:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/f3/53f37867628318b5374100ff9bdfdba9/0129583189v2.jpeg "Cyberkriminelle können mithilfe präparierter Client-Anfragen Remote Code im Betriebssystem von Beyondtrust Remote Support und Privileged Remote Access ausführen. (Bild: Sohail - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c3/d1c3ea28cb57ef0c781c3a2ffdb64873/0129392960v2.jpeg "Sicherheitsforschende haben eine Schwachstelle in Google Gemini entdeckt, bei der böswillige Akteure eine unauffällige Payload in eine Kalendereinladung einbetten, die es ihnen ermöglicht, die Datenschutzmaßnahmen zu umgehen und sensible Daten des Nutzers zu stehlen, ohne dass dieser interagieren muss. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/ce/5fceb535aae0ba446c45d422e7c0c740/0129495522v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Switch-basiertes Policy Enforcement
Switch based: Die optimale Lösung für NAC im LAN ist die Implementierung von Access-Switches, die eine entsprechende Authentifizierung via 802.1x und eine Zuordnung von Policies (via VLAN aber besser mit ACL und Rate Limits) unterstützt. Insbesondere aber auch in einer heterogenen Umgebung mit Non-802.1x-Endgeräten und mehreren Geräten pro Switch-Port (z.B. Voice over IP Phones und ein PC in Reihe geschaltet) sind hier mehr Optionen notwendig. Dies gilt auch für Migrationen (nicht alle Access-Switches können gleichzeitig getauscht werden) und bei der Verwendung von Fibre to the Office (Kabelkanal- oder andere Mini-Switches setzen dann auf Kupfer um, können keine Authentisierung oder nur mit erheblichem finanziellen und verwaltungstechnischem Aufwand) ein entscheidender Faktor.
Wenn man Authentisierung einführen möchte, stellt sich zunächst die Frage nach der Art und Weise des Verfahrens. Es gibt mehrere Möglichkeiten, dies zu tun. Hier ist man sehr abhängig vom verwendeten Endsystem:
- 802.1x für eigene PCs und Laptops, in Zukunft teilweise auch IP-Phones ist die präferierte Lösung
- MAC-Adresse für Drucker, IP Phones und andere Maschinen am Netz (Sicherheitskameras, Produktionssteuerungen, Sensoren etc.)
- Web-Portal für Gäste, Consultants, Service-Techniker
- Default-Eigenschaften z.B. für TFTP/Bootp, damit Diskless-Stationen booten
Weitere Alternativen wie Kerberos und Radius Snooping sollten zumindest im Rahmen einer Gesamtlösung (via Appliances) mit unterstützt werden.
Ein Switch muss optimalerweise alle o.g. Verfahren gleichzeitig pro Port unterstützen, damit man nicht den Administrationsaufwand unnötig erhöht. Ansonstes müsste bei jedem Umzug das Authentisierungsverfahren angepasst werden.
Bei der Authentisierung verschiedener Benutzer / Geräte gleichzeitig an einem Port ist natürlich davon auszugehen, dass an diesem Port dann auch unterschiedliche Gruppen-Regeln je nach Benutzer und Gerät spezifisch und gleichzeitig vorhanden sein müssen. Der PC soll z.B. andere Regeln bekommen wie das IP-Phone am selben Port. Ein Gast soll andere Regeln haben wie ein eigener Mitarbeiter etc. d.h. nach erfolgreicher Authentisierung muss eine Policy-Vergabe pro Benutzer / Gerät erfolgen.
Hierbei können mehrere „User“ pro Port mit beliebigen Authentisierungsverfahren zu völlig unterschiedlichen Policies dynamisch zugeordnet werden. Ein weiteres Augenmerk sollte auf die Art der Policies gelegt werden: Oft werden nur einfache VLAN-Policies unterstützt, innerhalb eines VLANs gibt es aber gar keine Kontrolle:
- Was passiert nun, wenn jemand einen unautorisierten DHCPServer an das VLAN anschließt (und sich mit passenden Credentials anmeldet)?
- Wie unterscheide ich hier bei einem Softphone (auf dem PC) zwischen VoIP und Datenverkehr?
- Wie kann ich eine Wurmausbreitung innerhalb eines VLANs stoppen?
Die Antwort liegt in Port-Policies (ACLs und QoS auf Layer 2-4), die auch zwischen Ports im gleichen VLAN greifen und auch Informationen von Layer 2 (VLAN/MAC Adresse) bis Layer 4 (Applikation – http, Email, VOIP) mit einbeziehen.
Seite 4: Weitere Policy-Enforcement-Optionen
(ID:2012947)
:quality(80)/p7i.vogel.de/wcms/fb/d5/fbd536153648e8539c31e91bb51dafb9/0127147008v2.jpeg "Dynamisches Risk-Management ist ein kontinuierlicher Prozess zur Identifizierung, Bewertung und Steuerung von Risiken, deren Umstände sich schnell ändern und weiterentwickeln können. (Bild: Elnur - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/f8/a8f839b6d6fc54f14228abb8e4984e8c/0123871625v2.jpeg "Ein SIEM ermöglicht einen umfassenden Einblick auf die Cybersicherheitslage eines Unternehmens und ermöglicht eine schnelle Reaktion auf Bedrohungen. (Bild: kjekol - stock.adobe.com)")