2026-03-08
By Emre SalmanogluNetzwerksicherheit: Der umfassende Leitfaden für Compliance- und Sicherheitsteams
Erfahren Sie, wie Sie Netzwerksicherheitskontrollen implementieren, die ISO 27001, SOC 2, NIS2 und DORA erfüllen. Behandelt Firewalls, Segmentierung, IDS/IPS, VPN, DNS-Sicherheit und Compliance-Nachweise.
Netzwerksicherheit
Firewalls
Netzwerksegmentierung
IDS/IPS
Compliance
Was ist Netzwerksicherheit?
Netzwerksicherheit ist die Disziplin des Schutzes der Netzwerkinfrastruktur einer Organisation, der darüber übertragenen Daten und der damit verbundenen Ressourcen. Sie umfasst die Technologien, Richtlinien und Praktiken, die unbefugten Zugriff verhindern, Bedrohungen erkennen und die Integrität sowie Verfügbarkeit von Netzwerkdiensten sicherstellen.
Moderne Netzwerksicherheit hat sich über das Castle-and-Moat-Modell hinaus entwickelt. Der heutige Ansatz kombiniert Perimeterkontrollen, interne Segmentierung, verschlüsselte Kommunikation, kontinuierliche Überwachung und Zero-Trust-Prinzipien zum Schutz zunehmend verteilter und Cloud-hybrider Umgebungen.
Netzwerksicherheits-Kontrollebenen
| Ebene | Kontrollen | Zweck |
|---|---|---|
| Perimeter | Next-Gen-Firewalls, WAF, DDoS-Schutz, E-Mail-Gateways | Externe Bedrohungen an der Grenze blockieren |
| Segmentierung | VLANs, Mikrosegmentierung, Security Groups, NACLs | Laterale Bewegung und Explosionsradius begrenzen |
| Zugriffskontrolle | NAC, 802.1X, VPN, ZTNA | Kontrollieren, wer und was sich mit dem Netzwerk verbindet |
| Verschlüsselung | TLS/mTLS, IPsec VPN, WPA3 | Daten bei der Übertragung schützen |
| Überwachung | IDS/IPS, NetFlow, Paketerfassung, DNS-Logging | Bedrohungen und Anomalien erkennen |
| Management | Konfigurationsmanagement, Change Control, Dokumentation | Sicherheitslage und Auditnachweise aufrechterhalten |
Firewall-Evolution
| Generation | Technologie | Fähigkeiten | Einschränkungen |
|---|---|---|---|
| Paketfilter | Zustandslose ACLs | Port-/IP-basiertes Filtering | Keine Session-Awareness |
| Stateful Inspection | Verbindungsverfolgung | Session-bewusstes Filtering | Keine Application Awareness |
| NGFW | Deep Packet Inspection | Anwendungs-, Benutzer- und Inhalts-Awareness | Performance-Einbußen durch DPI |
| Cloud-native Firewall | Service-native Kontrollen | API-gesteuert, auto-skalierend, integriert | Anbieter-spezifisch, begrenzt Cross-Cloud |
| SASE/SSE | Cloud-bereitgestellte Sicherheit | Vereinte Netzwerk- + Sicherheit, identitätsbewusst | Anbieterabhängigkeit, Latenzbedenken |
Netzwerksegmentierung
Segmentierungsstrategien
| Strategie | Implementierung | Sicherheitsvorteil | Komplexität |
|---|---|---|---|
| VLAN-basiert | Layer-2-Trennung mit geroutetem Inter-VLAN-Zugriff | Grundlegende Netzwerkisolierung | Niedrig |
| Firewall-Zonen | Separate Zonen mit Firewall-Richtlinien dazwischen | Kontrollierter Inter-Zonen-Zugriff | Mittel |
| Mikrosegmentierung | Per-Workload-Richtlinien mittels softwaredefiniertem Netzwerk | Granulare East-West-Kontrolle | Hoch |
| Zero-Trust-Segmentierung | Identitätsbasierte Richtlinien unabhängig vom Netzwerkstandort | Netzwerk-agnostische Sicherheit | Hoch |
Empfohlene Zonen
| Zone | Enthält | Zugriffsrichtlinie |
|---|---|---|
| DMZ | Öffentlich zugängliche Dienste (Webserver, APIs) | Internet-Ingress, begrenzter interner Egress |
| Anwendungsebene | Anwendungsserver, Middleware | DMZ zu App-Ebene, App-Ebene zu Datenebene nur |
| Datenebene | Datenbanken, Dateispeicher | Nur Zugriff von der Anwendungsebene, kein direkter Internet-Zugriff |
| Management | Jump Boxes, Admin-Tools, Monitoring | Eingeschränkter Admin-Zugriff, MFA erforderlich |
| Benutzernetzwerk | Mitarbeiter-Arbeitsplätze | Segmentiert nach Abteilung, Internet über Proxy |
| IoT/OT | Industrie- und IoT-Geräte | Isoliert, minimale Konnektivität |
Netzwerküberwachung
| Technologie | Was sie überwacht | Erkennungsfähigkeit |
|---|---|---|
| IDS/IPS | Verkehrsmuster, bekannte Angriffssignaturen | Bekannte Angriffe, Protokollanomalien |
| NetFlow/IPFIX | Verkehrsmetadaten (Quelle, Ziel, Volumen) | Verkehrsanomalien, Datenexfiltration |
| Vollständige Paketerfassung | Kompletter Netzwerkverkehr | Tiefgehende forensische Untersuchung |
| DNS-Logging | DNS-Abfragen und -Antworten | C2-Kommunikation, Datenexfiltration via DNS |
| SSL/TLS-Inspektion | Entschlüsselter Verkehrsinhalt | Verschlüsselte Bedrohungen, Datenverlust |
| Netzwerkverhaltensanalyse | Abweichungen vom Baseline-Verhalten | Insider-Bedrohungen, neuartige Angriffe |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Netzwerksicherheitskontrollen | A.8.20 | CC6.6 | Art. 21(2)(d) | Art. 9(2) |
| Netzwerksegmentierung | A.8.22 | CC6.1 | Art. 21(2)(d) | Art. 9(2) |
| Webfiltering | A.8.23 | CC6.6 | Art. 21(2)(d) | Art. 9(2) |
| Verschlüsselung bei Übertragung | A.8.24 | CC6.7 | Art. 21(2)(d) | Art. 9(2) |
| Netzwerküberwachung | A.8.16 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Firewall-Management | A.8.20 | CC6.6 | Art. 21(2)(d) | Art. 9(2) |
| Remote-Access-Sicherheit | A.8.20 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(d) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Netzwerkarchitektur-Diagramm | Aktuelle Topologie mit Zonen, Kontrollen, Datenflüssen | Alle Frameworks |
| Firewall-Regelwerke | Dokumentierte Regeln mit Geschäftsbegründung | Alle Frameworks |
| Firewall-Änderungsaufzeichnungen | Änderungstickets mit Genehmigung und Überprüfung | ISO 27001, SOC 2 |
| Segmentierungsvalidierung | Penetrationstest oder Scan zum Nachweis der Isolation | ISO 27001, NIS2 |
| IDS/IPS-Bereitstellungsbericht | Abdeckung und Alarm-Behandlungsverfahren | Alle Frameworks |
| VPN-/Remote-Access-Richtlinie | Dokumentierte Richtlinie für Remote-Konnektivität | Alle Frameworks |
| Netzwerk-Sicherheitsscan-Ergebnisse | Regelmäßige Schwachstellenscans von Netzwerkgeräten | Alle Frameworks |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Flaches Netzwerk ohne Segmentierung | Angreifer bewegt sich frei nach Eindringen | Netzwerksegmentierung nach Funktion und Datensensitivität implementieren |
| Firewall-Regeln werden nie überprüft | Regel-Aufblähung, übermäßig permissiver Zugriff | Firewall-Regeln vierteljährlich überprüfen, ungenutzte Regeln entfernen |
| Keine East-West-Überwachung | Laterale Bewegung bleibt unerkannt | IDS und NetFlow-Überwachung auf internen Segmenten einsetzen |
| Unverschlüsselter interner Verkehr | Datenabfangen im internen Netzwerk | Gesamten Verkehr mit TLS verschlüsseln, besonders zwischen Diensten |
| DNS-Sicherheit ignorieren | DNS wird für C2 und Datenexfiltration genutzt | DNS-Filtering, Logging und DNSSEC implementieren |
| Keine Härtung von Netzwerkgeräten | Standard-Credentials und unnötige Dienste | CIS Benchmarks für Netzwerkgeräte anwenden |
Wie Orbiq Netzwerksicherheits-Compliance unterstützt
Orbiq hilft Ihnen, Netzwerksicherheitskontrollen nachzuweisen:
- Evidenzsammlung — Netzwerkdiagramme, Firewall-Regeln und Scan-Ergebnisse zentralisieren
- Kontinuierliche Überwachung — Effektivität der Netzwerksicherheitskontrollen verfolgen
- Trust Center — Ihre Netzwerksicherheitslage über Ihr Trust Center teilen
- Compliance-Mapping — Netzwerkkontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Zero-Trust-Architektur — Netzwerksicherheit im Zero-Trust-Modell
- Verschlüsselung — Schutz von Daten bei der Übertragung über Netzwerke
- SIEM — Zentralisierung der Netzwerksicherheitsüberwachung
- Endpoint-Sicherheit — Schutz von Geräten im Netzwerk
- Cloud Security Posture Management — Cloud-Netzwerksicherheit
- Lieferkettensicherheit — Absicherung von Netzwerkverbindungen mit Dritten