Zum Hauptinhalt springen
Informationssicherheit / NIS2

Netzwerksegmentierung

Netzwerksegmentierung ist die Aufteilung eines IT-Netzes in voneinander abgegrenzte Zonen, um den Datenverkehr zu kontrollieren und die Ausbreitung von Angriffen einzudämmen.

Netzwerksegmentierung bezeichnet die logische oder physische Unterteilung eines Unternehmensnetzes in mehrere abgegrenzte Teilnetze (Segmente, Zonen oder VLANs), zwischen denen der Datenverkehr gezielt durch Firewalls, Access Control Lists oder Routing-Regeln gesteuert wird. Ziel ist es, die Kommunikation auf das fachlich Notwendige zu beschränken und so die Angriffsfläche zu verkleinern. Klassisch werden externe, demilitarisierte (DMZ) und interne Zonen sowie besonders schutzbedürftige Bereiche wie Produktions-, Verwaltungs- oder Backup-Netze getrennt.

Der wesentliche Sicherheitsgewinn liegt in der Eindämmung (Containment): Gelingt es einem Angreifer, ein System zu kompromittieren, verhindert eine konsequente Segmentierung die ungehinderte seitliche Ausbreitung (Lateral Movement) im Netz. Schadsoftware wie Ransomware kann so auf ein Segment begrenzt werden, anstatt sich unternehmensweit auszubreiten. In modernen Architekturen wird das Prinzip bis zur Mikrosegmentierung verfeinert, bei der einzelne Workloads oder Anwendungen voneinander isoliert werden, und es bildet eine technische Grundlage des Zero-Trust-Ansatzes.

Aus Compliance-Sicht ist Netzwerksegmentierung eine zentrale technische Maßnahme im Rahmen der Risikobehandlung. Die NIS2-Richtlinie und ihre nationale Umsetzung verpflichten besonders wichtige und wichtige Einrichtungen zu angemessenen technischen Maßnahmen zur Netz- und Informationssicherheit; der BSI IT-Grundschutz adressiert Segmentierung in den Bausteinen zur Netzarchitektur (NET-Schicht) und ISO/IEC 27001 verlangt im Anhang A die Trennung von Diensten und Netzen. Die konkrete Ausprägung muss sich aus der Schutzbedarfsfeststellung und Risikobewertung ableiten und in der Sicherheitsrichtlinie dokumentiert sein.

Rechtliche Grundlage

Art. 21 Abs. 2 NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001 Anhang A 8.20-8.22; BSI IT-Grundschutz Baustein NET.1.1 (Netzarchitektur und -design)

Praxisbeispiel

Ein mittelständischer Maschinenbauer trennt nach einem Ransomware-Vorfall sein flaches Netz in klar abgegrenzte Zonen: ein Client-Netz für Büroarbeitsplätze, ein isoliertes OT-Netz für die Produktionsanlagen, eine DMZ für extern erreichbare Dienste sowie ein streng abgeschottetes Backup-Segment, das nur einseitig beschrieben werden kann. Der oder die Informationssicherheitsbeauftragte definiert je Übergang Firewall-Regeln nach dem Least-Privilege-Prinzip und dokumentiert die Zonierung in der Sicherheitsrichtlinie. Beim nächsten Penetrationstest weist das Prüfteam nach, dass ein kompromittierter Büro-PC keinen direkten Zugriff mehr auf Steuerungssysteme oder Sicherungsdaten erhält.

Häufige Fragen

Klassische Segmentierung trennt Netze grob in Zonen wie Client-, Server- oder DMZ-Bereiche, meist über VLANs und Firewalls. Mikrosegmentierung verfeinert dieses Prinzip bis auf die Ebene einzelner Workloads oder Anwendungen und isoliert diese auch innerhalb derselben Zone. Sie ist ein Kernbaustein von Zero-Trust-Architekturen.
Die NIS2-Richtlinie nennt Segmentierung nicht namentlich, verlangt aber in Art. 21 angemessene und risikobasierte technische Maßnahmen zur Netz- und Informationssicherheit. Segmentierung gilt als Stand der Technik zur Eindämmung von Angriffen und ist daher für betroffene Einrichtungen in der Praxis kaum verzichtbar.
Eine saubere Segmentierung begrenzt die seitliche Ausbreitung (Lateral Movement) von Schadsoftware. Wird ein System infiziert, kann Ransomware nicht ungehindert auf andere Bereiche übergreifen, sondern bleibt im Idealfall auf ein Segment beschränkt. Besonders ein isoliertes Backup-Segment schützt die Wiederherstellungsfähigkeit.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Zero-Trust-Architektur Firewall Ransomware BSI IT-Grundschutz Systemhärtung
Zurück zum Glossar