten zurück.
Mehr zum Thema Netzwerkzugang:
Missbrauch des DNS-Protokolls abwehren
Was Sie über SASE wissen sollten
Identity- und Access Management im Zero-Trust-Modell
SASE-Plattformen werden immer populärer
Wie Unternehmen ihre IT-Sicherheit erhöhen