Stell dir ein Bürogebäude vor, in dem alle Türen offenstehen und es keine Schlösser gibt. Jeder, der das Gebäude betritt, hat Zugang zu jedem Raum — vom Empfang bis zum Tresorraum. Genau so funktioniert ein unsegmentiertes Netzwerk. A.8.22 fordert die Aufteilung des Netzwerks in Sicherheitszonen mit kontrolliertem Datenverkehr zwischen ihnen — nach dem Prinzip der geringsten erforderlichen Kommunikation.
Segmentierung ist eine der wirksamsten Maßnahmen gegen Lateral Movement: Selbst wenn ein Angreifer ein System kompromittiert, kann er sich nicht frei im gesamten Netzwerk bewegen.
Was verlangt die Norm?
- Nach Schutzbedarf segmentieren. Netzwerke werden basierend auf Vertrauensstufen, Sensibilität der Daten oder organisatorischen Einheiten in separate Zonen aufgeteilt.
- Physische oder logische Trennung. VLANs, Firewalls, SDN oder physisch getrennte Netzwerke — die Methode richtet sich nach dem Schutzbedarf.
- Gateways kontrollieren. Der Datenverkehr zwischen Zonen wird über kontrollierte Übergangspunkte (Firewalls) gesteuert.
- WLAN als untrusted behandeln. Drahtlose Netzwerke werden als nicht vertrauenswürdig betrachtet, bis der Traffic Sicherheitskontrollen durchlaufen hat.
- Regelmäßig überprüfen. Segmentierungsregeln und Firewall-Konfigurationen werden periodisch auf Aktualität und Wirksamkeit geprüft.
In der Praxis
Zonenkonzept erstellen. Definiere Sicherheitszonen basierend auf dem Schutzbedarf der dort befindlichen Systeme. Dokumentiere für jede Zone: Zweck, enthaltene Systeme, erlaubte Kommunikation, verantwortliche Person.
Firewall-Regeln nach Least-Privilege. Zwischen Zonen ist standardmäßig kein Traffic erlaubt. Jede erlaubte Kommunikation wird als explizite Regel mit Quelle, Ziel, Port und Protokoll definiert. „Any-to-Any”-Regeln sind ein Audit-Befund.
DMZ für Internet-facing Services. Webserver, E-Mail-Gateways und andere Internet-erreichbare Dienste stehen in einer DMZ — einer Zone zwischen Internet und internem Netzwerk. Die DMZ hat eingeschränkten Zugriff auf das interne Netz.
Segmentierung validieren. Regelmäßige Tests (z.B. mit Nmap oder dedizierten Segmentierungstest-Tools), die prüfen, ob die Segmentierung tatsächlich wirksam ist. Penetrationstests sollten explizit Lateral Movement testen.
Typische Audit-Nachweise
Auditoren erwarten bei A.8.22 typischerweise diese Nachweise:
- Zonenkonzept — dokumentierte Sicherheitszonen mit erlaubten Kommunikationsflüssen (→ IT-Betriebsrichtlinie im Starter Kit)
- Firewall-Regelwerk — aktuelle Regeln mit Dokumentation
- Netzwerktopologie-Diagramm — Visualisierung der Segmentierung
- Regelwerk-Review-Protokoll — Nachweis der quartalsweisen Überprüfung
- Segmentierungstest-Ergebnisse — Nachweis, dass die Segmentierung wirksam ist
KPI
Anteil der Netzwerkzonen mit ordnungsgemäßer Segmentierung nach Sicherheitsklassifikation
Gemessen als Prozentsatz: Wie viele deiner definierten Sicherheitszonen haben wirksame Segmentierung mit dokumentierten und geprüften Firewall-Regeln? Ziel: 100%.
Ergänzende KPIs:
- Anzahl der „Any-to-Any”-Regeln im Firewall-Regelwerk (Ziel: 0)
- Anteil der Firewall-Regeln mit dokumentiertem Geschäftszweck
- Anzahl der erkannten Segmentierungsverstöße pro Quartal
BSI IT-Grundschutz
A.8.22 mappt auf die BSI-Bausteine für Netzarchitektur:
- NET.1.1 (Netzarchitektur und -design) — der Kernbaustein. Verlangt ein Zonenkonzept mit definierten Sicherheitsübergängen, Firewalls an Zonengrenzen und dokumentierte Kommunikationsbeziehungen.
- NET.1.2 (Netzmanagement) — Management-Traffic in separatem Segment.
Verwandte Kontrollen
- A.8.20 — Netzwerksicherheit: Die übergeordnete Netzwerk-Kontrolle, deren Kernmaßnahme die Segmentierung ist.
- A.8.21 — Sicherheit von Netzwerkdiensten: Netzwerkdienste werden innerhalb der definierten Zonen betrieben.
- A.8.23 — Web-Filterung: Web-Filter an der Zonengrenze zum Internet.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.8.22 — Trennung von Netzwerken
- ISO/IEC 27002:2022 Abschnitt 8.22 — Umsetzungshinweise zur Netzwerktrennung
- BSI IT-Grundschutz, NET.1.1 — Netzarchitektur und -design