Network Security
Konzeptuelle Übersicht zu Maßnahmen, Architekturen und Praktiken zum Schutz von Netzwerken, Systemen und Daten.
Klassifikation
- KomplexitätHoch
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Unentdeckte lateral Bewegungen trotz Perimeterschutz
- Schwach konfigurierte Dienste als Einfallstor
- Veraltete Firmware oder ungerempatchte Systeme
- Regelmäßige Risiko- und Konfigurationsbewertungen
- Automatisiertes Monitoring und Alarmierung
- Playbooks für häufige Vorfälle und regelmäßige Übungen
I/O & Ressourcen
- Netzwerk- und Asset-Inventar
- Sicherheitsrichtlinien und Compliance-Vorgaben
- Monitoring- und Log-Daten
- Regelwerke und Konfigurations-Templates
- Überwachungs- und Alarmierungsregeln
- Incident-Response- und Wiederherstellungspläne
Beschreibung
Network Security schützt Netzwerke, Systeme und Daten vor unerlaubtem Zugriff, Manipulation und Missbrauch durch technische Maßnahmen, Monitoring und organisatorische Richtlinien. Es umfasst Perimeter- und Host-Schutz, Zugangskontrollen, Verschlüsselung, Netzwerksegmentierung sowie Erkennung und Reaktion auf Vorfälle. Ziel ist Vertraulichkeit, Integrität und Verfügbarkeit kritischer Dienste.
✔Vorteile
- Reduzierte Angriffsfläche durch Segmentierung und Kontrollen
- Schnellere Erkennung und Reaktion auf Sicherheitsvorfälle
- Bessere Erfüllung von Compliance- und Audit-Anforderungen
✖Limitationen
- Komplexität steigt mit der Anzahl der Zonen und Regeln
- Fehlkonfigurationen können legitimen Zugriff blockieren
- Vollständigen Schutz gibt es nicht; Rest-Risiken bleiben
Trade-offs
Metriken
- Mean Time to Detect (MTTD)
Durchschnittliche Zeitspanne zwischen Vorfallbeginn und Erkennung.
- Mean Time to Respond (MTTR)
Durchschnittliche Zeit bis zur erfolgreichen Eindämmung und Wiederherstellung.
- Anteil verschlüsselter Verbindungen
Prozentsatz des Netzwerkverkehrs, der mit akzeptierten Verschlüsselungsverfahren geschützt ist.
Beispiele & Implementierungen
Firewall-Deployment in Filialnetzwerken
Einsatz stateful Firewalls und standardisierter Regelwerke zur Absicherung von Filialnetzen gegenüber dem Internet.
Zero-Trust-Segmentierung im Unternehmensnetz
Mikrosegmentierung kombiniert mit strenger Authentifizierung für interne Dienste, um laterale Bewegung zu erschweren.
VPN-Architektur für Heimarbeitsplätze
Zentrales VPN mit Multi-Faktor-Authentifizierung, Endpunkt-Assessment und Protokollierung sensibler Zugriffe.
Implementierungsschritte
Bestandsaufnahme, Risikobewertung und Zieldefinition.
Design: Zonenmodell, Zugangskontrollen und Monitoring-Architektur.
Implementierung: Konfiguration von Firewalls, Segmentierung und Logging.
Test, Betriebseinführung und kontinuierliche Verbesserung.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Alte ACLs und komplexe Regeln ohne Dokumentation
- Veraltete Sicherheitsgeräte mit limitiertem Support
- Mangelnde Automatisierung für Konfigurationsprüfungen
Bekannte Engpässe
Beispiele für Missbrauch
- Alle Zugriffe über ein zentrales Gerät ohne Redundanz leiten
- Firewall-Regeln offen lassen statt least-privilege umzusetzen
- Logs nicht zentral sammeln und auswerten
Typische Fallen
- Überschätzung der Effektivität einzelner Controls
- Unzureichende Updates und Patch-Management
- Ignorieren von Benutzer- und Betriebsanforderungen
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Heterogene Netzwerkgeräte und Hersteller
- • Betriebszeiten mit minimaler Unterbrechung
- • Rechtliche und datenschutzrechtliche Vorgaben