VLAN als zusätzliche Sicherheitsebene

5 Sep 2019

Jedes Unternehmen hat Mitarbeiter, die tagtäglich große Mengen externer E-Mails handhaben. HR-Beauftragte, PR-Manager und Verkäufer sind nur einige wenige Beispiele. Zusätzlich zu ihren normalen E-Mails erhalten sie jede Menge Spam- und Phishing-Nachrichten sowie schädliche Anhänge. Zudem kommt, dass sie aufgrund ihrer Arbeit ungeprüfte Anhänge und Links von unbekannten E-Mail-Adressen öffnen müssen. IT-Sicherheitsexperten isolieren solche Abteilungen normalerweise von wichtigen Knoten im Unternehmensnetzwerk. In Unternehmen ohne dedizierte IT-Sicherheit stellen sie jedoch ein großes Risiko für alle Mitarbeiter dar.

LAN-Segmentation

Eine der effektivsten Möglichkeiten, um Unternehmenseinheiten, die mit wichtigen Informationen arbeiten, vor dem Risiko einer Infektion zu schützen, besteht darin, das Unternehmensnetzwerk in mehrere autonome Subnetze zu unterteilen.

Im Idealfall sollten alle potenziell gefährlichen Abteilungen auch physisch isoliert werden. Dazu müssen mehrere Router installiert werden, um das Unternehmensnetzwerk so in separate Subnetze aufteilen zu können. Leider hat diese Lösung einige grundlegende Nachteile. Zum einen bedeutet zusätzliches Equipment immer auch zusätzliche Kosten; zum anderen ist das Modifizieren einer vorhandenen Netzwerkinfrastruktur für Systemadministratoren immer ein Problem.

Eine einfachere Alternative besteht darin, ein virtuelles LAN (VLAN) einzurichten, um mehrere Netzwerke auf der Basis eines physischen Netzwerks einzurichten, ohne Hardware ersetzen zu müssen. Sie werden programmatisch konfiguriert; das heißt, dass auch die bereits vorhandene Verkabelung bestehen bleiben kann.

VLAN

Meist wird die sogenannte VLAN-Technologie verwendet, um Computer, die an verschiedene physische Router angeschlossen sind (Rechner in verschiedenen Büros beispielsweise), in einem einzigen Subnetz zu kombinieren. Dieser Schritt bringt einige Sicherheitsvorteile mit sich, da auf diese Weise nicht nur ein unbefugter Zugriff von einem Subnetz auf die Geräte eines anderen Netzes verhindert werden kann, sondern weil darüber hinaus auch die Verwaltung von Sicherheitsrichtlinien vereinfacht werden können, sodass Administratoren Richtlinien gleichzeitig auf ein gesamtes Subnetz anwenden können.

Um den größten Nutzen aus Ihrem VLAN ziehen zu können, benötigen Sie eine professionelle Netzwerkausrüstung. Jedoch wird die Technologie jetzt auch von einigen Heimroutern wie Keenetic unterstützt.

Keine Wunderwaffe

So viel sei gesagt: VLAN ist kein Allheilmittel. Zwar hilft es dabei, das Risiko einer Ausbreitung von Infektionen auf kritische Knoten zu minimieren, bietet jedoch keinen besonderen Schutz für die Abteilungen innerhalb der „Risikozone“. Deshalb sollten Sie Folgendes grundsätzlich immer tun:

  • Schulen Sie Ihre Mitarbeitet im Bereich der Informationssicherheit und erinnern Sie regelmäßig an die Existenz verdächtiger/schädlicher E-Mails.
  • Aktualisieren Sie die Software von Workstations, Netzwerken und anderen Geräten regelmäßig, damit Cyberkriminelle nicht über bekannte Schwachsellen in Ihre Infrastruktur eindringen können.
  • Verwenden Sie eine zuverlässige Sicherheitslösung für Workstations und Server, mit der schädliche Programme und Ressourcen erkannt und neutralisiert werden können.