Deutsch
Blog · Netzwerksicherheit

Netzwerksegmentierung für NIS2 und ISO 27001: von der Compliance-Anforderung zur praktischen Sicherheitsmaßnahme

Netzwerksegmentierung begrenzt laterale Bewegung und schützt kritische Systeme

Die meisten Unternehmensnetzwerke wurden einst „flach“ aufgebaut: ein großes Netzwerk, in dem der Laptop am Empfang, der Buchhaltungsserver, die Produktionsmaschinen und die Backups einander alle erreichen können. Das ist bequem im Betrieb, aber genau das Szenario, auf das ein Angreifer hofft. Wer über eine einzige erbeutete Anmeldung oder ein anfälliges Gerät hereinkommt, kann sich frei durch das gesamte Netzwerk bewegen — vom Arbeitsplatz zum Server zum Backup — ohne je auf eine zweite Hürde zu stoßen.

Netzwerksegmentierung bringt diese Hürden ins Netzwerk zurück. Sie ist zugleich eine der wirksamsten technischen Maßnahmen gegen Ransomware und eine Anforderung, die sowohl NIS2 als auch ISO 27001 von Ihnen erwarten. Dieser Beitrag erklärt, was Segmentierung ist, warum sie funktioniert, wie sie in beide Rahmenwerke passt und wie Sie sie so umsetzen, dass Sie sie im Audit auch nachweisen können.

Was ist Netzwerksegmentierung?

Netzwerksegmentierung bedeutet, Ihr Netzwerk in getrennte Zonen aufzuteilen und den Verkehr zwischen diesen Zonen bewusst zu kontrollieren. Statt eines offenen Raums, in dem alles mit allem spricht, entstehen Abschnitte mit klaren Grenzen — vergleichbar mit Brandabschnitten in einem Gebäude. Ein Vorfall in einer Zone greift nicht automatisch auf den Rest über.

In der Praxis gibt es Segmentierung auf mehreren Ebenen, von grob bis fein:

  • Physische Trennung: eigene Geräte oder Netzwerke für kritische Systeme (z. B. ein isoliertes OT-/Produktionsnetzwerk).
  • VLAN- und Subnetz-Segmentierung: logische Zonen wie Büro, Gäste-WLAN, Server, Kameras und IoT, mit einer Firewall, die den Verkehr an der Zonengrenze filtert.
  • Mikrosegmentierung: feingranulare Isolation bis auf einzelne Systeme oder Workloads, bei der nur ausdrücklich erlaubter Verkehr durchgelassen wird.
  • Zero-Trust-Segmentierung: Zugriff wird nicht durch den Standort im Netzwerk bestimmt, sondern pro Verbindung anhand von Identität, Gerät und Kontext geprüft — das Prinzip „niemals vertrauen, immer verifizieren“.

Dieser Ansatz entspricht dem breiteren Zero-Trust-Modell, das das US-amerikanische NIST in SP 800-207 (Zero Trust Architecture) beschreibt und das inzwischen viele europäische Sicherheitsstrategien untermauert. Segmentierung ist dessen Netzwerkschicht: Sie macht den Gedanken „Zugriff auf das strikt Notwendige beschränken“ konkret und durchsetzbar.

Warum Segmentierung wirkt: laterale Bewegung stoppen

Der Hauptgrund, warum Angreifer so viel Schaden anrichten, ist nicht der erste Einbruch — sondern was danach geschieht. Nach dem initialen Zugriff bewegen sich Angreifer lateral: Vom ersten kompromittierten System aus suchen sie nach Konten, Servern und Daten mit höherem Wert. In einem flachen Netzwerk kostet das kaum Mühe.

Zwei Zahlen aus unabhängiger Forschung zeigen, wie viel Zeit Angreifer dafür bekommen. Laut dem M-Trends-2025-Bericht von Mandiant (Google Cloud) beträgt die globale mediane Dwell Time — die Zeitspanne, in der ein Angreifer unentdeckt im System bleibt — 11 Tage. In diesen Tagen entscheidet Ihr Netzwerkdesign, ob der Angreifer an einem Arbeitsplatz bleibt oder zu Ihren Kronjuwelen durchbricht. Der jährliche Verizon Data Breach Investigations Report zeigt zudem seit Jahren, dass gestohlene Zugangsdaten und ausgenutzte Schwachstellen die wichtigsten Einfallstore sind — genau die Szenarien, in denen Segmentierung den Schaden begrenzt.

Segmentierung verkleinert den sogenannten Blast Radius: die Reichweite eines Vorfalls. Führende behördliche Leitlinien bestätigen das. Die US-Cyberbehörde CISA empfiehlt in ihrem #StopRansomware Guide ausdrücklich den Einsatz von Netzwerksegmentierung, um die laterale Bewegung von Angreifern zu erschweren und die Ausbreitung von Ransomware zu verhindern. Für KMU und Organisationen mit mehreren Standorten, Kunden oder Abteilungen ist das oft der Unterschied zwischen einem isolierten Vorfall und einem unternehmensweiten Ausfall.

Der Zusammenhang mit NIS2 und ISO 27001

Segmentierung ist nicht nur gute Hygiene — sie berührt unmittelbar zwei Rahmenwerke, denen immer mehr Organisationen in Deutschland, den Niederlanden und Belgien entsprechen müssen.

NIS2: angemessene Maßnahmen und Zugriffsbeschränkung

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen, angemessene technische, operative und organisatorische Maßnahmen zu ergreifen. Artikel 21 nennt unter anderem Risikoanalyse, Sicherheit von Netz- und Informationssystemen, Zugriffskontrollrichtlinien und die Bewältigung von Vorfällen. NIS2 schreibt Segmentierung nicht wörtlich vor, aber Zugriffsbeschränkung, Netzwerksicherheit und die Begrenzung der Auswirkungen von Vorfällen sind allgemein anerkannte Umsetzungen — wie auch die technische Umsetzungsanleitung der ENISA, der EU-Agentur für Cybersicherheit, zeigt. Wer Segmentierung dort anwendet, wo sie verhältnismäßig ist, und sie aus dem Risiko begründet, zeigt, dass die Maßnahmen „angemessen“ sind.

ISO 27001: Annex A macht es konkret

ISO 27001:2022 übersetzt dasselbe Prinzip in konkrete Maßnahmen in Annex A. Vier davon sind direkt relevant:

  • A.8.20 – Netzwerksicherheit: Netzwerke und Netzwerkgeräte müssen gesichert, verwaltet und kontrolliert werden.
  • A.8.22 – Trennung von Netzwerken: Gruppen von Informationsdiensten, Benutzern und Systemen müssen im Netzwerk voneinander getrennt werden. Dies ist die Kernmaßnahme, die buchstäblich nach Segmentierung verlangt.
  • A.8.15 – Protokollierung: Ereignisse werden aufgezeichnet, einschließlich Verkehr und Zugriff zwischen Zonen.
  • A.8.16 – Überwachungsaktivitäten: Netzwerke und Systeme werden auf anormales Verhalten überwacht.

Für einen Auditor lautet die Frage nicht nur, ob Sie segmentieren, sondern ob die Wahl aus Ihrer Risikoanalyse stammt und ob Sie ihre Wirksamkeit nachweisen können. Segmentierung ist damit ein Musterbeispiel dafür, wie NIS2 und ISO 27001 einander verstärken: dieselbe Maßnahme bedient beide Rahmenwerke.

Praktische Maßnahmen: so gehen Sie vor

Segmentierung muss kein mehrjähriges Projekt sein. Ein pragmatischer, risikogesteuerter Ansatz liefert schnell Ergebnisse:

  1. Verkehrsströme erfassen. Sie können nicht trennen, was Sie nicht sehen. Beginnen Sie damit zu verstehen, welche Systeme miteinander sprechen und warum.
  2. Zonen nach Risiko festlegen. Denken Sie an: kritische Server und Daten, Büroarbeitsplätze, Gäste-WLAN, IoT/Kameras, Management und Backup. Kritische Systeme erhalten die strengsten Grenzen.
  3. Policy pro Zonengrenze definieren. Standardmäßig alles blockieren und nur notwendigen Verkehr ausdrücklich erlauben (Default-Deny). Das ist das Segmentierungs-Äquivalent zu Least Privilege.
  4. Management und Backups isolieren. Management-Schnittstellen und Backup-Umgebungen gehören in eine separate, streng abgeschirmte Zone — gerade sie sind das Ziel bei Ransomware.
  5. Mit den größten Risiken beginnen. Trennen Sie zuerst Gäste, IoT und kritische Server; verfeinern Sie später in Richtung Mikrosegmentierung, wo das Risiko es rechtfertigt.
  6. Dokumentieren und überprüfen. Halten Sie Zoneneinteilung, Policy und Begründung fest und prüfen Sie sie regelmäßig — auch das ist eine Audit-Anforderung.

Für kleinere Organisationen fügt sich das nahtlos in die breiteren Cybersecurity-Basismaßnahmen und in ISO 27001 für KMU ein, bei denen Verhältnismäßigkeit im Mittelpunkt steht.

Protokollierung, Monitoring, Audit-Trails und SIEM

Einer Zonengrenze, die Sie nicht sehen, können Sie nicht vertrauen. Segmentierung und Sichtbarkeit sind untrennbar: Der Verkehr zwischen den Zonen ist genau der Ort, an dem Sie Angreifer bei lateraler Bewegung ertappen. Deshalb verlangen sowohl A.8.15/A.8.16 als auch NIS2 nach Protokollierung und Monitoring.

Das NIST-Dokument SP 800-92 (Guide to Computer Security Log Management) gilt als Referenz für strukturiertes Log-Management: Logs zentral sammeln, gegen Manipulation schützen und lange genug für Untersuchungen aufbewahren. In der Praxis heißt das, dass die Verkehrs- und Policy-Logs Ihrer Segmentierungslösung an ein SIEM (Security Information and Event Management) weitergeleitet werden, wo sie mit anderen Quellen korreliert werden. So entstehen brauchbare Audit-Trails: wer tat was, wann, und welcher Verkehr wurde blockiert oder erlaubt. Das ist nicht nur betrieblich wertvoll — es ist genau der Nachweis, den ein Auditor sehen will.

Wie Zenarmor dabei unterstützt

Segmentierung steht und fällt mit der Technik, mit der Sie den Verkehr zwischen den Zonen sehen und durchsetzen. Eine Next-Generation-Firewall mit Application Awareness ist hier ein logischer Baustein. Zenarmor ist eine solche Lösung: Sie fügt gängigen Plattformen Next-Gen-Firewall-Funktionen hinzu und passt gut in einen mehrschichtigen Security- und Compliance-Ansatz. Für ein Segmentierungsszenario relevante Funktionen sind unter anderem:

  • Verkehrssichtbarkeit: Einblick, welche Anwendungen und Nutzer sich über die Zonengrenzen bewegen — die Grundlage für sinnvolle Segmentierung und für ein durchdachtes Segmentierungsdesign.
  • Policy-Enforcement und Anwendungskontrolle: Richtlinien auf Anwendungsebene durchsetzen statt nur über Ports und IP-Adressen — passend zu A.8.20 und A.8.22.
  • Zero-Trust-Prinzipien: Zugriff auf das Notwendige beschränken, im Einklang mit Zero Trust Network Access und dem NIST-Modell.
  • Protokollierung, Audit-Trails und SIEM/SOAR-Integration: Verkehrs- und Policy-Ereignisse an Ihr SIEM exportieren, für Korrelation und Aufbewahrung — die Nachweisbarkeit, die A.8.15/A.8.16 verlangen.
  • API-Automatisierung und Policy-Backup & -Restore: Richtlinien als Code verwalten, versionieren und wiederherstellbar halten, damit Änderungen nachvollziehbar und nachweisbar sind.
  • Mandantenfähige Governance: getrennte Richtlinien und Berichte je Standort, Kunde oder Abteilung — wertvoll für Organisationen, die mehrere Umgebungen verwalten.

Zenarmor ist ausdrücklich kein Ersatz für ein Compliance-Programm, sondern eine praktische Möglichkeit, die technische Schicht zu füllen. Die Governance darum herum — Risikoanalyse, Policy, Statement of Applicability und Nachweisbarkeit im Audit — ist der Bereich, in dem Secrotec Sie neben der Technik begleitet.

Fazit

Netzwerksegmentierung ist eine der wenigen Maßnahmen, die zugleich Ihre Widerstandsfähigkeit erhöht und Ihre Compliance voranbringt. Sie stoppt laterale Bewegung, verkleinert den Blast Radius eines Vorfalls und beantwortet konkrete Anforderungen aus ISO 27001 Annex A (A.8.20, A.8.22, A.8.15, A.8.16) und NIS2 Artikel 21. Mit der richtigen Technik — etwa einer Next-Gen-Firewall wie Zenarmor für Sichtbarkeit und Policy-Enforcement — und der richtigen Governance wird Segmentierung von einer abstrakten Compliance-Anforderung zu einer greifbaren, nachweisbaren Sicherheitsmaßnahme.

Möchten Sie wissen, ob Ihr Netzwerk nachweisbar NIS2 und ISO 27001 erfüllt? Secrotec hilft Ihnen von der Risikoanalyse bis zur audit-fähigen Umsetzung.

FAQ

Häufig gestellte Fragen

Kurze, direkte Antworten auf die häufigsten Fragen.

NIS2 nennt Segmentierung nicht ausdrücklich, aber Artikel 21 verlangt angemessene technische und organisatorische Maßnahmen zum Schutz von Netz- und Informationssystemen. Netzwerksegmentierung, Zugriffsbeschränkung und Monitoring sind allgemein anerkannte Umsetzungen davon. Aufsichtsbehörden und Normen wie ISO 27001 erwarten, dass Sie Segmentierung dort anwenden, wo das Risiko es rechtfertigt, und die Wahl aus Ihrer Risikoanalyse begründen.

Die relevantesten Maßnahmen der ISO 27001:2022 sind A.8.20 (Netzwerksicherheit), A.8.22 (Trennung von Netzwerken), A.8.15 (Protokollierung) und A.8.16 (Überwachungsaktivitäten). Zusammen verlangen sie getrennte Netzwerkzonen, kontrollierten Verkehr zwischen den Zonen sowie nachweisbare Protokollierung und Überwachung dieses Verkehrs.

Die VLAN-Segmentierung teilt das Netzwerk in einige große Zonen (z. B. Büro, Gäste, Server) und filtert den Verkehr an deren Grenze. Die Mikrosegmentierung ist feingranularer: Sie isoliert einzelne Systeme oder Workloads und lässt nur ausdrücklich erlaubten Verkehr zu — nach dem Zero-Trust-Prinzip „niemals vertrauen, immer verifizieren“. Mikrosegmentierung begrenzt laterale Bewegung stärker, erfordert aber mehr Einblick in die Verkehrsströme.

Dokumentieren Sie die Zoneneinteilung, die zugehörige Policy und ihre Begründung aus der Risikoanalyse. Sorgen Sie dafür, dass Firewall-Regeln, Policies und Änderungen versioniert und protokolliert werden und dass der Verkehr zwischen den Zonen überwacht und aufbewahrt wird. Eine zentrale Konsole mit Audit-Trails, Policy-Backup und Export in Ihr SIEM liefert den Nachweis, den ein Auditor sehen will: dass die Maßnahme existiert, wirkt und verwaltet wird.

Ist Ihr Netzwerk nachweisbar sicher und konform?

Vereinbaren Sie einen unverbindlichen Security- & Compliance-Scan. Innerhalb eines Gesprächs wissen Sie, wo Ihre Segmentierung im Vergleich zu NIS2 und ISO 27001 steht und was der nächste Schritt ist.

Scan anfragen

Vertraut von Organisationen

Certe Groep Certe Assuradeuren Chatbot Soluck Wattse Nextech Muast