[Teil 4] Cybersecurity – Das Netzwerk

Über unsere Computer-Netzwerke sind heute alle Geräte verbunden. Die Netzwerke basieren entweder auf Kabeln, vom Seekabel bis hin zur Vernetzung von Arbeitsplätzen, oder  aus Funknetzwerken.

Netzwerke aus Kabeln

Bei Kabeln unterscheidet man grob zwischen Kupfer- und Glasfaserkabeln. Beide werden in unterschiedlicher Qualität und Güte angeboten, aber das ist hier jetzt nicht wichtig. Grundsätzlich gilt, dass Glasfaserkabel größere Strecken überwinden und höhere Bandbreiten transportieren können als Kupferkabel, aber teurer sind. In industriellen Umgebungen mit elektrischen oder magnetischen Feldern können Glasfaser eingesetzt werden, um Störungen in Kupferleitungen zu umgehen.

Kabel abzuhören ist möglich, aber aufwändig. In Bürogebäuden verlaufen die Kabel häufig zwischen den Etagen über Kabelschächte, die ein Unternehmen nicht kontrollieren kann. Ob ein Schacht in einer Etage geöffnet wird, sieht man nicht. Daher ist auch für die Kommunikation über Kabel eine gute Verschlüsselung wichtig.

Funknetzwerk

Bei Funknetzwerken unterscheiden wir zwischen Wireless LAN (WLAN) und Mobilfunk (GSM, 3G, 4G, 5G). Bei beiden Technologien werden die Daten mit Funkwellen übermittelt. Und hier ist auch ein entscheidender Unterschied zu Kabeln. Funkwellen breiten sich im Raum aus, je nach Antenne wie eine Kugel oder gerichtet. Aber es kann nicht kontrolliert werden, wer die Wellen empfängt. Und nur weil unsere Geräte des täglichen Gebrauches die Verbindung bei schwachem Signal verlieren, heißt das nicht, dass nicht Angreifer mit empfindlichen Antennen auch aus großer Entfernung unsere Signale empfangen können.

Funknetzwerke lassen sich leicht abhören, was technisch nicht zu verhindern ist. Daher müssen die Daten in Funknetzwerken immer verschlüsselt sein. So können die Signale zwar gelesen aber nicht entschlüsselt werden.

WLAN

Aus Sicht der Cybersecurity ist WLAN die Technologie, die ein Unternehmen gut steuern kann. Mobilfunk ist entweder vorhanden oder nicht, je nach Position der Sendemasten und der Struktur eines Gebäudes. Bei WLAN kontrollieren wir die Position der Accesspoints, und damit auch die Aussendung der Signale in Richtung und Stärke.

Grundsätzlich gilt, dass Accesspoints in das Gebäude hinein und nicht auf die Straße senden sollten. Bei modernen Accesspoints kann die Signalstärke angepasst werden. So kann verhindert werden, dass zu viele Signale das Gebäude verlassen, ohne das die Qualität des WLAN im Inneren leidet. Eine gute Ausleuchtung der Räume vor der Installation der WLAN-Accesspoints ist daher wichtig.

Netzwerkdesign

Ein gutes Netzwerkdesign kann zwar nicht die Infektion eines Rechners mit einem Virus / einer Ransomware verhindern, aber die Ausbreitung über die ganz Organisation kann mindestens erschwert werden. So wird der Schaden minimiert und die Infektion bleibt lokal und kontrollierbar. Wo also liegt das Problem?

Die Netzwerke, an die die Arbeitsplätze der Mitarbeiter angeschlossen sind, sind häufig zu groß. Bis zu 2.000 Arbeitsplätze werden in einem Netzwerk zusammengefasst. Es gibt keine Schranken in so einem großen Netzwerk. Wenn dann neben Computern weitere Geräte wie Drucker oder Fileserver in dem Netzwerk stehen, hat der Angreifer leichtes Spiel. Es gibt einfach keine Grenzen, die Schutz bieten würden.

Wie trägt gutes Netzwerkdesign zur Sicherheit bei? Das Netzwerk muss in seine Einzelteile zerlegt, oder segmentiert werden. Drucker gehören in ein eigenes Netzwerk. Fileserver sollen ebenfalls aus dem Büronetzwerk entfernt werden. Auch Geräte wie Kameras, Türöffner und Alarmanlagen müssen isoliert werden. So können Gruppen von Geräten einzeln geschützt und andere Gruppen vor diesen Geräten geschützt werden.

Die Arbeitsplätze können entweder nach Funktion oder Ort in Gruppen gefasst werden. Je eine Etage wäre eine Einheit, oder ein Teil der Etage. Eine Gruppierung nach Funktion würde die Abteilung Marketing von der Buchhaltung trennen. Und warum sollte der Empfang im gleichen Netzwerk arbeiten wie die Entwicklungsabteilung?

Wenn Netzwerke getrennt werden, ergeben sich zwei unmittelbare Vorteile. Angriffe, die nur innerhalb eines Netzwerkes funktionieren, wirken sich auf weniger Ziele aus. Und an den Netzwerkgrenzen können Filter und Firewalls eingesetzt werden, die unerwünschte Datenpakete löschen.

Mikrosegmentierung

Wenn der Gedanke der Segmentierung noch weiter vorangetrieben wird, kommen wir zu Mikrosegmentierung. Aus dem Design von Rechenzentren ist dieser Gedanke bereits bekannt. Die Idee muss nur auf die Arbeitsplätze übertragen werden.

Wenn jeder Arbeitsplatz, jeder Drucker und jede Kamera in einem Netzwerk für sich isoliert läuft, kann auch jedes Gerät einzeln geschützt werden. Der Schutz kann viel individueller erfolgen, als wenn eine Gruppe von Geräten pauschal abgesichert wird.

Diese granulare Netzwerksegmentierung stellt die IT-Organisation vor große Herausforderungen. Es ist eine Abkehr von liebgewonnenen Gewohnheiten.

Der Übergang zu IPv6 ist eine Chance das Netzwerk für die Arbeitsplätze radikal zu ändern. Bei IPv6 stehen genug IPv6-Adressen zur Verfügung, um jedem Arbeitsplatz ein Netzwerk zuzuweisen. Details können unter

IPv6 in Enterprise Client Networks | RIPE Labs https://labs.ripe.net/author/wilhelm_boeddinghaus/ipv6-in-enterprise-client-networks/

nachgelesen werden.

Sprechen Sie uns zu den Themen Cybersecurity und IPv6 an.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen