Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBewährte Verfahren
Best Practices für die Netzwerksicherheit

Best Practices für die Netzwerksicherheit

Robuste Netzwerksicherheits-Best Practices sind heute wichtiger denn je, um sich gegen die zunehmend ausgeklügelten Cyberbedrohungen zu schützen. Dieser Artikel untersucht eine Reihe von Netzwerk- und Sicherheits-Best Practices und Technologien, die Sie benötigen, um Ihr Netzwerk gegen unbefugten Zugriff und Datenverletzungen zu sichern.

Arten von Netzwerkgeräten und Sicherheitslösungen

Bevor wir uns mit den besten Praktiken für die Netzwerksicherheit von Unternehmen befassen, lassen Sie uns die gängigen Arten von Netzwerkgeräten und Sicherheitslösungen betrachten, von denen Organisationen profitieren können:

  • Brücken wurden einst verwendet, um zwei oder mehr Hosts oder Netzwerksegmente zu verbinden. Sie sind veraltet und werden nicht mehr verwendet.
  • Hubs wurden einst verwendet, um Geräte in einem lokalen Netzwerk (LAN) zu verbinden. Da sie keine eingebaute Intelligenz besitzen, werden Hubs in modernen Netzwerkkonfigurationen selten verwendet.
  • Ein network switch ist das Standard-Netzwerkgerät, das Computer, Server, Drucker und andere Geräte in einem LAN verbindet. Es verwendet MAC-Adressen, um Daten zu verwalten und an spezifische Geräte weiterzuleiten. Im Gegensatz zu einem Hub kann ein Switch den Datenverkehr intelligent steuern, um Netzwerküberlastungen zu reduzieren und die Netzwerkleistung zu verbessern.
  • Ein Netzwerk-Router leitet Datenpakete zwischen verschiedenen Netzwerken, um Internetverbindungen und interne Netzwerkkommunikation zu ermöglichen. Router verwenden IP-Adressen, um den effizientesten Weg für die Übertragung von Datenpaketen über Netzwerke zu bestimmen. Sie können auch Sicherheitsfunktionen wie Zugriffskontrolllisten bereitstellen, um den Netzwerkzugang zu beschränken.
  • Ein Gateway dient als Vermittler für Geräte in getrennten Netzwerken und ermöglicht ihnen die Kommunikation, selbst wenn sie unterschiedliche Kommunikationsprotokolle verwenden.
  • Eine firewall trennt ein Netzwerk von einem anderen. Firewalls gibt es in Hardware- und Softwareform und können in Geräte wie Router oder Server integriert werden. Das klassische Beispiel für eine Firewall ist ein dediziertes Gerät, das als Barriere zwischen dem internen Netzwerk und der Außenwelt dient.
  • Ein network access control (NAC)-System prüft, ob Geräte, die versuchen, auf das Netzwerk zuzugreifen, definierte Sicherheitsstandards erfüllen (wie aktuelle Antivirensoftware, Systemupdates und spezifische Konfigurationseinstellungen) und gewährt oder verweigert dann den Zugang.
  • Ein Webfilter beschränkt den Zugang zu Internetinhalten basierend auf vordefinierten Kriterien. Beispielsweise kann diese Art von Sicherheitslösung den Zugang zu bösartigen oder unangemessenen Websites blockieren, wie von den Richtlinien einer Organisation festgelegt.
  • Ein Proxy-Server fungiert als Vermittler zwischen dem Gerät eines Benutzers und dem Internet. Proxy-Server können die IP-Adresse des Benutzers verbergen sowie Webanfragen filtern, um den Zugriff auf bösartige Websites oder Inhalte zu blockieren.
  • Ein E-Mail-Filter (Spamfilter) hilft dabei, unerwünschte E-Mails daran zu hindern, das Postfach des Benutzers zu erreichen, oder liefert die E-Mail, entfernt jedoch potenziell bösartige Hyperlinks und Anhänge. Einfache Filter verwenden organisatorische Richtlinien oder vom Anbieter festgelegte Muster, um Spam zu erkennen; fortgeschrittene Filter setzen heuristische Methoden ein, um verdächtige Muster oder Wortfrequenzen zu identifizieren.
  • DDoS-Mitigation Tools sind darauf ausgelegt, Distributed Denial of Service (DDoS)-Angriffe in ihren Anfangsstadien zu identifizieren, den damit verbundenen Anstieg des Datenverkehrs zu absorbieren und helfen, den Ursprung des Angriffs ausfindig zu machen.
  • Load Balancer tragen zur Netzwerksicherheit bei, indem sie den Netzwerkverkehr gleichmäßig auf mehrere Server verteilen. Sie können beispielsweise verhindern, dass ein einzelner Server während eines DDoS-Angriffs überlastet wird.

Für weitere Hintergrundinformationen überprüfen Sie das OSI-Modell für Netzwerksysteme im Anhang A.

Best Practices für die Sicherheit von Unternehmensnetzwerken

Mit diesen Grundlagen im Hinterkopf, lassen Sie uns bekannte Netzwerksicherheits-Best Practices erkunden, die Ihrer Organisation helfen können, ihre Sicherheitslage zu verbessern, um Angriffe zu blockieren, sowie Best Practices für die schnelle Erkennung und Reaktion auf aktuelle Bedrohungen.

Best Practices für Netzwerksicherheit zur Bedrohungsprävention

Segmentieren Sie Ihr Netzwerk.

Eine der grundlegenden Best Practices für Netzwerksicherheit, Network Segmentation beinhaltet die Aufteilung eines Netzwerks in logische oder funktionale Bereiche. Dies kann durch physische Mittel wie Router und Switches oder virtuell durch die Verwendung von VLANs erreicht werden. Das Ziel ist es, einen Sicherheitsvorfall auf einen einzelnen Bereich zu begrenzen und so Störungen und Schäden zu minimieren. Segmentierung ermöglicht es IT-Teams auch, verschiedene Sicherheitskontrollen und Überwachungen für jede Zone anzuwenden. 

Insbesondere können Organisationen eine demilitarized zone (DMZ) einrichten, die als Puffer zwischen ihrem internen Netzwerk und dem Internet oder anderen nicht vertrauenswürdigen Netzwerken dient. Die DMZ hostet extern zugängliche Dienste wie Webanwendungsserver; falls diese Dienste kompromittiert werden, hat ein Angreifer keinen direkten Zugang zum internen Netzwerk.

Eine extreme Form der Segmentierung ist der air gap, bei dem Systeme (wie Server mit Backups oder anderen sensiblen Informationen) vollständig vom Netzwerk getrennt sind.

Platzieren Sie Ihre Sicherheitsgeräte korrekt.

Wie Sie Ihre Sicherheitsgeräte positionieren, beeinflusst den Schutz, den sie bieten. Die effektive Positionierung von Firewalls ist besonders wichtig. Idealerweise sollte eine Firewall an jedem Netzwerkzonenübergang platziert werden, um als Barriere zwischen verschiedenen Segmenten zu dienen. Moderne Firewalls verfügen oft über integrierte Funktionen wie Intrusion-Detection- und -Prevention-Systeme, DDoS-Minderung und Webfilter, was sie besonders geeignet für die Perimeterverteidigung macht.

Webanwendungs-Firewalls (WAFs) sollten am besten in Zonen platziert werden, in denen Anwendungen gehostet werden, wie zum Beispiel in der DMZ. Diese Platzierung hilft dabei, Webanwendungen vor Bedrohungen wie SQL-Injection und Cross-Site-Scripting zu schützen. Lastverteiler, die den Anwendungsverkehr verwalten, oder DNS-Server sollten ebenfalls innerhalb der DMZ liegen, um den Datenverkehr zu optimieren und die Sicherheit zu verbessern.

Sichern Sie Netzwerkausrüstung physisch.

Eine weitere bewährte Methode für eine sichere Netzwerkinfrastruktur ist die strenge Kontrolle des Zugangs zur Netzwerkinfrastruktur. Nur autorisiertes Personal sollte Zugang zu Bereichen wie Verkabelungsschränken, Hauptverteilerrahmen (MDFs), Zwischenverteilerrahmen (IDFs), Servern und insbesondere Rechenzentren haben. Für den Zutritt in jedes kritische Gebiet sollte eine Authentifizierung erforderlich sein.

Zusätzlich sollten Organisationen die Verwendung von USB-Sticks und externen Laufwerken verbieten, um zu verhindern, dass Insider sensible Daten entfernen.

Verwenden Sie die Netzwerkadressübersetzung.

Network Address Translation (NAT) übersetzt alle privaten Adressen einer Organisation in eine einzige öffentliche IP-Adresse für externe Kommunikation. Ohne NAT wären die IPv4-Adressen schon vor langer Zeit erschöpft gewesen. Der Vorteil von NAT für die Netzwerksicherheit besteht jedoch darin, dass es die Struktur des internen Netzwerks vor Außenstehenden verbirgt und so eine zusätzliche Ebene der Privatsphäre und Sicherheit bietet.

Verwenden Sie persönliche Firewalls.

Persönliche Firewalls sind softwarebasierte Firewalls, die auf jedem Computer oder Server installiert sind. Obwohl sie häufig in das Betriebssystem integriert sind, können sie auch als Drittanbieteranwendungen installiert werden. Wie herkömmliche Firewalls beschränken sie den ein- und ausgehenden Datenverkehr, um das Gerät zu schützen.

Die Konfiguration persönlicher Firewalls kann anfangs zeitaufwändig sein aufgrund der Vielfalt an Anwendungen und Diensten, die auf einem Gerät laufen. Das Überspringen dieses Schrittes aus Bequemlichkeit kann Geräte jedoch anfällig für Malware und Hacking machen. Aktivieren Sie immer persönliche Firewalls, um die Sicherheit jedes Geräts innerhalb des breiteren Netzwerks zu gewährleisten.

Verwenden Sie Whitelisting, wenn möglich.

Die Anwendung von Whitelisting ist die Praxis, eine Liste von genehmigter Software zu erstellen und nur diesen Anwendungen die Ausführung zu erlauben. Diese Strategie kann das Risiko erheblich reduzieren; zum Beispiel kann sie verhindern, dass durch Phishing-Angriffe oder bösartige Websites übermittelte Malware ausgeführt wird.

Allerdings ist Whitelisting nicht immer praktikabel, da die Liste ständig mit allen Anwendungen aktualisiert werden muss, die jemand in der Organisation aus einem legitimen Grund ausführen darf.

Verwenden Sie einen Web-Proxy-Server, um den Internetzugang zu verwalten.

Durch die Authentifizierung und Überwachung ausgehender Verbindungen stellt ein Web-Proxy-Server sicher, dass nur von legitimen Benutzern initiierte Web-Traffic zugelassen wird. Dies hilft beispielsweise zu verhindern, dass Malware innerhalb des Netzwerks mit dem Command-and-Control-Server des Angreifers kommuniziert.

Durchsetzung des Prinzips der geringsten Berechtigungen.

Sich ausschließlich auf externe Cyberbedrohungen zu konzentrieren, kann dazu führen, dass die ebenso kritische Komponente von Insider-Bedrohungen übersehen wird. Es ist entscheidend, die Zugriffsrechte jedes Benutzers auf das für ihre Rollen Wesentliche zu beschränken; dies verringert den Schaden, den ein Benutzer versehentlich oder absichtlich anrichten kann, und die Macht, die ein Angreifer durch Kompromittierung des Kontos erlangen würde. Zusätzlich sollten starke Authentifizierungsmaßnahmen implementiert werden, um gestohlene Anmeldeinformationen nutzlos zu machen.

Erfordern Sie VPNs für den Fernzugriff.

Ein virtuelles privates Netzwerk (VPN) stellt über eine öffentliche Netzwerkinfrastruktur eine sichere und private Netzwerkverbindung her. Es ermöglicht entfernten Benutzern, sich mit dem Netzwerk zu verbinden, als wären sie lokal verbunden. VPNs können auch verwendet werden, um LANs sicher über das Internet zu verbinden, indem ein sicherer Tunnel verwendet wird, der alle Daten während der Übertragung verschlüsselt. VPNs benötigen entweder spezialisierte Hardware oder auf Servern und Arbeitsstationen installierte VPN-Software.

Best Practices für Netzwerksicherheit zur Bedrohungserkennung und Reaktion

Grundlegende Netzwerkprotokolle festlegen und die Nutzung überwachen.

Legen Sie die Basisnutzung verschiedener Protokolle in Ihren kabelgebundenen und drahtlosen Netzwerken fest. Um eine genaue Basislinie zu erstellen, sollten Daten aus einer Vielzahl von Quellen gesammelt werden, einschließlich Router, Switches, Firewalls, drahtlose Zugangspunkte, Netzwerk-Sniffer und spezielle Datensammler. Überwachen Sie dann Abweichungen von diesen Basislinien, die auf Daten-Tunneling, schädliche Software, die Daten an nicht autorisierte Ziele überträgt, und andere Bedrohungen hinweisen können.

Verwenden Sie Honeypots und Honeynets.

Ein Honeypot ist ein Täuschungssystem, das so gestaltet ist, dass es wie ein echtes Netzwerkasset aussieht, und ein Honeynet ist ein Netzwerk von Honeypots, das eine größere, komplexere Netzwerkumgebung simuliert. Sie sind darauf ausgelegt, Gegner dazu zu verleiten, mit ihnen zu interagieren, sowohl um bösartige Akteure von den wahren Assets abzulenken als auch um Sicherheitsteams zu ermöglichen, Angriffstechniken zu studieren und andere Erkenntnisse für ein effektives Threat Management zu sammeln.

Verwenden Sie Systeme zur Einbruchserkennung und -prävention.

Es ist entscheidend, Aktivitäten im Netzwerk zu überwachen und zu protokollieren sowie diese zu analysieren, um ungewöhnliche Anmeldungen, verdächtige Computerereignisse und andere Anomalien zu erkennen. Ein intrusion detection system (IDS) überwacht den Datenfluss im Netzwerk auf potenziell bösartige Aktivitäten und alarmiert Administratoren über Anomalien. Ein intrusion prevention system (IPS) überwacht ebenfalls den Netzwerkverkehr auf Bedrohungen; jedoch kann es zusätzlich zu den Warnungen an Administratoren automatisch Maßnahmen ergreifen, um Bedrohungen zu blockieren oder abzumildern. 

Diese Tools können ein wertvoller Teil Ihrer Netzwerksicherheitsstrategie sein. Zum Beispiel könnten sie durch den Vergleich der aktuellen Aktivität mit einer etablierten Basislinie einen Anstieg der Netzwerkaktivität erkennen, der auf einen Ransomware- oder SQL-Injection-Angriff hindeuten könnte. Sie können auch Angriffssignaturen verwenden — charakteristische Merkmale, die für einen spezifischen Angriff oder ein Muster von Angriffen typisch sind — um Angriffe zu erkennen, die keine Aktivitäten erzeugen, die gegen die Basislinie Ihrer Organisation verstoßen.

Automatisieren Sie die Reaktion auf Angriffe, wenn dies angebracht ist.

Viele moderne Sicherheitstools können so konfiguriert werden, dass sie automatisch auf bekannte Bedrohungen reagieren. Zum Beispiel können diese Systeme:

  • IP-Adresse blockieren — Ein IPS oder eine Firewall kann die IP-Adresse blockieren, von der der Angriff ausging. Diese Option ist sehr wirksam gegen Phishing- und Denial-of-Service-Angriffe. Allerdings fälschen manche Angreifer während der Angriffe die Quell-IP-Adresse, sodass die falsche Adresse blockiert wird.
  • Verbindungen trennen — Router und Firewalls können so konfiguriert werden, dass sie die Verbindungen, die ein Eindringling mit dem kompromittierten System aufrechterhält, durch das Zielrichten von RESET TCP-Paketen auf den Angreifer unterbrechen.
  • Beschaffen Sie zusätzliche Informationen — Tools können auch wertvolle Informationen sammeln, die dabei helfen festzustellen, wie der Punkt des Erstzugriffs, welche Konten kompromittiert wurden, wie sich die Eindringlinge im Netzwerk bewegt haben und welche Daten kompromittiert wurden.

Bonus-Best-Practice

Eine letzte Netzwerksicherheits-Best-Practice gilt sowohl für die Bedrohungsprävention als auch für die Erkennung & Reaktion.

Verwenden Sie mehrere Anbieter.

Die Verwendung von Lösungen verschiedener Anbieter stärkt die Cyber-Resilienz, indem das Risiko, das mit einem einzigen Ausfallpunkt verbunden ist, verringert wird – wenn eine Lösung eines Anbieters kompromittiert wird, hilft die Präsenz von Lösungen anderer Anbieter, den Verteidigungsschild aufrechtzuerhalten. Dieser Ansatz ermöglicht auch eine größere Anpassungsfähigkeit auf sich entwickelnde Bedrohungen und Sicherheitsanforderungen. Im weiteren Sinne kann dies zu wettbewerbsfähigen Preisen führen und Innovationen vorantreiben, da Anbieter bestrebt sind, die fortschrittlichsten und kostengünstigsten Lösungen anzubieten.

Fazit

Indem Sie sich an die hier detailliert beschriebenen besten Praktiken für Netzwerksicherheit halten, kann Ihre Organisation das Risiko kostspieliger Geschäftsunterbrechungen und Sicherheitsvorfälle verringern sowie die Einhaltung der heutigen strengen gesetzlichen Vorgaben gewährleisten.

Appendix A: Das OSI-Modell

Das OSI-Modell (Open Systems Interconnection) ist ein etablierter Rahmen für Netzwerksysteme. Es umfasst sieben Schichten, von der physischen Hardware bis zu Interaktionen auf Anwendungsebene:

Layer

Funktion

Netzwerkgerätetypen

Protokolle oder Standards

7: Anwendung

Bietet Dienste wie E-Mail, Dateiübertragungen und Dateiserver an

HTTP, FTP, TFTP, DNS, SMTP, SFTP, SNMP, RLogin, BootP, MIME

6: Präsentation

Bietet Verschlüsselung, Codeumwandlung und Datenformatierung

MPEG, JPEG, TIFF

5: Sitzung

Verhandelt und stellt eine Verbindung mit einem anderen Computer her

Gateways

SQL, X-Window, ASP, DNA, SCP, NFS, RPC

4: Transport

Unterstützt die durchgängige Bereitstellung von Daten

Gateway

TCP, UDP, SPX

3: Netzwerk

Führt Paketweiterleitung durch

Router

IP, OSPF, ICMP, RIP, ARP, RARP

2: Datenverbindung

Stellt Fehlerprüfung und Übertragung von Nachrichtenrahmen bereit

Wechseln

Ethernet, Token Ring, 802.11

1: Physisch

Stellt physisch eine Verbindung mit dem Übertragungsmedium her und sendet Daten über das Netzwerk

Hub

EIA RS-232, EIA RS-449, IEEE, 802

Netwrix Auditor für Netzwerkgeräte

Verbessern Sie die Sicherheit Ihres Netzwerks durch Einblick in Konfigurationsänderungen, Anmeldeversuche, Scan-Bedrohungen und Hardwarefehlfunktionen auf Ihren Netzwerkgeräten

Kostenlose 20-Tage-Testversion herunterladen

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management