Anzeige
Anzeige
Anzeige
Lesedauer 9 Min.

Netzwerksicherheit – eine Daueraufgabe

Sämtliche IT-Geräte sind über Fest- oder Mobilfunknetze verbunden und ermöglichen den Zugriff auf Server und Apps. Hinzu kommen Milliarden IoT-Geräte. Die zunehmende Vernetzung lässt die Datenmengen wachsen – und damit auch die Sicherheitsrisiken.

Verschiedene «ICT-Security Layer» machen Unternehmen zu einer  uneinnehmbaren Burg.

© Shutterstock/fokke baarssen

Die IT-Frühzeit war von Grossrechnern und einfachen Terminals in abgeschlossenen Räumen und überschaubaren internen Vernetzungen geprägt, alles von einem Hersteller geliefert. Die alte IT-Welt war eher etwas für Experten, und das Thema Sicherheit beschränkte sich weitgehend auf Benutzerkonten, Passwörter und Berechtigungen. Eine mehr oder weniger hohe Gebäudesicherheit ergänzte das Setup. Nur wirklich wichtige Bereiche waren besonders geschützt, ähnlich einer Burg mit Wachtürmen, dicken Mauern und geöffnetem Rolltor, das nur in Ausnahmefällen heruntergelassen wurde. Vor rund 40 Jahren gesellte sich zur Informationstechnologie (IT) noch die Kommunikation (C) zwecks Vernetzung. Bedingt durch die zunehmende Vernetzung und den dramatischen Anstieg der Datenmenge nehmen die Bedrohungen aus dem Netz zu. ICT ist allgegenwärtig und vernetzt jedes und alles. So wird die vernetzte Burg selbst zum Risiko, weil Informationen ungehindert ein- und ausfliessen können.

Vertrauen ist gut, «Zero Trust» besser

Im Laufe der Jahrzehnte wurde die Burgfestung daher immer weiter ausgebaut – geschlossener Wassergraben mit Zugbrücke, dickere Mauern, Rolltor immer unten, Bewachung rund um die Uhr. Aber innerhalb der Burg wähnte man sich immer noch sicher, denn mögliche Feinde sah man eher draussen als innen. Sobald jedoch die Zugbrücke heruntergelassen wurde und jemand sie überquerte, hatte er freien Spielraum innerhalb der Burg. Verbindet sich ein Nutzer in diesem Modell mit dem Netzwerk, erhält er potenziell Zugriff auf sämtliche Anwendungen und Daten.

Es liegt auf der Hand, dass das breite Vernetzungsspektrum zahlreiche Herausforderungen für die Netzwerksicherheit darstellt. Jedoch scheint das Sicherheitsdenken noch immer von abgeschlossenen Burgen geprägt zu sein. Das lange gehegte Bild der Schweiz als sichere Insel im Herzen Europas prägt unser Denken. Hohe Kaufkraft, fortwährende Innovationen sowie eine breit aufgestellte Forschungs- und Firmenlandschaft mit internationaler Reputation verstärken dieses Image. Wie die aktuelle Bedrohungslage zeigt, wirkt das Image jedoch auch als Magnet und lässt die virtuellen Mauern bröckeln. Heute gilt darum «Zero Trust» als Sicherheitsmaxime.

Bild 1: Vielfältige Bedrohungen auf diversen Wegen

© Rüdiger Sellin
Allgegenwärtige Bedrohung

Unternehmen mit veraltetem Sicherheitsdenken setzen im übertragenden Sinn bis heute zahlreiche Ressourcen zur Verteidigung ihrer Burg (= ihres Unternehmens) ein, etwa mehr Wachleute oder Firewalls, Intrusion Detection Systeme (IDS) oder Intrusion Prevention Systeme (IPS). Alle diese Systeme blockieren die meisten externen Angriffe, erkennen und verhindern interne oder verdeckte/getarnte Angriffe jedoch kaum oder nur wenig effektiv.

Besonders gefährlich wird es, wenn sich ein Angreifer Zugang zum Netzwerk verschafft und unbemerkt auf alle darin befindlichen Daten und Systeme zugreifen kann. Zu diesem Zweck kann er beispielsweise die Zugangsdaten der Nutzer stehlen, eine Sicherheitslücke ausnutzen, Malware-Infektionen einschleusen oder einen Social-Engineering-Angriff durchführen. Dies geschieht über täuschend echt aussehende, aber gefakte E-Mails eines bekannten Absenders, auf welche der Empfänger mit der Preisgabe vertraulicher Informationen reagiert.

Weiterhin präsent sind zudem DDoS-Angriffe (Distributed Denial of Service). Diese Cyberattacke zielt mit massenhaften, gleichzeitigen Anfragen darauf ab, Webseiten, Server oder Netzwerkinfrastrukturen zu überlasten. Dabei werden oft tausende infizierte Computer («Bots») über verzweigte Netzwerke («Botnetze») genutzt, um das Ziel lahmzulegen. Legitime Nutzer haben dadurch keinen Zugriff mehr, was das gesamte Unternehmen stark einschränkt und besonders für Unternehmen im Onlinehandel dramatische und bedrohliche Umsatzverluste zur Folge hat.

Nicht nur das Netzwerk und die Hardware, sondern auch die darauf laufende Software gilt es zu schützen.

Rüdiger Sellin

Bild 2: Drei Sicherheitsschichten als Teile eines gesamten Schutzkonzeptes

© Rüdiger Sellin
Neue Szenarien dank Cloud und KI

Viele Unternehmen verteilen ihre Daten über mehrere Cloud-Anbieter und routen den gesamten internetgebundenen Verkehr durch das zentrale Unternehmensnetzwerk, um den Cloud-Zugriff zu kontrollieren. Andere Firmen oder öffentliche Institutionen speichern ihre Daten lieber in lokalen Netzwerken und beschränken den Datentransport auf lokale oder auf ein Land beschränkte Netze eines vertrauenswürdigen Anbieters. Eine weitere Strategie besteht darin, nur die unteren beiden OSI-Schichten («Data Link» und «Physical») eines externen Netzwerkbetreibers zu nutzen und ab Layer 3 («Transport») aufwärts eine eigene Infrastruktur aufzubauen. Ob dies zielführend ist, hängt vom Know-how und der Bereitschaft des Unternehmens ab, in diesen Bereich kräftig zu investieren.
Der Trend zur Cloud wird neben dem Effizienzdruck auch dadurch gesteigert, dass die heute geforderten Rechenleistungen nur über weltweit verbreitete und vernetzte Grossrechenzentren erreichbar sind. Weit über 50 % des Datenverkehrs wird von den Rechnern selbst erzeugt, weiter beschleunigt durch IoT und die zunehmende Verbreitung künstlicher Intelligenz – ein weiterer Sicherheitsfaktor, der heute nur schwer einzuordnen ist. KI-gesteuerte DDoS-Angriffe wurden bereits mehrfach durchgeführt und sind erst der Anfang einer womöglich bedrohlicheren Lage.
Daher sind nicht nur das Netzwerk und die darin befindliche Hardware, sondern auch die darauf laufende Software zu schützen. Denn ohne die jeweils benötigten Apps steht unser tägliches Leben schnell still. Diese weit verzweigte Netz- und IT-Infrastruktur mit Milliarden verbundener Geräte muss sich idealerweise als resistent gegen Ausfälle oder böswillige Angriffe erweisen.

Neuer Denkansatz benötigt

Wie bereits angedeutet, wurde das klassische Burgmodell für Unternehmen und Rechenzentren mit dem Ansatz «Zero Trust» erweitert. Kein Gebäudezugang, kein Mitarbeitender, kein logischer oder physischer Netzzugang gelten hier als sicher. Sie werden einer fortlaufenden Überprüfung unterzogen und alle laufenden Prozess- oder Netzaktivitäten verifiziert. Lokal weit verteilte und stark verzweigte Netzwerke bedürfen mehrschichtiger, skalierbarer Sicherheitsprozesse. Für grössere Unternehmen sollten sie möglichst automatisiert ablaufen und abhängig von den erteilten Berechtigungen eigene Plausibilitätsprüfungen durchführen. Die Netzwerksicherheit ist dabei zentral und umfasst sämtliche Schutzmassnahmen zur Absicherung von Netz- und IT-Infrastrukturen gegen unbefugte Zugriffe bis herunter auf Portebene. Sie definiert Massnahmen technischer oder organisatorischer Natur, damit ein Netzwerk vertraulich, integer und verfügbar bleibt. Dazu gehört die Absicherung sämtlicher via Netzwerk erreichbarer Geräte, Server, Daten und Applikationen. Zu diesem Zweck wurde ein individuell zugeschnittenes Schutzkonzept mit drei Schutzebenen mit dem Ziel höchst möglicher Sicherheit entwickelt.

ICT-Security Layer 1 «Basic»

Die Basissicherheit kümmert sich um die sichere Datenspeicherung und den Schutz vor Datenverlust. Sie erreicht dies unter anderem durch strenge Passwort-Richtlinien (Komplexität, Ablaufdatum, Zwei-Faktor-Authentifizierung), klar definierte Zugriffs- und Bearbeitungsrechte sowie laufenden Daten-Backups mit Datenlagerung an getrennten Orten. Unternehmensrelevante Daten werden auf anderen Servern gelagert als «Daily Data» wie etwa interne E-Mails. Danach richten sich auch die Sicherheitseinstellungen für sämtliche Dateien. Desweiteren geht es bei der Basissicherheit um den physischen Schutz aller ICT-Geräte, Server und des Netzwerkzugangs vor fremden Zugriffen. Ein Risikomanagement definiert Art und Umfang von Zugangskontrollen auf dem Firmengelände, von fortlaufenden Logfiles zur Aufzeichnung aller Aktivitäten bis hin zu Szenarien für Krisen. Die Software-Sicherheit stellt mit regelmässigen Patches, Funktionsfähigkeitschecks und Software-Updates die Funktion aller Apps sicher. Hier gilt es, das menschliche Sicherheitsbewusstsein zu schärfen. Dazu gehören Security- und Compliance-Schulungen, insbesondere zu E-Mail-, Passwort- und Social Media-Sicherheit, Vertraulichkeitsregelungen und das Verhalten im Ernstfall inklusive Tests wie Phishing-Simulationen. Alle Informationen sind in offen zugänglichen Sicherheitsrichtlinien zu klassifizieren. Regelmässige Erinnerungen, Auffrischungen oder Audits runden diesen Bereich ab.

Bild 3: Basissicherheit zum Datenschutz bei Speicherung, Sicherung und Transport

© Rüdiger Sellin
ICT-Security Layer 2 «Operation»

Der ICT-Betrieb setzt nun die oben definierten Prozesse und Handlungsrichtlinien im täglichen Betrieb um. In verzweigten Grossunternehmen sollte er möglichst softwarebasiert ablaufen, damit alle Compliance-Ziele mindestens erreicht oder besser übertroffen werden.

Der Betrieb stellt die fortlaufende Ende-zu-Ende-Datensicherheit sicher, etwa mit wasserdichter Verschlüsselung des Datenverkehrs. Er sorgt für den umfassenden Schutz aller Computer beim Endbenutzer vor Fremdzugriff – ob Smartphones, Tablets, Notebooks oder Desktops. Dies umfasst dezentrale und hybride Arbeitsumgebungen (BYOD, Remote Work, externe Dienstleister etc.), welche VPN-Clients (beim Endnutzer) und aufwändige VPN-Serverinfrastrukturen erfordern. Der externe Zugang auf bestimmte Server via VPN ist zu kontrollieren und zu protokollieren. Bei längerer Nichtnutzung ist der VPN-Zugang zu sperren.

Eine Multifaktor-Authentifizierung von Nutzern verbessert die Sicherheit des Serverzugangs ebenso wie Sicherheitssoftware zur Erkennung und Eliminierung allfälliger Sicherheitslücken. Unabdingbar, aber nicht immer konsequent aufgebaut ist ein übersichtliches, zentral gemanagtes Asset-Inventar mit allen Geräten und virtuellen Ressourcen. Es stellt individuelle, fein abgestufte Zugriffsrechte pro Nutzer und pro Gerät bereit und beinhaltet regelmässige Systemupdates und Security-Patches auf den Endgeräten.

Auf Ebene Software werden sämtliche Applikationen rund um die Uhr geschützt, insbesondere solche mit hoher Bedeutung für das Unternehmen, etwa die Online-Bestellplattform von Handelsunternehmen mit sämtlichen Servern und Netzzugängen. Daneben dürfen Mitarbeitende ausschliesslich auf vertrauenswürdige, umfassend geprüfte und freigegebene Apps zugreifen.

Überschaubare Netzwerk- und Betriebskonzepte helfen, allfällige Angriffe frühzeitig zu verhindern oder deren Folgen zu begrenzen. Der Mensch bleibt jedoch nach wie vor das schwächste Glied der Sicherheitskette.

Rüdiger Sellin
ICT-Security Layer 3 «Network»

Eine grosse Herausforderung zur Sicherstellung der Netzwerksicherheit ist die Tatsache, dass potenzielle Angreifer sich in aller Ruhe und meist unerkannt auf den Angriff vorbereiten können und dem Angegriffenen dann oft nur Minuten oder Sekunden zur Reaktion bleiben. Besonders clevere Angreifer verstecken sich hinter harmlosen Alltagsroutinen und geraten z. B. über gefakte E-Mails von vertrauenswürdig aussehenden Sendeadressen auf interne Mailserver. Gerade auch im Netzwerkbereich gilt «Zero Trust», gerade weil der Angreifer in perfekter Tarnung daherkommt.

Zunächst gilt es, sämtliche Unternehmensdaten vor missbräuchlichem Datenzugriff oder missbräuchlicher Datennutzung und -verarbeitung zu schützen. Am Anfang steht dabei die Überlegung, welche Daten wo/wie zu speichern und zu sichern sind. Gegen eine lokale Datenspeicherung am Arbeitsplatz spricht das im Alltag schnell nachlassende Sicherheitsbewusstsein der Nutzer. Dafür spricht der schnelle Zugriff auch bei Ausfall des LANs/WANs, wobei hier höchstens unkritische Präsentationen oder ähnliches zu sichern sind.

Deutlich besser ist eine unternehmenseigene Datenspeicherung auf dedizierten Servern, welche zwar Kosten verursacht, aber eine annähernd hundertprozentige Datensicherheit bietet. Regelmässige Backups an physisch und logisch getrennten Orten, umfassender Passwortschutz und optional auch Verschlüsselungen tragen dazu bei. Klar zu definieren sind die Zugriffs- und Bearbeitungsrechte. Wer darf auf welche Ordner und Dateien zugreifen, wer darf sie nur lesen und wer bearbeiten? Auch hier erhöhen strenge Passwort-Richtlinien die Sicherheit nochmals deutlich. Die Zeiten von Passwörtern unter der Schreibtischauflage oder als Post-it am Monitor gehören hoffentlich der Vergangenheit an.

Bild 4: Betriebssicherheit als Schutz für Applikationen, Endgeräte und Datenverkehr

© Rüdiger Sellin
«Network Security extended»

Nun werden die Daten ja nicht nur im Unternehmen, sondern auch im weltweiten Datennetz umhergeschoben, ob via E-Mail oder Datentransfer oder Backup in der Cloud. Der Datenschutz umfasst somit neben der Datenverarbeitung auch den Datentransport, ob im LAN, WLAN oder WAN. Sichere Netzwerkkomponenten hoher Zugangssicherheit (räumlich wie logisch) mit einer strukturierten Verkabelung und klaren Netzwerksegmentierung im Haus erhöhen den Schutz aller HW- und SW-Komponenten.

sogenannteSie erleichtern zudem die proaktive Suche nach Schwachstellen oder im Angriffsfall die aktive Suche nach den Eindringlingen. Regelmässige Penetrationstests auch durch externe Instanzen reflektieren, wie hoch der Schutz der empfindlichen ICT-Infrastruktur des Unternehmens wirklich ist. Leider sind die lange als absolut sicher geltenden VPNs ohne weitere Massnahmen kein Garant für absolute Sicherheit mehr. Ergänzt um eine mehrschichtige Verschlüsselung von Daten während der Übertragung sind sie vielmehr Teil des Gesamtkonzeptes. Besonders heikel sind aus Autorensicht die viel gepriesenen Cloud-Services, allen voran Software as a Service (SaaS). Denn hier läuft neben der Datenhaltung auch die Datenbearbeitung vollständig in der Cloud ab. Das Unternehmen hat somit keine wirkliche Kontrolle mehr und ist vollständig auf den Cloudbetreiber angewiesen. Dieser hat sämtliche Cloud-Services und -Anwendungen fortlaufend zu schützen und fortlaufenden Sicherheitsprüfungen zu unterziehen. Das Unternehmen seinerseits muss ihre eigenen Cloud-Anwendungen und alle genutzten externen Cloud-Dienste ebenfalls überprüfen. Ein Servicevertrag mit klarer Haftung bei Datenverlust ist empfehlenswert. In der gegenwärtigen geopolitischen Lage sind Datenhaltungen rund um den Globus ohnehin fragwürdig. Physische oder logische Host-Zugangskontrollen sind aus der Entfernung nur schwer durchführbar. Jedoch hat diese sogenannte Georedundanz den Vorteil einer breiten Absicherung. Sind die Daten in einer Region verloren, existiert ein weiteres Backup an einem anderen Standort. Multinationale Unternehmen betreiben daher an jedem grösseren Standort auch eine eigene Datenhaltung mit kontrollierter Vernetzung unter eigener Kontrolle.

Bild 5: Netzwerksicherheit als Schutz vor missbräuchlichem Datenzugriff – auch in der Cloud

© Rüdiger Sellin
Hohes Schadenspotenzial

Eine hoch wirksame Netzwerksicherheit ist für jedes Unternehmen von zentraler Bedeutung. Schwachstellen im Netzwerk erleichtern das Abhören vom Datenverkehr oder das Eindringen in IT-Systeme, was grosse Schäden verursachen kann. Sie reichen vom Reputationsverlust durch Server-Blockaden über Datenklau von Entwicklungen bis hin zu möglichen Erpressungen. Überschaubare Netzwerk- und Betriebskonzepte helfen, allfällige Angriffe frühzeitig zu verhindern oder deren Folgen zu begrenzen. Der Mensch  bleibt jedoch nach wie vor das schwächste Glied der Sicherheitskette.

Big Data Netzwerk Rechenzentrum
Anzeige

Neueste Beiträge

SoftwareOne macht Raphael Erb zum alleinigen CEO
Der Verwaltungsrat von SoftwareOne Holding AG hat mit Wirkung per 1. August 2026 Raphel Erb zum alleinigen Chief Executive Officer ernannt hat.
3 Minuten
15. Jul 2026
Sonnet erweitert Echo-Serie um USB-C-Multi-Hub mit 5-Gigabit-Ethernet
Sonnet Technologies hat mit dem Echo 6 USB-C 5GbE Multi Hub ein neues Modell seiner Echo-Serie vorgestellt. Der kompakte Hub kombiniert einen 4K-HDMI-Ausgang, drei USB-Ports mit bis zu 10 Gbit/s, 5-Gigabit-Ethernet sowie USB-C Power Delivery mit bis zu 100 Watt.
2 Minuten
Ceconomy setzt sich ambitionierte Ziele und treibt den Wandel voran
Der Cecnomy-Konzern erreicht seine Ziele für das laufende Geschäftsjahr und peilt eine deutliche Steigerung an. Der neue CEO will den Wandel der Marke MediaMarktSaturn von einer reinen Kette von Elektronikmärkten hin zum Omnichannel- und Services-Anbieter weiter vorantreiben.
4 Minuten
15. Jul 2026

Das könnte Sie auch interessieren

E-Mail «Neue Sprachnachricht» ist Phishing
Betrüger versenden E-Mails, in denen sie behaupten, dass eine neue Sprachnachricht bereitstehe. Damit versuchen sie, an Zugangsdaten von persönlichen Benutzerkonten zu gelangen.
3 Minuten
Digital Business im Fokus: Wohin geht die Reise? - Computerworld Ausgabe 2/2026
Autonomie und Souveränität werden inzwischen als Schlagworte mindestens ebenso häufig verwendet wie Künstliche Intelligenz und Datenschutz. Automatisierung und die Transformation zu einer hohen Dichte an KI-Agenten in Unternehmen werden die Zukunft des Digital Business prägen. Daraus entsteht ein Mix, der spannender und komplexer nicht sein könnte. Die Digitalisierung hat Dimensionen erreicht, die sich - Ironie des Wandels - fast nur noch mit KI bewältigen lassen. Höchste Zeit also für einen Überblick. 
2 Minuten
Open-Source-Technologien im Sicherheitsbereich - Parldigi | Digitale Nachhaltigkeit
In Staat und Wirtschaft kommen seit längerem Open-Source-Technologien zum Einsatz. Doch welche Rolle spielt Open-Source im Bereich Security? Auf diese Frage gab der Parldigi-Anlass in Bern u. a. mit Bundesrat Martin Pfister mögliche Antworten.
4 Minuten
26. Jun 2026
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige