Netzwerk
Damit ein Vorfall im Segment bleibt.
Ein flaches Netz lässt einem kompromittierten Gerät freie Bahn. Wir zerlegen gewachsene Netze technisch in kontrollierbare Segmente und Mikrosegmente, von VLAN und VRF über VXLAN/EVPN bis zur workloadnahen Mikrosegmentierung, in Etappen und rollbackfähig. Die Compliance-Sicht dazu liefern wir unter Zero Trust & Segmentierung.
Schaden eingegrenzt
- Ransomware bleibt im betroffenen Segment
- Seitliche Ausbreitung wird strukturell begrenzt
Ohne Produktivausfall
- Migration in Wartungsfenstern
- Jeder Schritt einzeln rollbackfähig
Nachvollziehbar
- Policies versioniert in Git
- Übergänge geloggt fürs SIEM
Selbst-Check
Wann ein flaches Netz zur Schwachstelle wird.
Liegen Produktion, Gäste und Verwaltung im selben Netz? Diese Punkte sprechen für klare Segmente.
- Office, Server und Produktion liegen im selben flachen VLAN.
- Ein kompromittiertes Gerät könnte sich heute frei im Netz bewegen.
- Sensible Anwendungen wie Buchhaltung oder HR sind nicht isoliert.
- IoT- und Gebäudetechnik hängen ungetrennt am Office-Netz.
- Für NIS2 oder den Versicherer fehlt der Nachweis struktureller Trennung.
Lösungsansätze
Drei Wege, ein Netz zu zerlegen.
Welcher Weg passt, hängt von Größe, Bestand und Schutzbedarf ab. Häufig greifen mehrere ineinander: klassische Zonen als Basis, eine Fabric zum Skalieren, Mikrosegmente dort, wo das Risiko hoch ist.
VLAN- & VRF-Segmentierung
Klassische Zonen mit Layer-3-Übergängen und Firewall dazwischen: solide, gut betreibbare Basis für die meisten Standorte.
VXLAN/EVPN-Fabric
Segmentierung, die über Etagen, Gebäude und ins Datacenter skaliert, mit konsistenten Zonen über Standorte hinweg.
Mikrosegmentierung
Trennung bis auf Workload- oder Anwendungsebene, dort wo das Risiko es verlangt. An Segmentgrenzen wird per Firewall-Policy gefiltert; am Switch über ACLs oder gruppenbasierte Filterung. Wo Workloads auf Hypervisoren laufen, ergänzen wir host- und hypervisornahe Enforcement-Punkte.
Weitere Bausteine
Segmentierung lebt von sauberer Umsetzung.
Verkehrsanalyse
Welcher Verkehr wirklich wohin läuft, als ehrliche Grundlage vor jeder Regel.
Policy-Enforcement (ACL / Group-Based Policy)
Policy-basierte Filterung an Übergängen: klassisch per ACL oder gruppenbasiert, ohne lange, fehleranfällige ACL-Listen.
Inspektion (OPNsense / Suricata)
Zentrale Übergänge mit Deep Inspection und IDS/IPS.
Policy as Code
Firewall- und Switch-Regelwerk sowie NAC-Policies versioniert in Git, prüfbar vor dem Ausrollen.
OT-/IoT-Kapselung
Nicht patchbare Anlagen in eigene, eng kontrollierte Zonen nach dem Zonen- und Konduit-Modell der IEC 62443.
MACsec (IEEE 802.1AE)
Hop-by-hop-Verschlüsselung und Integritätssicherung auf Layer 2 zwischen Segmenten: sinnvoll für Datacenter-Ost-West, Campus-Backbone und geteilte Medien, wenn die beteiligten Geräte MACsec unterstützen.
SIEM-Anbindung
Übergänge und Blocks geloggt, damit die Trennung belegbar wird.
OT & Produktion
OT-Segmentierung braucht einen strukturierten Rahmen.
Produktionsanlagen lassen sich oft nicht patchen. Wer sie mit dem Office-Netz verbindet, schafft ein Risiko, das sich mit einer einfachen Firewall nicht auflösen lässt. Die Frage ist nicht nur, ob getrennt wird, sondern wie die Trennung strukturiert, dokumentiert und verteidigt werden kann.
Zonen- und Konduit-Modell (IEC 62443)
IEC 62443 (insbesondere 62443-3-2 für Risikobewertung und Design sowie 62443-3-3 für Systemanforderungen) strukturiert OT-Netze in Sicherheitszonen und Kommunikationspfade (Konduite) mit definierten Security Levels (SL 1 bis 4) je Zone. In der EU ist dieser Rahmen von Auditoren und Versicherern anerkannt.
Nicht patchbare Anlagen strukturiert kapseln
Das Zonen-Modell hilft, Anlagen nach Kritikalität und Patchbarkeit zu gruppieren und Übergänge so zu gestalten, dass ein Vorfall in einer Zone die anderen nicht erreicht. Wir orientieren uns bei OT-Projekten an IEC 62443, ohne ein Zertifizierungsversprechen zu machen.
Wann das relevant wird
Relevant vor allem bei Produktions- und OT-Umgebungen, die unter NIS2 fallen oder deren Versicherungsverträge strukturierte Trennung voraussetzen. Ein Zonenkonzept nach IEC 62443 gibt der Dokumentation eine anerkannte Grundlage.
Vorgehen
Vom flachen Netz zur kontrollierten Trennung.
Verkehr verstehen
Flows, Abhängigkeiten und Schutzbedarf erfassen, statt blind zu trennen.
Segment-Konzept
Zonen, Mikrosegmente und Übergangsregeln entwerfen.
Etappen & Rollback
Migration in Wartungsfenstern mit rollbackfähigen Schritten planen.
Filtern & migrieren
VLAN/VRF, VXLAN/EVPN oder Mikrosegmentierung umsetzen.
Logging & Verifikation
Übergänge ins SIEM, Policies in Git. Wirksamkeit nicht nur loggen, sondern aktiv verifizieren: den durchgesetzten Ist-Zustand gegen das Soll-Konzept prüfen, Policy-Drift erkennen und Konfigurationsanalysen regelmäßig ausführen. NIS2 verlangt ohnehin, technische Maßnahmen regelmäßig auf Wirksamkeit zu prüfen, Segmentierung gehört dazu.
Verkehr verstehen
Flows, Abhängigkeiten und Schutzbedarf erfassen, statt blind zu trennen.
Segment-Konzept
Zonen, Mikrosegmente und Übergangsregeln entwerfen.
Etappen & Rollback
Migration in Wartungsfenstern mit rollbackfähigen Schritten planen.
Filtern & migrieren
VLAN/VRF, VXLAN/EVPN oder Mikrosegmentierung umsetzen.
Logging & Verifikation
Übergänge ins SIEM, Policies in Git. Wirksamkeit nicht nur loggen, sondern aktiv verifizieren: den durchgesetzten Ist-Zustand gegen das Soll-Konzept prüfen, Policy-Drift erkennen und Konfigurationsanalysen regelmäßig ausführen. NIS2 verlangt ohnehin, technische Maßnahmen regelmäßig auf Wirksamkeit zu prüfen, Segmentierung gehört dazu.
Technische Bausteine
Womit wir trennen und nachweisen.
Eine Auswahl der Bausteine, die wir zum Beispiel einsetzen.
Segmentierung
Firewall & Inspektion
Switching
Policy as Code
Zugang
Nachweis
Aus der Praxis
Wofür Trennung im Ernstfall sorgt.
Ransomware-Eindämmung
Die seitliche Ausbreitung strukturell stoppen.
Sensible Bereiche
Buchhaltung und HR in eigene Mikrosegmente legen.
OT / Produktion
Das Maschinennetz vom Office sauber trennen, strukturiert nach dem Zonen- und Konduit-Modell der IEC 62443.
IoT & Gebäudetechnik
Kameras und Building-Management isolieren.
NIS2-Nachweis
Strukturelle Trennung prüffähig belegen.
Bevor sich der nächste Vorfall ausbreitet
Fragen zur Segmentierung.
Antworten auf typische Fragen zu Migration ohne Ausfall, Hardware-Bedarf, Abgrenzung zu Zero Trust, Granularität, Nachweis und Gerätezuweisung.
Segmentierung planenJa. Wir migrieren in Etappen innerhalb von Wartungsfenstern, jeder Schritt ist rollbackfähig und bestehende Verbindungen bleiben erhalten. So entsteht die Trennung schrittweise, ohne den laufenden Betrieb zu unterbrechen.
Oft nicht. Vorhandene Switches mit VLAN- und VRF-Fähigkeit, ergänzt um eine zentrale Firewall an den Übergängen, reichen für viele Setups. Für policy-basierte Filterung direkt am Switch prüfen wir, ob die vorhandene Hardware ACLs oder Group-Based Policy unterstützt. Wo etwas fehlt, benennen wir es offen und planen den Austausch gezielt.
Netzsegmentierung ist ein technischer Baustein, der Bereiche im Netz voneinander trennt und Übergänge kontrolliert. Zero Trust ist ein weitergehendes Sicherheitsmodell nach dem Prinzip "never trust, always verify": Es prüft kontinuierlich Identität, Gerätezustand und Kontext, unabhängig vom Netzstandort des Nutzers oder Geräts (NIST SP 800-207). Segmentierung ist eine notwendige technische Grundlage von Zero Trust, aber nicht das ganze Modell. Wie beides zusammengehört, beschreiben wir auf der Zero-Trust-Seite im Bereich IT-Sicherheit.
Risikobasiert. Nicht jedes System braucht ein eigenes Mikrosegment, kritische Anwendungen, OT und sensible Daten dagegen schon. Wir trennen dort fein, wo der Schaden im Ernstfall groß wäre, und halten den Rest betreibbar.
Aus versionierten Policies in Git und protokollierten Übergängen im SIEM, typisch Wazuh und OpenSearch, entsteht ein Audit-Trail. Damit lässt sich gegenüber Prüfern und Versicherern zeigen, dass die Trennung nicht nur geplant, sondern wirksam ist. Zusätzlich empfehlen wir eine aktive Verifikation: den durchgesetzten Ist-Zustand gegen das Soll-Konzept prüfen, nicht nur loggen. Mit Werkzeugen wie Batfish lassen sich Netzkonfigurationen und Erreichbarkeitsregeln analysieren, ohne direkten Gerätezugriff. Wer unter NIS2 fällt, muss technische Maßnahmen regelmäßig auf Wirksamkeit prüfen, Segmentierung gehört dazu. Mikrosegmentierung ist ein fortlaufender Prozess, kein einmaliges Projekt.
Das entscheidet die Netzzugangskontrolle (NAC, Network Access Control): Per 802.1X-Authentifizierung weist ein RADIUS-Server dem Gerät beim Verbinden ein VLAN zu, je nach Identität und Gerätezustand. Geräte ohne 802.1X-Unterstützung lassen sich über MAC Authentication Bypass (MAB) in kontrollierte Segmente leiten. Damit ist die VLAN-Zuweisung nicht mehr statisch am Port, sondern dynamisch und richtliniengesteuert. Details dazu beschreiben wir auf der Seite zur Netzzugangskontrolle (NAC).
Der nächste Schritt
Klären wir, wie sich Ihr Netz sicher zerlegen lässt.
Wir analysieren die Verkehrsflüsse, entwerfen ein Segment-Konzept und setzen die Trennung in rollbackfähigen Etappen um, ohne Produktivausfall.