Zero-Trust-Netzwerksegmentierung: Warum flache Netzwerke das größte Sicherheitsrisiko sind
7 Min. Lesezeit
Ein kompromittierter Drucker in der Buchhaltung. Klingt harmlos, bis der Angreifer über das flache Netzwerk auf den Domänencontroller springt, von dort auf die Produktionssteuerung und drei Tage später die gesamte Fertigung verschlüsselt. Netzwerksegmentierung verhindert genau das. Trotzdem haben laut Zscaler 68 Prozent der deutschen Mittelständler kein Zero-Trust-Konzept für ihr internes Netzwerk.
Das Wichtigste in Kürze
- 🔒 68 Prozent der DACH-Mittelständler haben kein Zero-Trust-Netzwerkkonzept (Zscaler, 2025).
- 📊 Laterale Bewegung ist der häufigste Angriffsschritt nach Initial Access (MITRE ATT&CK, 2025).
- ⏱️ Durchschnittliche Verweildauer eines Angreifers im Netzwerk: 10 Tage (Mandiant M-Trends, 2025).
- 🏢 Siemens segmentiert IT und OT seit 2024 vollständig getrennt. Vorbild für Industrieunternehmen.
- 🛡️ Mikrosegmentierung reduziert die Angriffsfläche um bis zu 90 Prozent (Forrester, 2025).
Warum flache Netzwerke das größte Sicherheitsrisiko sind
In einem flachen Netzwerk kann jedes Gerät mit jedem anderen kommunizieren. Der Laptop des Praktikanten spricht mit dem ERP-Server, der Drucker im Empfang erreicht die Produktionssteuerung. Für Angreifer ist das ein Paradies: Ein einziger kompromittierter Endpunkt öffnet den Zugang zu allem.
MITRE ATT&CK dokumentiert laterale Bewegung als den häufigsten Angriffsschritt nach dem initialen Zugang. Der Angreifer bewegt sich horizontal durch das Netzwerk, eskaliert Privilegien und erreicht sein eigentliches Ziel: Daten, Steuerungssysteme oder Backup-Infrastruktur. Mandiant beziffert die durchschnittliche Verweildauer auf 10 Tage. Zehn Tage in denen der Angreifer unbemerkt im Netzwerk operiert.
„Mikrosegmentierung reduziert den Blast Radius eines Angriffs auf ein Minimum. Statt das gesamte Netzwerk zu kompromittieren, bleibt der Angreifer in einem isolierten Segment gefangen.“
Forrester Research, Zero Trust Microsegmentation Report, 2025
Zero Trust Netzwerksegmentierung in drei Stufen
Stufe 1: Makrosegmentierung (Sofort umsetzbar). Trennen Sie Ihr Netzwerk in große Zonen: Büro-IT, Produktions-OT, Gäste-WLAN, Server-DMZ. Jede Zone bekommt eigene VLANs und Firewall-Regeln. Keine Kommunikation zwischen Zonen ohne explizite Freigabe. Siemens hat 2024 genau diesen Schritt für alle deutschen Standorte umgesetzt: IT und OT sind physisch und logisch vollständig getrennt.
Stufe 2: Mikrosegmentierung (3-6 Monate). Innerhalb jeder Zone werden einzelne Workloads isoliert. Der Webserver spricht nur mit der Datenbank, nicht mit dem File-Server. Tools wie Illumio, Guardicore (Akamai) oder VMware NSX ermöglichen das ohne Hardware-Änderungen. Forrester beziffert die Reduktion der Angriffsfläche auf bis zu 90 Prozent.
Stufe 3: Identity-based Segmentierung (6-12 Monate). Nicht mehr das Netzwerk-Segment entscheidet über Zugriff, sondern die Identität des Nutzers und das Gerät. Zero Trust Network Access (ZTNA) ersetzt klassische VPNs. Zscaler, Cloudflare und Palo Alto bieten ZTNA als Cloud-Service. Für Unternehmen mit Remote-Arbeit und Multi-Cloud ist das die logische Weiterentwicklung.
Die Gegenposition: Segmentierung bremst Agilität
Nicht jeder IT-Leiter ist begeistert. Das häufigste Argument gegen strikte Segmentierung: Es bremst die Entwicklung. DevOps-Teams brauchen schnellen Zugriff auf verschiedene Umgebungen. Mikrosegmentierung mit starren Regeln kann Deployment-Zyklen verlangsamen und Incidents verursachen wenn legitimer Traffic geblockt wird.
Die Lösung liegt in Policy-as-Code: Segmentierungsregeln werden nicht manuell in Firewalls gepflegt, sondern als Code definiert, versioniert und automatisch deployt. Terraform, Ansible und die APIs der Segmentierungsplattformen machen das möglich. Der initiale Aufwand ist höher, aber die langfristige Agilität steigt weil Regeländerungen in Minuten statt Tagen umgesetzt werden.
Fazit: Segmentierung ist die günstigste Sicherheitsinvestition
Netzwerksegmentierung erfordert keine Millionen-Budgets. Makrosegmentierung mit bestehenden Switches und Firewalls ist in Wochen umsetzbar. Mikrosegmentierung per Software kostet ab 10.000 Euro pro Jahr für mittelständische Umgebungen. Das Preis-Leistungs-Verhältnis ist unschlagbar: 90 Prozent weniger Angriffsfläche für einen Bruchteil der Kosten einer EDR-Plattform. Der erste Schritt: Eine Netzwerk-Karte zeichnen. Wer spricht mit wem? Das Ergebnis wird Sie überraschen.
Häufige Fragen
Wir haben 200 Mitarbeiter und ein flaches Netzwerk. Wo fangen wir an?
Starten Sie mit Makrosegmentierung: Trennen Sie mindestens 4 Zonen (Büro-IT, Server, Gäste, Management-Netz). Das geht mit bestehenden managed Switches (VLAN-Konfiguration) und einer Firewall-Regel pro Zonen-Übergang. Zeitaufwand: 2 bis 4 Tage für einen Netzwerk-Admin. Kosten: Nahezu null wenn die Hardware VLAN-fähig ist.
Funktioniert Mikrosegmentierung auch in virtualisierten Umgebungen?
Ja, sogar besonders gut. VMware NSX, Illumio und Guardicore arbeiten auf Hypervisor-Ebene und können einzelne VMs isolieren ohne Hardware-Änderungen. In Kubernetes-Umgebungen übernehmen Network Policies die gleiche Funktion. Der Vorteil gegenüber Hardware-basierter Segmentierung: Regeln wandern mit der Workload wenn sie verschoben wird.
Wie teuer ist Mikrosegmentierung für ein Unternehmen mit 500 Endpunkten?
Open-Source-Optionen (OPNsense, pfSense mit VLAN) kosten nichts außer Implementierungsaufwand. Kommerzielle Software-Lösungen (Illumio, Guardicore) starten bei circa 10.000 bis 25.000 Euro pro Jahr für 500 Endpunkte. Enterprise-Plattformen (Cisco Secure Workload, Palo Alto Prisma) liegen bei 30.000 bis 80.000 Euro. Dem gegenüber stehen durchschnittliche Ransomware-Kosten von 1,8 Millionen Euro pro Vorfall (Sophos, 2025).
Wir haben eine OT-Umgebung (Produktion). Gelten dort andere Regeln?
Ja. OT-Segmentierung folgt dem Purdue-Modell: Strikte Trennung zwischen Enterprise-IT (Level 4-5) und Produktionsnetz (Level 0-3) über eine demilitarisierte Zone (DMZ Level 3.5). Kein direkter Zugriff von IT auf OT. Siemens hat das für alle deutschen Standorte umgesetzt und empfiehlt als Mindeststandard: Separate Firewalls zwischen IT und OT, keine gemeinsamen Active-Directory-Domains, dedizierte Management-Netzwerke für SCADA-Systeme.
Stört Segmentierung den VPN-Zugriff unserer Remote-Mitarbeiter?
Klassische Site-to-Site-VPNs ja, weil sie Nutzer in ein Netzwerk-Segment einschleusen das dann vollen Zugriff hat. Die Lösung: Zero Trust Network Access (ZTNA) statt VPN. ZTNA gewährt Zugriff auf einzelne Anwendungen statt auf ganze Netzwerke. Der Remote-Mitarbeiter erreicht sein ERP-System, aber nicht den Backup-Server daneben. Zscaler, Cloudflare Access und Palo Alto Prisma Access bieten das als Cloud-Service.
Weiterführende Lektüre im Netzwerk
- → Active Directory härten: 5 Sofortmaßnahmen (SecurityToday)
- → NIS2 in Deutschland: Was Unternehmen jetzt wissen müssen (SecurityToday)
- → SAP Patch Day: Kritische NetWeaver-Schwachstelle (SecurityToday)
Mehr aus dem MBF Media Netzwerk
- → TLS-Zertifikate 2026: 200-Tage-Laufzeit (cloudmagazin)
- → Cybersecurity-Budget 2026: Was der CFO vom CISO hören muss (Digital Chiefs)
Quelle Titelbild: Pexels
