G 3.29 Fehlende oder ungeeignete Segmentierung
Lokale Netze können physikalisch durch aktive Netzkomponenten oder logisch durch eine entsprechende VLAN -Konfiguration segmentiert werden. Dabei werden die angeschlossenen IT-Systeme eines Netzes auf verschiedene Segmente verteilt. Dies verbessert die Lastverteilung innerhalb des Netzes und erhöht dessen Administrierbarkeit.
Dabei kann es zu folgenden konkreten Gefährdungen kommen:
- Verlust der Verfügbarkeit
Durch eine hohe Anzahl von IT -Systemen innerhalb eines Schicht-2-Segments erhöht sich in diesem die Netzlast. Dies kann die Verfügbarkeit dieses Netzsegmentes stark beeinträchtigen oder sogar zu dessen Überlastung und Ausfall führen. Bei CSMA/CD -basierten Netzzugangsprotokollen ( z. B. Ethernet) kommt es daneben häufiger zu Kollisionen, wodurch sich die verfügbare Bandbreite reduziert. Eine ungeeignete Segementierung kann auch dann vorliegen, wenn Systeme durch aktive Netzkomponenten der Schicht 2 oder 3 getrennt werden, die sehr viel miteinander kommunizieren. - Kein ausreichender Schutz der Vertraulichkeit
Um einen Schutz vertraulicher Daten gewährleisten zu können, sollten auch nur die unbedingt notwendigen Benutzer darauf Zugriff haben. Broadcast-Domänen sind daher auf das unbedingt notwendige Maß zu beschränken. Wurden die einzelnen Segmente jedoch ungeeignet konfiguriert, können nun auch andere Benutzer die übertragenen Nachrichten mit vertraulichen Daten mitlesen und ggf. auswerten.
Beispiele:
- Zwei IT-Systeme, die große Datenmengen austauschen, sind durch einen Router getrennt. Dies kann eine ungeeignete Segmentierung darstellen, da der Datenverkehr durch einen relativ langsamen Router geführt werden muss.
- Zwei IT-Systeme, die häufig Passwörter oder andere sensitive Informationen austauschen, sind durch eine Brücke getrennt. Dies bedingt, dass dieser Datenverkehr in beiden Segmenten abgehört werden kann. Die Begrenzung des Datenverkehrs zwischen diesen beiden IT-Systemen auf ein Segment würde einen höheren Schutz der Vertraulichkeit mit sich bringen.