OSI-Modell
Sieben-Schichten-Referenzmodell (ISO/IEC 7498) für die Kommunikation in offenen Systemen — bildet die konzeptionelle Grundlage für Netzwerkprotokolle, Firewalls und die schichtweise Absicherung von IT-Infrastrukturen.
Das OSI-Modell (Open Systems Interconnection) ist ein Referenzmodell der Internationalen Organisation für Normung (ISO), das die Kommunikation zwischen IT-Systemen in sieben aufeinander aufbauende Schichten unterteilt. Standardisiert als ISO/IEC 7498-1 (erstmals 1984, aktuelle Fassung 1994) und parallel als ITU-T X.200, beschreibt es keine konkreten Protokolle, sondern ein abstraktes Rahmenwerk: Jede Schicht hat eine definierte Aufgabe und stellt der darüber liegenden Schicht Dienste bereit. Obwohl in der Praxis das TCP/IP-Modell mit vier Schichten dominiert, bleibt das OSI-Modell das zentrale Kommunikationswerkzeug, wenn IT-Teams über Netzwerkarchitektur und Sicherheitsmaßnahmen sprechen.
Die sieben Schichten
| Schicht | Name | Funktion | Sicherheitsrelevante Protokolle und Konzepte |
|---|---|---|---|
| 7 | Anwendung (Application) | Schnittstelle für Anwendungen zum Netzwerk | HTTP/HTTPS, SMTP, DNS, WAF, Authentifizierung |
| 6 | Darstellung (Presentation) | Datenformate, Verschlüsselung, Kompression | TLS-Verschlüsselung, Zertifikatsvalidierung |
| 5 | Sitzung (Session) | Auf- und Abbau von Verbindungen, Sitzungsverwaltung | Session-Hijacking-Schutz, Token-Management |
| 4 | Transport | Ende-zu-Ende-Verbindung und Flusskontrolle | TCP/UDP, Portfilterung, SYN-Flood-Schutz |
| 3 | Vermittlung (Network) | Routing und logische Adressierung (IP) | IPsec, Firewalls (Paketfilter), IDS/IPS |
| 2 | Sicherung (Data Link) | Rahmenbildung und Zugriff auf das physische Medium | MAC-Filtering, 802.1X, ARP-Spoofing-Schutz |
| 1 | Bitübertragung (Physical) | Physische Signalübertragung | Physische Zutrittskontrolle, Kabelabschirmung |
Jede Schicht adressiert andere Angriffsszenarien. Ein DDoS-Angriff kann auf Schicht 3 (IP-Flooding), Schicht 4 (SYN-Flood) oder Schicht 7 (HTTP-Flood) abzielen — und erfordert jeweils unterschiedliche Abwehrmechanismen. Wer Sicherheitsmaßnahmen plant, ohne die betroffene Schicht zu kennen, verteidigt am falschen Punkt.
Sicherheitsarchitektur entlang der Schichten
Das OSI-Modell ist kein akademisches Konstrukt, sondern spiegelt die Realität moderner Sicherheitsinfrastruktur wider. Paketfilter-Firewalls arbeiten auf Schicht 3 und 4, indem sie IP-Adressen und Ports prüfen. Stateful-Inspection-Firewalls beziehen zusätzlich den Verbindungsstatus auf Schicht 4 ein. Web Application Firewalls (WAFs) analysieren den HTTP-Verkehr auf Schicht 7 und erkennen Angriffe wie SQL-Injection oder Cross-Site-Scripting. TLS verschlüsselt die Kommunikation auf Schicht 5/6, während IPsec-VPN auf Schicht 3 ansetzt. Intrusion-Detection- und Prevention-Systeme (IDS/IPS) korrelieren Daten über mehrere Schichten hinweg, um Angriffsmuster zu erkennen.
Diese Zuordnung verdeutlicht, warum Defense in Depth als Strategie funktioniert: Schutzmaßnahmen auf verschiedenen OSI-Schichten ergänzen sich gegenseitig, weil sie unterschiedliche Angriffsklassen abdecken. Eine WAF auf Schicht 7 hilft nicht gegen ARP-Spoofing auf Schicht 2 — und umgekehrt.
OSI-Modell und TCP/IP im Vergleich
In der Praxis arbeiten Netzwerke nach dem TCP/IP-Modell, das die sieben OSI-Schichten in vier zusammenfasst: Netzzugang (Schicht 1-2), Internet (Schicht 3), Transport (Schicht 4) und Anwendung (Schicht 5-7). TCP/IP beschreibt die tatsächlichen Protokolle des Internets — das OSI-Modell hingegen liefert das differenziertere Vokabular. Wenn ein Firewall-Hersteller von "Layer-7-Inspection" spricht oder ein VPN-Anbieter IPsec als "Layer-3-VPN" bezeichnet, referenziert er das OSI-Modell, nicht TCP/IP.
Relevanz für KMUs
Für IT-Verantwortliche im Mittelstand ist das OSI-Modell kein Prüfungsstoff, sondern ein praktisches Werkzeug. Wer versteht, auf welcher Schicht eine Firewall, ein IDS oder eine Mikrosegmentierung wirkt, kann Sicherheitslücken systematisch identifizieren: Gibt es Schutz auf Netzwerkebene (Schicht 3), aber keinen auf Anwendungsebene (Schicht 7)? Ist die Transportverschlüsselung (Schicht 5/6) vorhanden, aber die DNS-Auflösung (Schicht 7) ungeschützt? Das Modell hilft, blinde Flecken in der eigenen Sicherheitsarchitektur zu erkennen und Investitionen dort zu priorisieren, wo die größten Lücken bestehen.