Netzwerk-Sicherheit für Unternehmen

ARPANET (1969) war ein reines Vertrauensnetzwerk — alle Teilnehmer kannten sich. Das änderte sich schlagartig mit Clifford Stolls "The Cuckoo's Egg" (1986): Der erste dokumentierte Cyberangriff auf militärische Netzwerke, geführt aus Deutschland. Die erste kommerzielle Firewall (DEC SEAL, 1992) setzte auf Paketfilterung. Stateful Inspection, IDS und IPS folgten. Dann kam der Paradigmenwechsel: der RSA-Hack 2011, Target 2013, Sony 2014 — alles breaches, bei denen Angreifer monatelang im "internen" Netzwerk operierten, unentdeckt. Google entwickelte 2014 intern BeyondCorp als Antwort: kein vertrauenswürdiges internes Netz mehr. Zero Trust war geboren.

• 1986: Clifford Stoll dokumentiert ersten dokumentierten Netzwerkeinbruch (KGB-Hacker aus Hannover)
• 1992: DEC SEAL — erste kommerzielle Firewall, Paketfilterung auf Netzwerkebene
• 2003: SQL Slammer Worm — 75.000 Systeme in 10 Minuten befallen, Internet temporär verlangsamt
• 2011: RSA SecurID Hack — Angreifer im Netz über Monate, dann Angriff auf US-Rüstung
• 2014: Google BeyondCorp — Zero-Trust-Modell: kein vertrauenswürdiges Netz, jede Anfrage authentifiziert
• 2022: Uber Hack — Teenager übernahm komplettes Firmen-Netzwerk per MFA-Fatigue-Angriff

Lateral Movement — die seitwärtige Bewegung durch ein Netzwerk nach dem ersten Einbruch — ist die Kernkompetenz jedes fortgeschrittenen Angreifers (APT). Techniken wie Pass-the-Hash, Pass-the-Ticket, Kerberoasting und Golden Ticket ermöglichen es, von einem kompromittierten Endpunkt aus Domain-Admin-Rechte zu erlangen. Das Mitre ATT&CK Framework dokumentiert 14 Taktiken und über 400 Techniken, die Angreifer nutzen. Das durchschnittliche Unternehmen entdeckt eine Kompromittierung heute nach 16 Tagen (IBM 2023) — genug Zeit für vollständige Netzwerk-Kompromittierung.

• Pass-the-Hash: NTLM-Passwort-Hash aus dem Speicher stehlen und für Authentifizierung nutzen
• Kerberoasting: Service-Account-Hashes aus Active Directory stehlen und offline cracken
• Golden Ticket: Gefälschtes Kerberos-Ticket mit Domain-Admin-Rechten — Persistenz für Monate
• Living-off-the-Land: Windows-Bordmittel (WMI, PowerShell, certutil) für Angriffe nutzen
• MITRE ATT&CK: Öffentliche Datenbank aller bekannten Angriffstechniken — Pflichtlektüre
• Durchschnittliche Verweildauer vor Entdeckung: 16 Tage (IBM Cost of a Data Breach 2023)

Zero Trust ist kein Produkt, das man kauft — es ist ein Architektur-Prinzip. Die drei Kernpfeiler: Mikrosegmentierung (jedes System kommuniziert nur mit explizit erlaubten anderen), Least Privilege Access (jeder Nutzer und Service bekommt nur die Mindestrechte für seine Aufgabe), und kontinuierliche Authentifizierung (jede Anfrage wird authentifiziert und autorisiert, auch im "internen" Netz). SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) sind die Augen eines modernen SOC.

• Mikrosegmentierung: Netzwerk in kleine Zonen aufteilen — East-West-Traffic kontrollieren
• Least Privilege: PAM (Privileged Access Management) — Admin-Rechte nur on-demand
• MFA überall: Auch interne Systeme, VPN, Domänen-Anmeldung mit 2FA absichern
• SIEM/SOAR: Microsoft Sentinel, Splunk, Elastic SIEM — Log-Korrelation für Angriffserkennung
• Network Detection & Response (NDR): Verdächtigen Traffic durch Verhaltensanalyse erkennen
• Deception Technology (Honeypots): Fake-Systeme als Frühwarnsystem im Netzwerk

Netzwerksicherheit ist eine Schichtenarchitektur — keine einzelne Maßnahme schützt vollständig. Defense-in-Depth bedeutet: mehrere unabhängige Sicherheitsmechanismen, sodass der Ausfall einer Schicht nicht zum Totalverlust führt. Wichtig: Logging und Monitoring sind nicht optional. Was nicht protokolliert wird, kann nicht forensisch aufgearbeitet werden.

• Netzwerk-Segmentierung: VLAN für Server, Clients, IoT, Management — mit ACLs erzwingen
• IDS/IPS (Snort, Suricata): Signaturbasierte Erkennung bekannter Angriffsmuster
• EDR auf allen Endpunkten: CrowdStrike, Defender for Endpoint, Carbon Black
• Zentrales Logging: Alle Systeme loggen in SIEM — Retention mindestens 90 Tage
• Regelmäßige Penetrationstests: Externe Sicht auf eigene Schwachstellen
• Incident Response Plan: Dokumentiert, geübt, bekannt — bevor der Ernstfall eintritt