Hacker finden ständig Wege, um an Sicherheitslösungen vorbei in Netzwerke einzudringen, um Unternehmen zu erpressen oder lahmzulegen. Folglich besteht Prävention nicht nur aus Sicherheits-Software, sondern ebenso aus der klugen Strukturierung des eigenen Netzwerks, um die Angriffsfläche zu verkleinern.
Früher war es schwierig ein Netzwerk in kleine Segmente zu teilen, weil viel Aufwand und menschliche Arbeit notwendig waren. Heute wird das durch Lösungen zur Automatisierung der Verwaltung und Überwachung der Vorgänge im Netzwerk erleichtert.
(Bild: xiaoliangge - stock.adobe.com)
Mikro-Segmentierung und allgemeine Segmentierung des Netzwerks bedeutet, dass man sein Netzwerk in Bereiche teilt, worin die Kommunikation getrennt abläuft und an deren Grenzen Sicherheitsrichtlinien und Sicherheitslösungen, wie Firewalls, den Datenfluß kontrollieren. Sind die so entstanden Segmente sehr klein, spricht man von der Mikro-Segmentierung. Wenn nun ein Bereich von einem Angriff betroffen ist, so wird der Angreifer bei schneller – automatisierter – Reaktion darin eingesperrt und man kann dadurch verhindern, dass sich die Attacke auf andere Gebiete erstreckt. Dies ist besonders effektiv gegen Ransomware einsetzbar.
Schutz gegen Ransomware
Ransomware hat sich in den letzten Jahren zur Mode unter den Malware-Aktivitäten gemausert. Dabei wird ein Computer mit einer Verschlüsselungs-Software infiziert, die sich von diesem ausgehend im Netzwerk verbreitet. Am Ende steht die Lösegeldforderung. Es gibt verschiedene Wege, um sich gegen Angriffe dieser Art zu schützen. Einer der besten ist die Segmentierung des Netzwerkes. Erfolgt dann ein Ransomware-Angriff gegen ein Segment, so bleibt der Angriff innerhalb von diesem stecken und kann sich, auf der Suche nach den wertvollsten Dateien, nicht verbreiten – also im Netzwerk hin- und herspringen oder seitlich (lateral) bewegen – wodurch großer Schaden abgewandt wird, obwohl die Verteidigungslinie der Sicherheitslösungen durchbrochen wurde.
Verbindung zu Zero Trust
Zero Trust beschreibt ein Konzept, wie man über IT-Sicherheit denken kann: Es wird grundsätzlich niemandem vertraut, ob Benutzer oder Gerät. Zugangsrechte werden nur jenen erteilt, die sie wirklich benötigen – und in eben diesem Umfang. Keiner sieht das gesamte Netzwerk. Ein automatisierter Mechanismus zur Durchsetzung der Zero-Trust-Sicherheitsregeln sollte sich auf der Netzwerkebene befinden, der keine Verbindungen zulässt, die nicht für kritische Anwendung notwendig sind. Hier kommen die Segmentierung und Mikro-Segmentierung ins Spiel: Sie stellen die optimale Architektur dar, um dieses Konzept der Unsichtbarkeit des Netzwerks wirklich umzusetzen.
Einfluss fortschreitender Technologie
IT-Technologie ändert die Weise, wie Mikro-Segmentierung eingesetzt wird. Früher war es schwierig ein Netzwerk in kleine Segmente zu teilen, weil viel Aufwand und menschliche Arbeit notwendig waren. Daher sind wenige Unternehmen diesen Weg gegangen. Heutzutage wird das Projekt jedoch durch fortschrittliche Produkte zur Automatisierung der Verwaltung und Überwachung der Vorgänge im Netzwerk erleichtert, insbesondere im Bereich der Cloud-Technologie. Diese nutzen Filterfunktionen, um das Netzwerk in beliebigem Grad zu segmentieren. Dabei muss man sich nicht um Änderungen an der Verkabelung, Verdrahtung und Streckenführung, sorgen, weil sich alles im Netzwerk auf der digitalen Ebene abspielt.
Segmentierung mit Agenten als Alternative
Neben der bereits genannten Möglichkeit der auf dem Netzwerk basierten Segmentierung gibt es die Alternative der auf Agenten basierten Teilung. Die Idee lautet, dass der Anbieter des Produkts seinen Agenten in jedem Computer und Server der IT-Umgebung platziert. Dieser Agent ist in der Lage, die Verbindungen, die zum jeweiligen Host fließen oder von ihm weg, zu kontrollieren und die Regeln durchsetzen. Die Anbieter verfügen über eine zentrale Verwaltungseinrichtung, sodass man als Kunde seine Richtlinie nur einmal schreiben muss und das System diese dann allen Agenten bereitstellt. Dadurch wird jeder Agent konfiguriert, die Richtlinie zu befolgen. Es ist eine andere Technologie, bei der nicht im Netzwerk sondern in jedem einzelnen Host agiert wird, doch beide Ansätze verfolgen dasselbe Ziel. Sie schließen sich nicht aus. Man kann beide Ideen zusammen oder allein verwenden.
Container und Kubernetes
Innerhalb eines nach der Software definierten Netzwerks kann man zusätzlich eine Kubernetes-Umgebung festlegen und erhält so ein Netzwerk innerhalb eines Netzwerks. Es gibt dabei Container, die im Inneren der Kubernetes-Cluster laufen. Jeder davon ist wie ein Mini-Computer zu betrachten. Innerhalb der Cluster sowie auf dem Weg von innerhalb nach außen herrscht ständig Konnektivität. Wenn man diese Art der Technologie unterstützt, erhält man einen weiteren Bereich, in dem eine Richtlinie eingeführt werden kann. Kubernetes besitzt zudem eine integrierte Funktionalität, die Filterung ermöglicht. Es gibt auch Programme, mit deren Hilfe diese Filter an der Grenze zwischen einem Cluster und einem anderen eingesetzt werden können. Für einen besonders hohen Grad an Segmentierung könnten die Fachleute sogar mit einer auf Agenten basierten Lösung einen solchen Agenten in jedem Container platzieren, wodurch sie Mikro-Segmentierung sogar innerhalb jedes Clusters erwirken.
Vereinbarkeit von Segmentierung und Rechenzentrum
Da viele Firmen weiterhin ein Rechenzentrum nutzen, ist es sehr von Vorteil, dass sie dennoch eine Segmentierung einsetzen können, um dieses in mehrere Ebenen zu gliedern. Der Ablauf ist etwas anders: Man könnte zunächst eine Makro-Segmentierung vornehmen und dann innerhalb der entstandenen Makro-Zonen nun Mikro-Zonen schaffen. Es ist eine sehr gute Idee, dabei eine hybride IT-Umgebung einzuführen, da man so die Vorteile der verschiedenen Technologien erntet.
Mit Sinn und Verstand herangehen
Man darf bei der Umsetzung jeder Art von IT-Projekt nicht dem Irrtum erliegen, dass man die zugehörige Technologie in Form von Produkten nur kaufen muss und es damit getan ist. Die richtige Lösung zu wählen ist lediglich der erste Schritt. Nach dieser Entscheidung muss man die Produkte konfigurieren. Zum Beispiel wird bei der Segmentierung eine eigene Richtlinie benötigt, die festlegt, wo eine Konnektivität erlaubt ist. Ebenso müssen die spezifischen Prozesse, Ports und Dienste in der Richtlinie festgehalten werden, wobei auch explizit zu erwähnen ist, dass die Regel nur die dort niedergeschrieben betrifft. Dies ist von entscheidender Bedeutung zur Gewährleistung einer kontinuierlichen Anwendungskonnektivität, sobald eine Änderung stattfindet, damit die Mikro-Segmentierung nicht zerstört wird. Bei diesem Prozess der Untersuchung aller Verbindungen und Festlegung entsprechender Richtlinien spielt eine Automatisierung, die den dünn gesäten Fachkräften unter die Arme greift, ihre Stärken aus. Somit ist die Segmentierung sehr lohnendes Projekt, das aber Planung, Fachwissen und Absprache verlangt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Professor Avishai Wool ist CTO und Mitgründer von AlgoSec.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/13/82/13820e4aae220a31b634479882c189ed/0125189366v2.jpeg "Mikrosegmentierung ist eine Sicherheitsmethode zur präzisen Steuerung und Kontrolle des Netzwerksverkehrs, durch Unterteilung von Netzwerken in kleine, isolierte Bereiche.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/0e/45/0e4529642f3eaa1842f94914597483f9/0125189372v2.jpeg "Container-Sicherheit hat die Absicherung containerisierter Anwendungen und ihrer Infrastruktur zum Ziel. (Bild: gemeinfrei)")