Bundesamt für Sicherheit in der Informationstechnik

G 3.29 Fehlende oder ungeeignete Segmentierung

Lokale Netze können physisch durch aktive Netzkomponenten oder logisch durch eine entsprechende VLAN -Konfiguration segmentiert werden. Dabei werden die angeschlossenen IT -Systeme eines Netzes auf verschiedene Segmente verteilt. Dies verbessert die Lastverteilung innerhalb des Netzes und erhöht dessen Administrierbarkeit.

Dabei kann es zu folgenden konkreten Gefährdungen kommen:

  • Verlust der Verfügbarkeit
    Eine hohe Anzahl von IT -Systemen innerhalb eines Schicht-2-Segments bringt auch eine hohe Netzlast in dem entsprechenden Segment mit sich. Dies kann dessen Verfügbarkeit stark beeinträchtigen und sogar zu dessen Überlastung bzw. Ausfall führen. Eine ungeeignete Segmentierung kann auch dann vorliegen, wenn Systeme durch aktive Netzkomponenten der Schicht 2 oder 3 getrennt werden, die sehr viel miteinander kommunizieren.
  • Kein ausreichender Schutz der Vertraulichkeit
    Um vertrauliche Informationen zu schützen, sollten nur die berechtigten Benutzer darauf zugreifen dürfen. Broadcast-Domänen sind daher auf das unbedingt notwendige Maß zu beschränken. Wurden die einzelnen Segmente jedoch ungeeignet konfiguriert, können Unbefugte die übertragenen vertraulichen Informationen mitlesen und auswerten.

Beispiel:

  • Zwei IT -Systeme, die große Datenmengen austauschen, sind durch einen Router getrennt. Handelt es sich hierbei um einen langsamen Router, kann dies eine ungeeignete Segmentierung darstellen, da der Datenverkehr durch einen relativ langsamen Router geführt werden muss.

Stand: 15. EL Stand 2016