Projektinterview: Mikrosegmentierung: Herausforderung in komplexen Netzwerkstrukturen

Simon Oberem ist seit 2013 bei ComConsult tätig und kann auf eine langjährige Erfahrung im Bereich der IT-Sicherheit zurückblicken. Seit Beginn seiner Laufbahn beschäftigt er sich intensiv mit Sicherheitsregularien und dem Management von Informationssicherheitsrisiken, insbesondere im Rahmen von Informationssicherheitsmanagementsystemen (ISMS). Er hat sich zunehmend auf Netzwerksicherheit spezialisiert und war unter anderem an großen Projekten wie dem LAN Design Guide eines großen Automobilkonzerns, der grundlegenden Einführung eines ISMS bei einer Versicherung sowie diversen Netzsegmentierungsprojekten beteiligt. Heute ist er bei ComConsult der Experte im Bereich Firewall-Technologien und unterstützt insbesondere bei der Umsetzung von Netzsegmentierungsprojekten, die seit jeher das Kerngeschäft von ComConsult prägen.

Verschiedene Standards und Gesetze stellen hohe Anforderungen an den sicheren Netzbetrieb und eine wirksame Netzsegmentierung. Welche sind das?

Durch die zunehmende Bedrohungslage sowie verschärfte Regularien hat sich die Bedeutung von Sicherheitsmaßnahmen wie Netzsegmentierung und Einsatz von Firewalls in verschiedensten Formen massiv erhöht, weshalb sich Netzsegmentierungsprojekte in den letzten Jahren stark verändert haben. Die wichtigsten Standards sind vor allem die ISO 27001 und der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die ISO 27001 legt grundsätzlich fest, dass man sich um die Sicherheit des Netzbetriebs kümmern muss, gibt aber im Detail weniger präzise Vorgaben an die Netzsegmentierung. Der BSI-IT-Grundschutz ist hier deutlich konkreter und enthält spezifische Bausteine, an deren Entwicklung ComConsult mitwirken durfte. Weiterhin ist das IT-Sicherheitsgesetz zu beachten, das sich derzeit noch maßgeblich an kritische Infrastrukturen (KRITIS) wendet. Unternehmen in diesem Bereich sollten ein Informationssicherheitsmanagementsystem (ISMS) führen. Für ein selbstverständliches gemeinsames Verständnis von Vorgaben empfiehlt es sich, den BSI-IT-Grundschutz anzuwenden, da dieser handfeste Empfehlungen enthält.

Warum ist Netzsegmentierung sinnvoll und welche Herausforderungen bestehen dabei?

Im Bereich der Cyberangriffe gibt es ein Framework namens MITRE ATT&CK, das eine umfängliche Datenbank an Bedrohungsszenarien und Taktiken beschreibt. Eine wichtige Taktik ist die Segmentierung, also die Abgrenzung von Systemen in separate Bereiche, um Angriffe einzudämmen.

Die Segmentierung verfolgt grundsätzlich zwei Hauptziele: Zum einen die Begrenzung von Bedrohungen, indem potenzielle Angreifer oder schädliche Aktivitäten eingeschränkt werden, und zum anderen den Schutz besonders wertvoller Daten oder Systeme.

Das klassische Schutzmodell stellt das sogenannte Zwiebelschalenmodell dar, bei dem die wichtigsten Ressourcen in der Mitte liegen und durch mehrere Schutzringe umgeben sind. Diese Schichten können nach Kategorien wie beispielsweise Kritikalität oder Betriebseinheiten aufgebaut werden. Allerdings besteht die Herausforderung darin, dass die Wahl zu vieler Unterscheidungsmerkmale schnell zu kleinteiligen Segmenten führt und den Überblick über die gesamte Struktur erschwert.

In der Konzeptionsphase besteht die Schwierigkeit darin, eine Balance zu finden: Einerseits soll die Segmentierung Schutz bieten, andererseits darf sie nicht so komplex werden, dass sie die Netzwerkinfrastruktur unnötig verkompliziert.

Immer mehr Unternehmen setzen auf Mikrosegmentierung, um ihre Netzwerke besser zu schützen. Warum?

Der Zero-Trust-Ansatz erfreut sich – wenigstens bei Sicherheitsverantwortlichen – immer größerer Beliebtheit und basiert auf dem Prinzip, niemandem zu vertrauen und alles kontrollieren zu wollen. Dies erfordert, dass jeder Nutzer nur Zugriff auf die für ihn notwendigen Teile der Infrastruktur erhält, was eine Mikrosegmentierung notwendig macht.

Diese Vorgehensweise ist eine direkte Konsequenz der Zero-Trust-Idee. Viele Sicherheitsexperten greifen diesen Trend auf, um neue Technologien zu verkaufen. In der Praxis bringt die Umsetzung der Mikrosegmentierung jedoch erhebliche Herausforderungen hinsichtlich der Planung, Implementierung und insbesondere dem Netzbetrieb für die Infrastruktur mit sich.

ComConsult unterstützt seit vielen Jahren einen öffentlichen Auftraggeber im Gesundheitswesen bei seinen IT-Projekten. Erzähle bitte davon.

In meinen Anfangszeiten bei ComConsult unterstützten wir beim Kunden den IT-Leiter und insbesondere den Abteilungsleiter des IT-Betriebs. Unter anderem wirkten wir in strategischen Projekten bei der Entwicklung und Dokumentation des Netzsegmentierungskonzepts mit und erweiterten es um viele Themen wie beispielsweise Managementumgebungen und DMZ-Design. Erst dieses Jahr konsolidierten wir alle bisherigen Arbeitsergebnisse in einem Gesamtkonzept neu. Außerdem unterstützten wir die Abteilung des Sicherheitsmanagements und führten technische Bewertungen durch. Zeitweise fungierten wir als Team ersatzweise als externe Sicherheitsbeauftragte.

Wie sah das Netzsegmentierungskonzept grob aus?

Wir haben mit dem Kunden ein Segmentierungskonzept entwickelt, das zunächst eine grobe Aufteilung in zwei Bereiche vorsieht. Der erste Bereich betrifft den universitären Sektor, also den Wissenschaftsbereich mit seinen Forschungsabteilungen. Hier sind die Vorgaben an die IT-Systeme in der Regel etwas weniger restriktiv gestaltet. Der zweite Bereich fällt im Gegensatz zum Wissenschaftsbereich in den Bereich der kritischen Infrastrukturen und umfasst die Patientenversorgung, insbesondere die Medizintechnik. Bei der Risikoanalyse in diesem Bereich wird deutlich, dass hier potenzielle Gefahren für Leib und Leben bestehen können. Daher ist es besonders wichtig, diese beiden Welten klar voneinander zu trennen. Es darf beispielsweise keine Verbindung zwischen einem Server, den ein Student unter dem Tisch aufstellt, und sensiblen medizinischen Geräten wie Beatmungsmaschinen geben, um Sicherheitsrisiken zu minimieren. Insgesamt war es entscheidend, diese beiden Bereiche grundsätzlich voneinander abzugrenzen, um die Sicherheit und Integrität der Systeme zu gewährleisten.

Ein weiterer grundsätzlich getrennt zu betrachtender Bereich ist die Management-Umgebung sowie Infrastrukturdienste, um den Betrieb sicherzustellen und Störungen innerhalb der Patientenversorgung zu vermeiden.

Warum sollte es weitere Segmentierungsmaßnahmen geben?

Der Kunde hatte zum einen – unter anderem weil ihm im Rahmen des Krankenhauszukunftsgesetzes Mittel zur Verfügung standen – den Wunsch geäußert, die Sicherheitsmaßnahmen weiter zu verbessern. Zum anderen wurde in einem KRITIS-Audit angemerkt, dass die derzeitigen Maßnahmen nicht ausreichend waren. Das führte dazu, dass kurzfristig erheblicher Handlungsbedarf bestand und Maßnahmen ergriffen werden mussten, um eine angemessene Sicherheitslage zu schaffen. Es bestand also sowohl eine intrinsische Motivation, die Sicherheitsstrategie zu verbessern, als auch eine extrinsische Notwendigkeit, auf die Audit-Ergebnisse zu reagieren. Obwohl dies nicht explizit gefordert wurde, war klar, dass dies den Einsatz von Mikrosegmentierung erforderlich machte.

Warum ist die Trennung einzelner Systeme in einer gewachsenen Infrastruktur schwierig?

In einer über viele Jahre gewachsenen IT-Infrastruktur ist im Laufe der Zeit häufig eine komplexe und unübersichtliche Struktur entstanden. Das Auseinanderbrechen dieser Struktur kann sich äußerst schwierig gestalten, da viele Geräte in der Infrastruktur fest verankert sind. Beispielsweise sind Medizingeräte und Systeme, die von diesen Geräten angesprochen werden müssen, oft IP-Adressen fest zugewiesen, sodass diese nicht ohne Weiteres geändert werden können. Diese festen Zuordnungen erschweren eine klassische Netzwerksegmentierung, bei der man IP-Adressbereiche, VLANs oder Serverstandorte neu aufteilen müsste.

Die Herausforderung besteht darin, dass die Segmentierung maßgeblich auf Firewalling von IP-Adressen basiert, was bedeutet, dass bei Änderungen an der Infrastruktur – etwa bei der Vergabe neuer IP-Bereiche oder beim Umzug von Servern – umfangreiche Anpassungen notwendig sind. In einer historisch gewachsenen Umgebung ist dies häufig schwer praktikabel oder sogar unmöglich.

Daher sind Techniken erforderlich, die sich von der IP-Adresse lösen. Hier kommen Mikrosegmentierungstechniken ins Spiel. Diese ermöglichen eine feingranulare Kontrolle und Isolierung innerhalb des Netzwerks, ohne auf die IP-Adressen angewiesen zu sein. Damit lässt sich die Sicherheitsarchitektur deutlich flexibler und effektiver gestalten, insbesondere in komplexen Infrastrukturen.

Wie wurde die Netzsegmentierung in Mikrosegmente beim Kunden umgesetzt?

Über die Jahre 2023 und 2024 haben wir ein großes strategisches Projekt zur Netzsegmentierung begleiten dürfen, bei dem neue Firewalls beschafft und installiert wurden und eine Client-Server-Segmentierung umgesetzt wurde. Dabei wurden unter anderem alle Medizingeräte vom Rechenzentrum getrennt, sodass sie nun nur noch über Firewalls kommunizieren.

Der Kunde ist derzeit sehr gut aufgestellt, da alle virtuellen Server in eigene Mikrosegmente unterteilt sind. Für jeden neuen Server muss ein Antrag gestellt werden, in dem Zweck, Einsatz, Priorisierung und verarbeitete Informationen beschrieben werden. Dieser Antrag wird in einem sogenannten Server-Steckbrief dokumentiert, der für nur einen Server, doch auch mehrere Server mit ähnlichen Anforderungen genutzt wird. Die Server, die virtualisiert sind, werden entsprechend ihrer Steckbriefe in Mikrosegmente gruppiert, wobei ein Mikrosegment einen Server oder zum Beispiel auch fünf Server beinhalten kann. Die zugrunde liegende Technik basiert auf der Servervirtualisierungs-Infrastruktur, die in der Lage ist, für jedes Mikrosegment eigene Firewall-Regeln zu erstellen und anzuwenden.

Zusätzlich sorgen virtualisierte Funktionen für Intrusion Detection System (IDS) und Intrusion Prevention System (IPS) dafür, dass Angriffe oder verdächtiges Verhalten bei der Kommunikation mit diesen Mikrosegmenten verhindert beziehungsweise erkannt werden. Früher war in der Patientenversorgung viel Kommunikation möglich; heute wird diese durch die Sicherheitsmechanismen eingeschränkt. Jeder Client auf jedem Medizingerät muss auf dem Weg zu seinen Servern eine Firewall durchlaufen. Selbst wenn Server untereinander kommunizieren möchten, sind Firewalls zwischengeschaltet. Aktuell wird daran gearbeitet, diese Prozesse weiter zu automatisieren.
Auch für Client-Bereiche wird derzeit an der Einführung von Lösungen gearbeitet, die spezifische Access Control Lists (ACLs) beim Netzwerkzugang umsetzen, und so eine zusätzliche Schicht an Mikrosegmentierung für Access-Bereiche darstellen.

Was ist die größte Herausforderung bei der Mikrosegmentierung?

Mikrosegmentierung ist in der Umsetzung herausfordernd, weil oft keine universellen Lösungen existieren. Man ist gezwungen, spezifische Lösungen für einzelne Systeme bzw. Anwendungsfälle zu finden. Im Falle unseres Kunden gelten die Mikrosegmentierungslösungen zentral für virtualisierte Server-Umgebungen. Medizingeräte, wie beispielsweise Ultraschallgeräte, sind nicht virtualisiert oder auch keine Server, daher können diese Geräte – so wie alle Systeme im Client-/Access-Bereich – nur in der Theorie an der beschriebenen Lösung teilhaben. Aufgrund dessen wird mit viel Aufwand für diese Bereiche eine zweite Technologie eingeführt.

Eine andere große Herausforderung besteht darin, nicht nur für jeden einzelnen Use Case bzw. Steckbrief eine IP-Adresse zuzuweisen, sondern auch den konkreten Kommunikationsbedarf nach dem Need-to-know-Prinzip zu ermitteln. Dieses Prinzip beschränkt den Zugriff eines Users auf Informationen auf ein Minimum und schaltet nur frei, was wirklich benötigt wird. Die Erhebung des tatsächlichen Bedarfs ist mit erheblichem Aufwand verbunden. Häufig fehlt das detaillierte Wissen, welche IP-Adresse angesprochen wird und wie die Kommunikation über welche Protokolle hinsichtlich der Häufigkeit, der Geschwindigkeit, des Umfangs und möglicher Komplikationen funktionieren muss. Selbst die Hersteller der vernetzten Systeme haben diese Details nicht immer unmittelbar verfügbar und der Klärungsprozess erfordert eine aufwändige Abstimmung mit den Entwicklern/Anbietern und den Fachabteilungen beim Endkunden. In der Praxis sind IT-Fachkräfte stark ausgelastet und mit Fachkräftemangel konfrontiert, weshalb zeitintensive klärende Gespräche mit Herstellern über notwendige IP-Adressen und freizuschaltende Protokolle nicht möglich sind. Wenn unvollständige Informationen in Firewall-Regeln einfließen, kann dies dazu führen, dass Use Cases nicht funktionieren.

Welche weiteren Herausforderungen gibt es?

Eine weitere Herausforderung besteht darin, Use Cases in die gemeinsame Lösung zu integrieren. Die mir bekannten, übergreifenden Ansätze umfassen im Wesentlichen die Installation einer speziellen Software als Agent, der an allen beteiligten Systemen installiert wird, also beispielsweise auf einem PC oder einem Server. Dadurch wird die Umsetzung der Firewall-Regeln, also der Betrieb eines Segmentierungskonzeptes, nicht mehr im Netzwerk, sondern auf den Servern durchgeführt. Die Betriebsverantwortung verschiebt sich damit entsprechend.

Ein weiteres Thema betrifft hier konkret die Medizingeräte. Selbst wenn es sich um einen klassischen Windows-Server handelt, sind Medizingeräte nach einem bestimmten medizinischen Standard von Hersteller zertifiziert und es darf keine Software darauf installiert werden. Auch wenn das Gerät theoretisch zur Mitwirkung geeignet wäre, würde es durch Installation eines Agents den Support des Herstellers verlieren.

Kurzum: In solchen Gemengelagen ist die Umsetzung einer einzigen zentralen Lösung äußerst komplex bzw. unmöglich. Virtualisierte Serverlösungen wird es immer geben. Hier ist die Zusammenarbeit zwischen den Abteilungen Servervirtualisierung und Netzwerk gefragt. Bei unserem Kunden funktioniert die Kooperation zwischen den Teams sehr gut. Bei einem anderen Kunden war dies ein enormes Problem: Dort war eine konstruktive Zusammenarbeit nicht möglich und es kam immer wieder zu Konflikten, weshalb die Lösung nicht eingeführt werden konnte.

Lässt sich der konkrete Kommunikationsbedarf automatisch erfassen?

Man kann einen automatisierten Mechanismus entwickeln, der analysiert, welche Verbindungen tatsächlich benötigt bzw. genutzt werden. Dazu zeichnet man auf, wie die Systeme kommunizieren, leitet daraus den Bedarf ab und schreibt dann eine Firewall-Regel, die sämtliche nicht explizit freigegebenen Verbindungen blockiert.

Problematisch ist, dass die Regeln auf Basis der Informationen erstellt werden, die über einen bestimmten Zeitraum beobachtet wurden, beispielsweise einen Monat. Ein System, das nur alle zwei Monate genutzt wird, könnte nicht in der Firewall-Regel berücksichtigt sein und der Zugriff blockiert werden. Dies kann zu gefährlichen Situationen führen, etwa wenn ein Notfallgerät blockiert wird, weil es nicht innerhalb des Beobachtungszeitraums kommuniziert hat. Daher ist es riskant, pauschalisierte Regeln festzuschreiben, die den Ausschluss aller nicht angegebenen Systeme zur Folge hat. Gerade im Gesundheitswesen kann dies – wie gesagt – Gefahr für Leib und Leben bedeuten.

Wie kann ein Firewall-Regelwerk für einen Automatismus aussehen?

Firewall-Regeln sind Vorgaben, die den Netzwerkverkehr prüfen und entscheiden, ob er erlaubt oder blockiert wird. Die Regeln bestehen aus bestimmten Kriterien und Aktionen. Die Firewall-Regeln werden von oben nach unten abgehandelt. Irgendwo wird eine Regel stehen: „Diese Kommunikation ist erlaubt.“ Nur die Kommunikation, die nicht erlaubt ist, wird – meistens in der letzten Regel – blockiert. Wenn die letzte Regel aber nicht blockiert, sondern nur alarmiert, dann ist die Kommunikation, die vorher nicht erlaubt wurde, als „anormal“ markiert. Dies besagt, dass hier eine Kommunikation stattfindet, die nicht den festgelegten Regeln entspricht. An diesem Ansatz, der die Regelwerke automatisch auf alle Systeme anwendet und ungewöhnliche Aktivitäten durch Alarmierungen nachvollziehbar macht, arbeiten wir momentan bei unserem Kunden. Dazu müssen noch Tests durchgeführt werden, denn der Automatismus basiert auf den Erkenntnissen eines definierten Zeitraums. Sollte sich bei der nächsten Kommunikationsanalyse eine veränderte Situation ergeben, würde gegebenenfalls ein angepasstes Regelwerk greifen. Hier muss vor der Einführung des Automatismus noch eine sorgfältige Prüfung des automatisierten Prozesses stattfinden.

Was ist beispielsweise eine anormale Kommunikation?

Angenommen, ein Drucker im Schwesternzimmer soll Berichte drucken. Ein Printserver wird über ein spezifisches Druck-Protokoll angesteuert – das ist grundsätzlich unkritisch. Problematisch wird es, wenn der Druckauftrag nicht vom vorgesehenen PC kommt, sondern beispielsweise per VPN aus dem Homeoffice, oder wenn ein anderer Server den Drucker anspricht oder ein anderes Protokoll verwendet wird. Wenn solche Abweichungen nicht in den Aufzeichnungen des letzten Monats enthalten waren, würden sie als anormal gelten, denn es könnte darauf hindeuten, dass jemand anderes den Drucker mitnutzen möchte. In der Folge müsste beurteilt werden, ob dies dem neuen Normalzustand entspricht oder ob es sich um einen potenziellen Angriff handelt.

Ist eine kontinuierliche Überwachung der Automatismen erforderlich?

Ein Regelwerk, das regelmäßig aktualisiert wird, bedarf auch einer kontinuierlichen Kontrolle. Unser Plan sieht vor, die Steckbriefe zunächst nach Kritikalität zu staffeln: mit den kritischsten Steckbriefen beginnt man und stellt sicher, dass die letzte Regel bei einer anormalen Kommunikation nicht nur Alarm auslöst, sondern tatsächlich blockiert, um den Schutz zu gewährleisten. Dafür muss das Regelwerk zuvor sorgfältig abgestimmt werden, sodass der Aufwand auf die notwendigen Bereiche fokussiert wird. Für einige kritische Steckbriefe, bei denen eine hohe Sicherheitsstufe erforderlich ist, wird der Aufwand betrieben, den täglichen anormalen Verkehr zu melden, das Regelwerk zu aktualisieren und jede andere Kommunikation zu blockieren. Grundsätzlich soll es wie eine Firewall vor den jeweiligen Servern funktionieren. Das Vornehmen von Änderungen an bestehenden Firewall-Regeln ist für große Netzwerkzonen schon lange Zeit etabliert. Diese Mechanismen und Prozesse gilt es, auf der Mikrosegment-Ebene anzuwenden, wobei zunächst Regeln automatisch verteilt und ggf. angepasst werden. Momentan wird daran gearbeitet, dass auch automatisch instanziiert werden darf. Die regelmäßige Kontrolle der Freigabeprozesse verursacht allerdings Aufwände, die man vorher nicht hatte.

Wo steht ihr mit dem Projekt aktuell?

Alle Server wurden in Mikrosegmente unterteilt. Vor jedem Mikrosegment ist eine zusätzliche Schutzebene implementiert, vergleichbar mit einer Mini-Firewall, inklusive IDS/IPS. Aktuell sind die Firewalls mit einem grundlegenden Regelwerk im Einsatz, und granulare Mikro-Regelwerke sind noch nicht automatisch auf alle Systeme verteilt, da der Automatismus gerade eingeführt wird. Der Automatismus existiert, wird jedoch noch getestet. Vor jedem Server soll das Regelwerk grundsätzlich automatisch bereitstehen. Einzelne Regelwerke wurden zwar schon manuell erstellt und es existieren allgemeine Regeln, die bereits eingeführt sind. Eine vollständige, individuelle, automatische Regelwerk-Verteilung pro Steckbrief erfolgt voraussichtlich erst gegen Jahresende, nach Abschluss der Tests. Grundsätzlich ist die Technik vorhanden, und der Automatismus wird momentan implementiert. Derzeit erfolgt die weitere Aufteilung der DMZ in externe und interne Bereiche, unterstützt durch die Mikrosegmentierungstechnologie. Diese umfasst eine feinere Unterteilung von Steckbriefen, insbesondere bei Verbindungen, die eine Internetanbindung aufweisen.

Wie lassen sich deine Erfahrungen aus diesem Mikrosegmentierungsprojekt zusammenfassen?

Die Möglichkeiten, die sich mit nur einer Technologie eröffnen, sind enorm. Die Einführung der Technik war im Vergleich relativ unkompliziert, abgesehen von den Kosten, denn es sind größere Investitionen erforderlich.

Die zentrale Herausforderung besteht darin, das Konzept gründlich zu erarbeiten: Nach welchen Kriterien baue ich die Mikrosegmente auf? Wie wird eine automatisierte Zuweisung sichergestellt? Welche Geräte arbeiten mit der Lösung zusammen und welche nicht? Wie wird vergleichbarer Schutz aufgebaut? Wie integriere ich den konventionellen Firewall-Change-Prozess in die Lösung? Wie arbeiten die Teams zusammen? Wann muss im Server-Bereitstellungsprozess entschieden werden, ob ein eigenes Mikrosegment entsteht oder ein bestehendes Mikrosegment erweitert wird?

Der Kernaufwand der Mikrosegmentierung liegt in der prozessualen Planung. Man muss sich gründlich überlegen, wie sich das Konzept praktikabel umsetzen lässt. Ein Automatismus allein genügt nicht; es bedarf einer sorgfältigen Ausarbeitung. Selbst die beste Lösung bietet keinen Automatismus, um Regeln automatisch zu schreiben und es gibt keine interne Schnittstelle, um automatisch aus der Analysequelle ein Regelwerk abzuleiten und wieder automatisch in das Regelwerk-System zu übernehmen. Das muss extern erfolgen, da sich Konzepte je nach Kunde unterscheiden.

Mikrosegmentierung kann enorm viel leisten und liefert große Sichtbarkeit – ein wesentlicher Sicherheitsgewinn, da man weiß, was passiert, und darauf reagieren kann. Allerdings darf man die damit verbundenen konzeptionellen Anforderungen und den prozessualen Abstimmungsbedarf nicht unterschätzen.