Microsegmentierung: Warum Netzwerksegmentierung allein nicht mehr reicht

1 Min. Lesezeit

Klassische Netzwerksegmentierung teilt das Netzwerk in Zonen – DMZ, Produktion, Office. Innerhalb jeder Zone ist die Kommunikation frei. Microsegmentierung geht einen Schritt weiter: Sie kontrolliert den Traffic zwischen jedem einzelnen Workload. Lateral Movement wird nicht erschwert, sondern verhindert.

Das Wichtigste in Kürze

Lateral Movement ist die häufigste Technik nach Initial Access (MITRE ATT&CK)
Microsegmentierung reduziert die Blast Radius eines Breach um 70-90 Prozent
Implementierung: Software-Defined, host-basiert – keine Hardware-Änderung nötig
Marktführer: Illumio, Akamai Guardicore, VMware NSX, Cisco Secure Workload

Das Lateral-Movement-Problem

Die meisten Breaches beginnen mit einem einzelnen kompromittierten Endpunkt. Von dort bewegt sich der Angreifer lateral durch das Netzwerk – von Server zu Server, von Workload zu Workload – bis er kritische Systeme erreicht. In flachen Netzwerken dauert das Minuten.

Klassische Segmentierung hilft teilweise: Der Angreifer muss Zonen-Grenzen überwinden. Aber innerhalb einer Zone – und dort stehen oft Hunderte Server – ist die Bewegung frei. Microsegmentierung eliminiert dieses Problem: Jeder Workload hat seine eigene Firewall-Policy.

Wie Microsegmentierung funktioniert

Statt Netzwerk-Firewalls an Zonenübergängen setzt Microsegmentierung host-basierte Policies durch: Jeder Server, Container oder VM hat Regeln, die genau definieren, mit welchen anderen Workloads er kommunizieren darf – auf Port- und Protokoll-Ebene.

Die Policies werden zentral verwaltet und automatisch verteilt. Der Clou: Keine Hardware-Änderung nötig. Die Durchsetzung erfolgt per Software-Agent auf dem Host oder über die Hypervisor-Ebene (VMware NSX). Die bestehende Netzwerk-Topologie bleibt unverändert.

Visibility First: Sehen, bevor man segmentiert

Der größte Fehler: Policies definieren, ohne die tatsächlichen Kommunikationsbeziehungen zu kennen. Microsegmentierung beginnt mit einer Discovery-Phase: Alle Workload-zu-Workload-Verbindungen werden automatisch kartiert. Das Ergebnis ist eine Application Dependency Map.

Auf dieser Karte basieren die Policies: Erlaubte Kommunikation wird explizit freigegeben, alles andere wird blockiert. Die Discovery dauert typischerweise 2-4 Wochen – dann hat das Team ein vollständiges Bild der Kommunikationsbeziehungen.

Implementierung: Schrittweise statt Big Bang

Phase 1: Agent-Rollout und Visibility (4-6 Wochen). Phase 2: Policies im Monitor-Modus (zeigt, was blockiert würde, blockiert aber noch nicht). Phase 3: Schrittweise Enforcement – beginnend mit den kritischsten Segmenten (Datenbanken, Domain Controller, Zahlungssysteme). Phase 4: Vollständige Enforcement und kontinuierliches Policy-Management.

Der gesamte Prozess dauert 3-6 Monate für ein mittelständisches Unternehmen. Der Schlüssel ist die Monitor-Phase: Sie zeigt Policy-Fehler, bevor sie den Betrieb stören.

Key Facts

Blast Radius: 70-90 Prozent Reduktion durch Microsegmentierung (Forrester)

Lateral Movement: In 80 Prozent der Breaches innerhalb von 24 Stunden (CrowdStrike)

Implementierung: 3-6 Monate für mittelständische Unternehmen, keine Hardware-Änderung

Häufige Fragen

Brauche ich Microsegmentierung, wenn ich schon Firewalls habe?

Firewalls schützen Zonengrenzen – Microsegmentierung schützt innerhalb der Zonen. Beides ergänzt sich. Die Firewall bleibt für Nord-Süd-Traffic (Internet ↔ intern), Microsegmentierung kontrolliert Ost-West-Traffic (Server ↔ Server).

Wie aufwändig ist die Wartung?

Initial aufwändig (Discovery, Policy-Erstellung), danach überschaubar. Moderne Plattformen lernen Kommunikationsmuster automatisch und schlagen Policy-Updates vor. Bei Infrastructure-as-Code-Umgebungen können Policies automatisch mit dem Deployment generiert werden.

Funktioniert Microsegmentierung in der Cloud?

Ja, und dort oft einfacher als On-Premises. AWS Security Groups, Azure NSGs und GCP Firewall Rules sind native Microsegmentierung. Plattformen wie Illumio und Guardicore arbeiten hybrid – gleiche Policies für On-Premises und Cloud.