Netzsicherheit ist der Bereich der Cybersicherheit, der sich auf den Schutz von Computernetzwerken vor Cyberbedrohungen konzentriert. Die Netzsicherheit hat drei Hauptziele: den unbefugten Zugriff auf Netzressourcen zu verhindern, laufende Cyberangriffe und Sicherheitsverletzungen zu erkennen und zu stoppen sowie sicherzustellen, dass autorisierte Benutzer sicheren Zugriff auf die benötigten Netzressourcen haben, wenn sie sie benötigen.
Mit zunehmender Größe und Komplexität von Netzwerken steigt auch das Risiko von Cyberangriffen. So haben laut dem Bericht Kosten eines Datenschutzverstoßes 2022 von IBM 83 Prozent der befragten Unternehmen mehr als eine Datenschutzverletzung (eine Sicherheitsverletzung, die zu einem unbefugten Zugriff auf sensible oder vertrauliche Informationen führt) erlebt. Diese Angriffe waren kostenintensiv: Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich weltweit auf 4,35 Mio. USD, in den USA sind sie mit 9,44 Mio. USD mehr als doppelt so hoch.
Netzsicherheit schützt die Integrität der Netzinfrastruktur, der Ressourcen und des Datenverkehrs, um diese Angriffe zu verhindern und ihre finanziellen und operativen Auswirkungen zu minimieren.
Netzsicherheitssysteme arbeiten auf zwei Ebenen: am Perimeter und innerhalb des Netzwerks.
Am Perimeter versuchen Sicherheitsmaßnahmen, das Eindringen von Cyberbedrohungen in das Netzwerk zu verhindern. Da Angreifer diese Maßnahmen jedoch manchmal überwinden, müssen die IT-Sicherheitsteams auch die Ressourcen innerhalb des Netzwerks, wie Laptops und Daten, kontrollieren. Selbst wenn Angreifer eindringen, haben sie keine freie Hand. Diese Strategie, bei der mehrere Kontrollinstrumente zwischen Hacker und potenzielle Sicherheitslücken geschaltet werden, wird als „tiefengestaffelte Sicherheit“ bezeichnet.
Um Netzsicherheitssysteme zu erstellen, kombinieren Sicherheitsteams die folgenden Tools:
Eine Firewall ist eine Software oder Hardware, die verdächtigen Datenverkehr daran hindert, in ein Netzwerk einzudringen oder es zu verlassen, und gleichzeitig legitimen Datenverkehr durchlässt. Firewalls können in der Peripherie eines Netzwerks bereitgestellt oder intern verwendet werden, um ein größeres Netzwerk in kleinere Teilnetze zu unterteilen. Wenn ein Teil des Netzwerks kompromittiert wird, sind die Hacker immer noch vom Rest abgeschnitten.
Es gibt verschiedene Arten von Firewalls mit unterschiedlichen Funktionen. Einfache Firewalls verwenden Paketfilterung, um den Datenverkehr zu überprüfen. Fortschrittlichere Firewall der nächsten Generation (Next-generation Firewalls, NGFWs) unterstützen das Abwehren von Angriffen von außen, KI und maschinelles Lernen, Anwendungserkennung und -kontrolle sowie Threat-Intelligence-Feeds für zusätzlichen Schutz.
Lösungen für die Netzzugriffssteuerung (Network Access Control, NAC) fungieren als Gatekeeper, die Benutzer authentifizieren und autorisieren, um zu bestimmen, wer Zugang zum Netzwerk erhält und was sie darin tun können. „Authentifizierung“ bedeutet die Überprüfung, ob ein Benutzer die Person ist, für die er sich ausgibt. "Autorisierung" bedeutet, authentifizierten Benutzern die Berechtigung zu erteilen, auf Netzressourcen zuzugreifen.
NAC-Lösungen werden häufig eingesetzt, um rollenbasierte Zugriffskontrollrichtlinien („role-based access control“, RBAC) durchzusetzen, bei denen die Berechtigungen der Benutzer auf ihren Jobfunktionen basieren. Beispielsweise kann ein Junior-Entwickler möglicherweise Code anzeigen und bearbeiten, ihn aber nicht für die aktuelle Produktion übermitteln. Im Gegensatz dazu konnten Senior-Entwickler Code anzeigen, schreiben und in die Produktion übertragen. RBAC trägt dazu bei, Datenschutzverletzungen zu verhindern, indem unbefugte Benutzer von Assets ferngehalten werden, auf die sie nicht zugreifen dürfen.
Zusätzlich zur Authentifizierung von Benutzern können einige NAC-Lösungen Risikobewertungen der Benutzerendpunkte durchführen. Ziel dieser Maßnahme ist es, nicht gesicherte oder manipulierte Geräte vom Zugriff auf das Netzwerk abzuhalten. Wenn ein Benutzer versucht, das Netzwerk auf einem Gerät mit veraltetem Malwareschutz oder falschen Konfigurationen einzugeben, verweigert die Netzzugriffssteuerung den Zugriff. Einige fortschrittliche NAC-Tools können nicht konforme Endpunkte automatisch reparieren.
Ein Systeme zur Erkennung und Verhinderung von Angriffen von außen (Intrusion Detection and Prevention System, IDPS) – manchmal auch Intrusion Prevention System (IPS) genannt – kann direkt hinter einer Firewall eingesetzt werden, um den eingehenden Datenverkehr auf Sicherheitsbedrohungen zu überprüfen. Diese Sicherheitstools sind aus Warnsystemen gegen Angriffe von außen (Intrusion-Detection-Systemen, IDS) hervorgegangen, die verdächtige Aktivitäten lediglich zur Überprüfung markierten. IDPS-Lösungen verfügen zusätzlich über die Möglichkeit, automatisch auf mögliche Verstöße zu reagieren, indem sie beispielsweise den Datenverkehr blockieren oder die Verbindung zurücksetzen. Sie sind besonders effektiv bei der Erkennung und Verhinderung von Brute-Force-Attacken und DoS- oder DDoS-Angriffen (Denial of Service bzw. Distributed Denial of Service).
Ein virtuelles privates Netz (VPN) schützt die Identität eines Benutzers, indem es seine Daten verschlüsselt und seine IP-Adresse und seinen Standort maskiert. Wenn jemand ein VPN benutzt, verbindet er sich nicht mehr direkt mit dem Internet, sondern mit einem sicheren Server, der sich in seinem Namen mit dem Internet verbindet.
Mit VPNs können Remote-Mitarbeiter sicher auf Unternehmensnetze zugreifen, selbst über nicht gesicherte öffentliche WiFi-Verbindungen, wie sie in Cafés und Flughäfen zu finden sind. VPNs verschlüsseln den Datenverkehr eines Benutzers und schützen ihn so vor Hackern, die seine Kommunikation abfangen möchten.
Anstelle von VPNs verwenden einige Organisationen Zero Trust Network Access (ZTNA). Anstatt einen Proxy-Server zu verwenden, verwendet ZTNA Zero-Trust-Zugriffssteuerungsrichtlinien, um Remote-Benutzer sicher zu verbinden. Wenn sich Remote-Benutzer über ZTNA bei einem Netzwerk anmelden, erhalten sie keinen Zugriff auf das gesamte Netzwerk. Stattdessen erhalten sie nur Zugang zu den spezifischen Ressourcen, die sie nutzen dürfen, und müssen jedes Mal, wenn sie auf eine neue Ressource zugreifen, erneut verifiziert werden. Weitere Informationen zur Funktionsweise von Zero-Trust-Sicherheit finden Sie weiter unten im Abschnitt „Ein Zero-Trust-Ansatz für die Netzsicherheit“.
Anwendungssicherheit bezieht sich auf die Maßnahmen, die Sicherheitsteams ergreifen, um Apps und Anwendungsprogrammierschnittstellen (APIs) vor Netzwerkangriffen zu schützen. Da viele Unternehmen heutzutage Apps nutzen, um wichtige Geschäftsfunktionen auszuführen oder vertrauliche Daten zu verarbeiten, sind Apps ein häufiges Ziel für Cyberkriminelle. Und da so viele Unternehmensanwendungen in öffentlichen Clouds gehostet werden, können Hacker deren Sicherheitslücken ausnutzen, um in private Unternehmensnetze einzudringen.
Anwendungssicherheitsmaßnahmen schützen Apps vor böswilligen Akteuren. Zu den gängigen Anwendungssicherheitstools gehören Webanwendungsfirewalls (Web Application Firewalls, WAFs), der Selbstschutz von Laufzeitanwendungen (Runtime Application Self-protection, RASP), statische Anwendungssicherheitstests (SAST) und dynamische Tests der Anwendungssicherheit (Dynamic Application Security Tests, DAST).
Der IBM Security X-Force Threat-Intelligence Index ergab, dass Phishing der häufigste ursprüngliche Vektor für Cyberangriffe ist. E-Mail-Sicherheitstools können die Verhinderung von Phishing-Attacken und anderen Versuchen zur Kompromittierung der E-Mail-Konten der Benutzer unterstützen. Die meisten E-Mail-Services verfügen über integrierte Sicherheitstools wie Spamfilter und Nachrichtenverschlüsselung. Einige E-Mail-Sicherheitstools verfügen über Sandboxes, isolierte Umgebungen, in denen Sicherheitsteams E-Mail-Anhänge auf Malware überprüfen können, ohne das Netzwerk angreifbar zu machen.
Obwohl es sich bei den folgenden Tools nicht unbedingt um Netzwerksicherheitstools handelt, verwenden Netzwerkadministratoren sie häufig zum Schutz von Bereichen und Assets in einem Netzwerk.
Data Loss Prevention (DLP) bezieht sich auf Strategien und Tools zur Informationssicherheit, die sicherstellen, dass vertrauliche Daten weder gestohlen noch versehentlich offengelegt werden. DLP umfasst Datensicherheitsrichtlinien und speziell entwickelte Technologien, die Datenflüsse verfolgen, vertrauliche Informationen verschlüsseln und Alerts auslösen, wenn verdächtige Aktivitäten entdeckt werden.
Endpunkt-Sicherheitslösungen schützen alle Geräte, die sich mit einem Netzwerk verbinden – Laptops, Desktops, Server, Mobilgeräte, IoT-Geräte – vor Hackern, die versuchen, sich über sie in das Netzwerk einzuschleichen. Antivirensoftware kann Trojaner, Spyware und andere schädliche Software auf einem Gerät erkennen und zerstören, bevor sie sich auf den Rest des Netzwerks ausbreitet. EDR-Lösungen (Endpoint Detection and Response) sind Tools mit erweitertem Funktionsumfang, die das Verhalten von Endpunkten überwachen und automatisch auf Sicherheitsereignisse reagieren. UEM-Software (Unified Endpoint Management) ermöglicht Unternehmen die Überwachung, Verwaltung und Sicherung aller Endbenutzergeräte von einer einzigen Konsole aus.
Websicherheitslösungen wie sichere Web-Gateways blockieren schädlichen Datenverkehr im Internet und verhindern, dass Benutzer eine Verbindung zu verdächtigen Websites und Apps herstellen.
Bei der Netzsegmentierung handelt es sich um eine Methode zur Aufteilung großer Netze in kleinere Teilnetze, entweder physisch oder durch Software. Durch die Netzsegmentierung kann die Verbreitung von Ransomware und anderer Malware eingeschränkt werden, indem ein manipuliertes Teilnetz vom Rest des Netzes abgetrennt wird. Die Segmentierung kann auch dazu beitragen, legitime Benutzer von Assets fernzuhalten, auf die sie nicht zugreifen sollen.
Cloudsicherheitslösungen schützen Rechenzentren, Anwendungen und andere Cloud-Ressourcen vor Cyberangriffen. Bei den meisten Cloudsicherheitslösungen handelt es sich einfach um Standardmaßnahmen für die Netzsicherheit wie Firewalls, NACs und VPNs, die auf Cloudumgebungen angewendet werden. Viele Cloud-Service-Provider integrieren Sicherheitsmaßnahmen in ihre Services oder bieten sie als zusätzliche Angebote an.
Bei der User and Entity Behavior Analysis (UEBA) werden abnormale Benutzer- und Geräteaktivitäten durch Verhaltensanalyse und maschinelles Lernen erkannt. UEBA kann dazu beitragen, Bedrohungen von innen und Hacker zu erkennen, die Benutzerkonten gekapert haben.
Herkömmliche Unternehmensnetze waren zentralisiert, wobei sich wichtige Endpunkte, Daten und Apps vor Ort befanden. Herkömmliche Netzsicherheitssysteme konzentrierten sich darauf, Bedrohungen daran zu hindern, den Netzperimeter zu durchdringen. Sobald sich ein Benutzer im Netz befand, wurde er als vertrauenswürdig behandelt und hatte praktisch unbeschränkten Zugriff.
Da Unternehmen jedoch die digitale Transformation vorantreiben und Hybrid-Cloud-Umgebungen einführen, werden Netze zunehmend dezentral. Jetzt sind Netzressourcen über Cloud-Rechenzentren, lokale und ferne Endpunkte sowie Mobil- und IoT-Geräte verteilt.
Perimeterbasierte Sicherheitskontrollen sind in verteilten Netzen weniger effektiv, weshalb viele IT-Sicherheitsteams auf ein Zero-Trust-Framework für die Netzsicherheit umsteigen. Anstatt sich auf den Perimeter zu konzentrieren, fokussiert die Zero-Trust-Netzsicherheit die Sicherheitsmaßnahmen auf die einzelnen Ressourcen. Benutzern werden niemals implizit als vertrauenswürdig eingestuft. Jedes Mal, wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, muss er authentifiziert und autorisiert werden, unabhängig davon, ob er sich bereits im Unternehmensnetz befindet. Für authentifizierte Benutzer gilt das Zugriffsprinzip der geringsten Berechtigung und ihre Berechtigungen werden widerrufen, sobald ihre Aufgabe erledigt ist.
Zero-Trust-Netzsicherheit basiert auf differenzierten Zugriffsrichtlinien, fortlaufender Überprüfung und Daten, die aus möglichst vielen Quellen gesammelt werden – einschließlich vieler der oben genannten Tools –, um sicherzustellen, dass nur die richtigen Benutzer aus den richtigen Gründen zur richtigen Zeit auf die richtigen Ressourcen zugreifen können.
Ein Ansatz der tiefengestaffelten Sicherheit kann zwar das Netz eines Unternehmens schützen, bedeutet aber auch, dass das IT-Sicherheitsteam eine Reihe von separaten Sicherheitsmaßnahmen verwalten muss. Sicherheitsplattformen für Unternehmensnetze können dazu beitragen, die Verwaltung der Netzsicherheit zu rationalisieren, indem sie unterschiedliche und voneinander unabhängige Sicherheitstools integrieren und es den Sicherheitsteams ermöglichen, das gesamte Netzwerk über eine einzige Konsole zu überwachen. Zu den gängigen Netzsicherheitsplattformen gehören:
Security Information and Event Management (SIEM) erfasst Informationen aus internen Sicherheitstools, aggregiert diese in einem zentralen Protokoll und weist auf Anomalien hin.
SOAR-Lösungen (Security Orchestration, Automation and Response) sammeln und analysieren Sicherheitsdaten und ermöglichen es Sicherheitsteams, automatische Antworten auf Cyberbedrohungen zu definieren und auszuführen.
NDR-Tools (Network Detection and Response) nutzen KI und maschinelles Lernen, um den Netzverkehr zu überwachen und verdächtige Aktivitäten zu erkennen.
Extended Detection and Response (XDR) ist eine offene Cybersecurity-Architektur, die Sicherheitstools integriert und Sicherheitsoperationen auf allen Sicherheitsebenen vereinheitlicht – Benutzer, Endpunkte, E-Mails, Anwendungen, Netze, Cloud-Workloads und Daten. Mit XDR können Sicherheitslösungen, die nicht unbedingt aufeinander abgestimmt sind, bei der Verhinderung, Erkennung, Untersuchung und Abwehr von Bedrohungen nahtlos zusammenarbeiten. XDR kann auch Workflows zur Erkennung von Bedrohungen, Einstufung von Vorfällen und Bedrohungsjagd automatisieren.
Erkennen Sie verdeckte Sicherheitsbedrohungen in Ihrem Netz, bevor es zu spät ist. IBM Security QRadar Network Detection and Response (NDR) unterstützt Ihre Sicherheitsteams durch die Analyse von Netzaktivitäten in Echtzeit. Die Lösung kombiniert einen umfassenden Überblick mit hochwertigen Daten und Analysen, um fundierte Erkenntnisse zu liefern und Reaktionen zu ermöglichen.
Schützen Sie Ihr gesamtes Netz mit Netzsicherheitslösungen der nächsten Generation, die selbst unbekannte Bedrohungen intelligent erkennen und sich anpassen, um sie in Echtzeit zu verhindern.
Erweitern Sie Ihr Team mit bewährten Sicherheitskenntnissen, Fachwissen und Lösungen zum Schutz Ihrer Infrastruktur und Ihres Netzes vor komplexen Cybersicherheitsbedrohungen.
SIEM ist eine Sicherheitslösung, mit der Unternehmen potenzielle Sicherheitsbedrohungen und Sicherheitslücken erkennen, bevor es zu Unterbrechungen im Betriebsablauf kommt.
IDC hat IBM Security QRadar SIEM in seiner IDC Marketscape-Anbieterbewertung 2022 als „Leader“ ausgezeichnet. Die Einzelheiten finden Sie im vollständigen Bericht.
Der IBM® Security X-Force Threat Intelligence Index bietet CISOs, Sicherheitsteams und Führungskräften handlungsrelevante Erkenntnisse, um Cyberangriffe zu verstehen und Ihr Unternehmen proaktiv zu schützen.