foto freepik

Mittels automatisierter Mikrosegmentierung können Unternehmen die möglichen Folgen eines Cyberangriffs effizient und effektiv eindämmen.

Zero Networks analysierte über einen Zeitraum von zwölf Monaten (Dezember 2024 bis Dezember 2025) etwa 3,4 Billionen Aktivitäten in 400 Unternehmensumgebungen. Ziel war es, zu verstehen, wie sich erfolgreiche Cyberangriffe nach dem ersten Zugriff weiterentwickeln. Das Ergebnis: Die gefährlichsten Aktivitäten sehen oft legitim aus, fügen sich in den täglichen Betrieb ein und finden nach dem ersten Zugriff statt, wenn Angreifer die Auswirkungen ihres Angriffs ausweiten.

Was die Studie auch zeigt: Die Auswirkungen auf Unternehmen hängen weniger davon ab, wie Angreifer eindringen, sondern vielmehr davon, was sie erreichen können, sobald sie sich Zugang verschafft haben. Zudem beschleunigen KI-gestützte Angriffe mittlerweile den ersten Zugriff. Der einzige Ausweg für Verteidiger besteht daher darin, die Bewegungsfreiheit der Angreifer nach dem Eindringen zu begrenzen.

Unternehmen müssen ihre Prävention, Resilienz und Sicherheitsinvestitionen überdenken. Es reicht nicht mehr aus, abzuwarten, bis eine Bedrohung entdeckt wird, um dann zu reagieren, während die Zugangswege für Angreifer dauerhaft offenbleiben. Effektiver ist es, den permanenten Zugriff zu eliminieren und die Angriffswege zu reduzieren. Ebenso gilt es, den sicherheitstechnischen Erfolg anhand der Zeit bis zur Eindämmung und der Verringerung der Auswirkungen zu messen, nicht anhand der Anzahl der Alarmmeldungen.

Cyberkriminelle nutzen vertrauenswürdige Zugriffspfade

Die meisten Unternehmensnetzwerke nutzen in der Regel 20 bis 30 Ports, um den Geschäftsbetrieb aufrechtzuerhalten. Innerhalb dieser Gruppe fungieren etwa zehn privilegierte Verwaltungsprotokolle –einschließlich RDP, SMB, WinRM und RPC – als hochvertrauenswürdige Autobahnen für den IT-Betrieb. Dieselben Wege sind heute für den Großteil der Ausbreitung von Sicherheitsverletzungen verantwortlich. Da sie rund um die Uhr offen und erreichbar bleiben, erhalten Angreifer, die sich einmal Zugang verschafft haben, dauerhafte laterale Bewegungspfade und benötigen selten ausgefeilte Exploits. Dies bedeutet, Cyberkriminelle nutzen dieselben vertrauenswürdigen Zugriffspfade wie Administratoren.

Echte geschäftliche und cybertechnische Resilienz erfordert eine Abkehr von der Denkweise »Erkennen und Reagieren« hin zu einer standardmäßig geschlossenen Architektur, die auf dem Prinzip der geringsten Privilegien basiert. Durch die Beseitigung persistenter Zugriffspfade und die Durchsetzung identitätsbasierter Just-in-Time-Zugriffe wird Angreifern die Möglichkeit genommen, sich zu bewegen, oft noch bevor der erste Alarm ausgelöst wird. Aus Sicht des Geschäftsrisikos ist das Ziel strukturelle Immunität: Systeme sind standardmäßig unsichtbar, der Zugriff wird nur gewährt, wenn er ausdrücklich erforderlich ist, und der Explosionsradius wird durch das Design und nicht durch die Reaktionsgeschwindigkeit begrenzt.

Angreifer können einen großen Teil der Umgebung in weniger als einer Stunde kompromittieren, sobald sie den ersten Zugriff erhalten haben. Zudem bleiben sie bei Verwendung legitimer Zugangsdaten über längere Zeit unentdeckt. Der M-Trends-Report von Mandiant beziffert die globale mittlere Verweildauer auf etwa zehn bis elf Tage, was zwar weniger ist als in den Vorjahren, aber immer noch lang genug für erhebliche laterale Bewegungen und Auswirkungen [1]. Dies unterstreicht, dass nicht nur die Erkennungsgeschwindigkeit, sondern auch die Eindämmung das Geschäftsrisiko bestimmt. Sobald ein Zugriff besteht, kann die Erkennung allein nicht mehr zuverlässig zwischen »gut« und »böse« unterscheiden.

Herkömmliche Sicherheitskennzahlen zeigen nicht das tatsächliche Risiko

Herkömmliche Sicherheitskennzahlen priorisieren die Anzahl der Warnmeldungen und die Erkennungsgenauigkeit. Die Daten zeigen, dass dies nicht mit dem tatsächlichen Geschäftsrisiko übereinstimmt. Stattdessen kommt es darauf an: Wie viel von der Umgebung ist von einer einzigen Kompromittierung aus erreichbar? Wie schnell können sich Angreifer einmal im Inneren bewegen? Wie schnell kann der Zugriff widerrufen und die Zugangswege beseitigt werden?

Anstatt die Infrastruktur zugänglich zu lassen und sich auf reaktive Warnmeldungen zu verlassen, ist ein standardmäßig geschlossener Netzwerkzugang, eine identitätsgeprüfte MFA und eine automatische Sperrung, wenn der Zugriff nicht mehr erforderlich ist, heute unverzichtbar. Dieser Ansatz einer modernen Mikrosegmentierung reduziert seitliche Bewegungen erheblich, dämmt Bedrohungen an der Quelle ein und verringert so den Explosionsradius. Weitere Vorteile sind weniger »Betriebslärm« und unnötige Patches, verbesserte Ausfallsicherheit und geringere Komplexität.

Sichtbarkeit und Automatisierung sind die entscheidenden Voraussetzungen für den Übergang zu einer proaktiven Eindämmung von Bedrohungen. Mittels identitätsbasierter Echtzeit-Durchsetzung des Zugriffs auf Netzwerkebene wird die Infrastruktur für unbefugte Benutzer effektiv unsichtbar.

Wichtige Unterscheidungsmerkmale der modernen Mikrosegmentierung

Mittels moderner Mikrosegmentierung können Unternehmen sichere Mikroperimeter um kritische Ressourcen herum schaffen und so die Angriffsfläche erheblich reduzieren und Bedrohungen eindämmen. Darüber hinaus gewährleisten die Implementierung von Just-in-Time-Zugriff und automatisiertem Richtlinienmanagement eine schnelle Reaktion auf Vorfälle und kontinuierliche Compliance. Dies alles stärkt die Abwehr von Cybervorfällen und gewährleistet einen reibungslosen Betrieb.

Moderne Mikrosegmentierung ist eine wichtige Strategie, um Cybervorfällen standzuhalten, darauf zu reagieren und sich davon zu erholen. Mikrosegmentierung schafft isolierte Sicherheitszonen um kritische Ressourcen. Dies reduziert den Ausbreitungsradius eines Angriffs, indem seitliche Bewegungen blockiert und Ransomware verhindert werden.

Durch die Anwendung von Multi-Faktor-Authentisierung (MFA) auf Port-Ebene können Unternehmen den MFA-Schutz auf eine Vielzahl von Ressourcen ausweiten. Hierzu zählen Clients, Server, Legacy-Anwendungen, Datenbanken und OT/IoT-Geräte, die bisher schwer zu schützen waren. Dies verhindert nicht nur laterale Bewegungen, wenn Anmeldedaten kompromittiert werden, sondern reduziert auch die Angriffsfläche. Zugriffspunkte werden begrenzt und privilegierte Ports und Protokolle geschützt, was die Gesamtsicherheit stärkt. Eine moderne Mikrosegmentierungslösung sollte auch eine schnelle Reaktion auf Vorfälle bieten, die in der Lage ist, Angriffe innerhalb von 24 Stunden abzuwehren und gleichzeitig den Netzwerkbetrieb aufrechtzuerhalten.

Automatisierung ist ein wesentlicher Bestandteil moderner Mikrosegmentierungslösungen. Sie reduziert die Implementierungszeiten und den manuellen Aufwand für die Implementierung sowie die laufenden Kosten und den Verwaltungsaufwand. So entfällt die manuelle Kennzeichnung, Erstellung von Richtlinien und Gruppierung von Assets. Dieser optimierte Ansatz beschleunigt die Bereitstellung, minimiert menschliche Fehler und bietet erhebliche langfristige Vorteile.

Weniger Wege für Angreifer statt immer mehr Warnmeldungen

Sicherheitsverletzungen sind nicht das Problem, der Explosionsradius ist es. Unternehmen brauchen nicht noch mehr Warnmeldungen, sondern müssen dafür sorgen, dass es weniger Wege gibt, auf denen sich Angreifer bewegen können. Für CIOs und CISOs ist es eine Tatsache, dass Angreifer sich schneller bewegen als Menschen es jemals könnten. Daher ist es wichtiger, die Ausbreitung zu stoppen als das Eindringen an sich. Sicherheitsinvestitionen müssen das schützen, was für das Unternehmen wirklich wichtig ist – Verfügbarkeit, Wiederherstellungsgeschwindigkeit und Kontinuität – und nicht Dashboards oder die Anzahl der Warnmeldungen.

Automatisierte Mikrosegmentierungslösungen ermöglichen eine nahtlose Skalierbarkeit, wenden automatisch geeignete Richtlinien auf neue Assets an, entlasten IT-Ressourcen und gewährleisten konsistente Sicherheitsmaßnahmen in expandierenden Umgebungen. Durch den Einsatz automatisierter Mikrosegmentierung können Unternehmen ihre Sicherheitslage erheblich stärken und gleichzeitig Kosten einsparen.

Kay Ernst, Regional Manager DACH bei Zero Networks.

[1] https://services.google.com/fh/files/misc/m-trends-2025-en.pdf

120 Artikel zu „Mikrosegmentierung“

News | Business Process Management | Effizienz | Infrastruktur | IT-Security | Rechenzentrum | Services

Automatisierte vs. konventionelle Mikrosegmentierung – die Komplexität überwinden

12. Januar 2026

Die Entwicklung der Mikrosegmentierung geht von traditionellen, komplexen und wartungsintensiven Ansätzen hin zu modernen, automatisierten und agentenlosen Lösungen, die auf vorhandenen Netzwerkfunktionen aufbauen und sich dynamisch anpassen. Moderne Mikrosegmentierungslösungen bieten eine schnelle, unterbrechungsfreie Implementierung, reduzieren den manuellen Aufwand erheblich und ermöglichen umfassende Transparenz sowie adaptive Abwehrmaßnahmen. Besonders praktisch sind die automatisierte Richtlinienerstellung, die Integration von…