Mikrosegmentierung
Netzwerksicherheitstechnik, die Workloads granular isoliert, um laterale Bewegung von Angreifern innerhalb des Netzwerks zu verhindern.
Mikrosegmentierung unterteilt das Netzwerk in kleinste Segmente auf Workload-Ebene. Im Gegensatz zur klassischen Netzwerksegmentierung (VLANs, Subnetze) definiert Mikrosegmentierung Policies pro Anwendung oder Service — unabhängig von der physischen Netzwerkstruktur. Selbst wenn ein Angreifer ein System kompromittiert, kann er sich nicht lateral im Netzwerk bewegen.
Vorteile gegenüber klassischer Segmentierung
| Merkmal | Klassische Segmentierung (VLAN) | Mikrosegmentierung |
|---|---|---|
| Granularität | Netzwerkbereich / Subnetz | Einzelner Workload / Service |
| Kontrolle innerhalb eines Segments | Keine | Vollständig |
| Blast Radius bei Kompromittierung | Gesamtes Segment | Einzelnes System |
| Policy-Basis | IP-Adressen und Ports | Identität, Tags, Metadaten |
| Anpassung an Cloud-Umgebungen | Schwierig | Nativ unterstützt |
Klassische VLANs segmentieren nach Netzwerkbereichen — innerhalb eines VLANs gibt es keine Kontrolle. Mikrosegmentierung arbeitet auf Workload-Ebene: Jeder Server, jeder Container, jeder Service hat eigene Zugriffsregeln. Das begrenzt den Blast Radius eines Angriffs auf ein einzelnes System statt auf ein ganzes Netzwerksegment.
Mikrosegmentierung als Baustein von Zero Trust
Mikrosegmentierung ist eine der fünf Säulen einer Zero-Trust-Architektur. Während Identity und Device Trust den Zugriff auf Netzwerkebene kontrollieren, stellt Mikrosegmentierung sicher, dass auch innerhalb des Netzwerks keine unkontrollierte Kommunikation stattfindet. In der Praxis bedeutet das: Ein kompromittierter Arbeitsplatzrechner kann nicht auf den Datenbankserver zugreifen, weil die Mikrosegmentierung diese Kommunikation schlicht nicht erlaubt — selbst wenn der Angreifer gültige Zugangsdaten besitzt.
Gerade bei Ransomware-Angriffen zeigt sich der Wert dieser Architektur. Ransomware verbreitet sich typischerweise lateral über das Netzwerk und verschlüsselt alle erreichbaren Systeme. Mikrosegmentierung begrenzt die Ausbreitung auf das initial kompromittierte System und verhindert damit den flächendeckenden Schaden.
Implementierung
Mikrosegmentierung kann agentenbasiert (Software auf jedem Host), netzwerkbasiert (SDN-Controller) oder hybrid umgesetzt werden. Der erste Schritt ist immer eine Datenflussanalyse: Welche Systeme kommunizieren miteinander und über welche Ports? Daraus werden Allow-List-Policies abgeleitet — nur explizit erlaubte Kommunikation ist möglich, alles andere wird blockiert.
Die Einführung erfolgt schrittweise. Zunächst werden die Kommunikationsbeziehungen im Monitoring-Modus erfasst, ohne den Datenverkehr zu beeinflussen. Auf dieser Basis werden Policies definiert und in einem Testmodus validiert. Erst wenn die Policies stabil laufen und keine legitime Kommunikation blockieren, wird der Enforcement-Modus aktiviert. Dieser Prozess erfordert enge Zusammenarbeit zwischen Netzwerk-, Server- und Applikationsteams.
Relevanz für KMUs
Mikrosegmentierung galt lange als Technologie für Großunternehmen mit dedizierten Netzwerkteams. Mit modernen Host-basierten Lösungen, die über die Windows Firewall oder Linux iptables arbeiten, ist der Einstieg auch für KMUs realistisch. Bereits eine grundlegende Segmentierung — etwa die Trennung von Produktivsystemen, Verwaltungsnetzen und Servern für das Tiering-Modell — reduziert das Risiko einer flächendeckenden Kompromittierung erheblich. Für die Planung der zugrunde liegenden Subnetz-Architektur hilft der kostenlose Subnet-Rechner, Netzwerkbereiche und Adressräume korrekt zu berechnen.