← All posts

Mikrosegmentierung: Was sie ist und warum sie laterale Angriffe stoppt

Wie Mikrosegmentierung laterale Angriffe stoppt: Zero-Trust-Segmentierung verständlich erklärt, vom Ost-West-Verkehr über Umsetzungsansätze und Compliance bis zur Einführung mit Illumio und KAEMI.

Mikrosegmentierung: segmentierte Zonen stoppen laterale Angriffe (KAEMI)
Note: This article is currently available in German only. An English translation is on its way. Open the German original.

Klassische Sicherheitsarchitekturen konzentrieren sich auf den Perimeter, also die Grenze zwischen „außen“ und „innen“. Firewall, VPN und Gateway bewachen den Übergang ins Netzwerk. Dieses Modell hat eine entscheidende Schwäche: Wer den Perimeter einmal überwunden hat, etwa über eine Phishing-Mail oder ein gekapertes Konto, bewegt sich in flachen Netzen oft ungehindert weiter. Von einem kompromittierten System zum nächsten, immer tiefer, bis zu den wirklich kritischen Daten. Diese seitliche Ausbreitung heißt laterale Bewegung. Sie macht aus einem einzelnen Vorfall einen unternehmensweiten Schaden.

Mikrosegmentierung setzt an dieser Stelle an. Sie akzeptiert, dass ein Angreifer irgendwann hineinkommt, und sorgt dafür, dass er nicht weiterkommt. Dieser Beitrag erklärt, was Mikrosegmentierung ist, wie sie technisch funktioniert, worin sie sich von klassischer Segmentierung unterscheidet, welche Umsetzungsansätze es gibt und wie KAEMI die Einführung gemeinsam mit Illumio anforderungsorientiert begleitet.

Was ist Mikrosegmentierung?

Mikrosegmentierung ist ein Sicherheitsverfahren, das die Kommunikation im Netzwerk bis auf die Ebene einzelner Workloads, Anwendungen und Dienste kontrolliert, statt das Netz nur in wenige große Zonen zu unterteilen. Es entstehen sehr kleine, klar abgegrenzte Bereiche mit eigenen Richtlinien. Eine Verbindung wird nur zugelassen, wenn sie ausdrücklich benötigt wird (Least-Privilege-Prinzip).

Weil diese Richtlinien an der Identität eines Workloads ansetzen und nicht an IP-Adressen oder Netzstrukturen, wird Mikrosegmentierung auch als identitätsbasierte Segmentierung oder Zero-Trust-Segmentierung bezeichnet. Aus einem durchlässigen, „flachen“ Netz wird eine Umgebung, in der nichts erlaubt ist, was nicht ausdrücklich freigegeben wurde.

Nord-Süd oder Ost-West: Wo liegt das eigentliche Risiko?

Für die Einordnung hilft der Blick auf zwei Verkehrsrichtungen. Nord-Süd-Verkehr verläuft zwischen außen und innen, etwa vom Internet zum Rechenzentrum. Diesen Übergang bewachen klassische Perimeter-Firewalls. Ost-West-Verkehr dagegen läuft innerhalb der Umgebung, zwischen Servern, Anwendungen und Diensten.

In modernen Rechenzentren und Cloud-Umgebungen macht die Ost-West-Kommunikation den weitaus größeren Teil des Datenverkehrs aus. Perimeter-Firewalls sehen diesen internen Verkehr kaum, und genau ihn nutzt ein Angreifer für die laterale Bewegung. Mikrosegmentierung kontrolliert die Ost-West-Kommunikation und schließt damit die Lücke, die der reine Perimeterschutz offen lässt.

Wie unterscheidet sich Mikrosegmentierung von klassischer Netzwerksegmentierung?

Klassische Netzwerksegmentierung trennt Netze über VLANs, Subnetze und Firewalls auf Ebene ganzer Zonen. Sie orientiert sich an der Infrastruktur, arbeitet häufig hardwarebasiert und erfordert bei Änderungen oft Umbauten am Netz. Die Richtlinien bleiben vergleichsweise grob: Sie regeln, welche Zone mit welcher sprechen darf. Was eine einzelne Anwendung mit einem einzelnen Dienst austauscht, bleibt außen vor.

Mikrosegmentierung ist dagegen softwaredefiniert und arbeitet deutlich feiner:

  • Granularität: Die Kontrolle reicht bis auf einzelne Workloads und Dienste statt bis auf ganze Subnetze.
  • Bezugspunkt: Regeln folgen der Identität und den Eigenschaften eines Workloads, auch wenn dieser verschoben, neu gestartet oder skaliert wird. IP-Adressen sind nicht mehr der Anker.
  • Technik: Die Durchsetzung erfolgt software- statt hardwarebasiert, ohne Netzumbau.
  • Verkehrsrichtung: Der Fokus liegt auf der Ost-West-Kommunikation, während klassische Segmentierung vor allem den Nord-Süd-Übergang im Blick hat.

So entstehen präzise, kontextbezogene Richtlinien statt breiter Zonen, und das Sicherheitsmodell wächst mit dynamischen Umgebungen mit.

Wie funktioniert Mikrosegmentierung technisch?

Technische Grundlage ist eine softwarebasierte Steuerungsschicht: Eine zentrale Instanz verwaltet die Richtlinien, durchgesetzt werden sie verteilt und möglichst nah am Workload. Die Kontrolle hängt damit weder an der Netzwerk-Hardware noch an der Topologie. Vereinfacht läuft das Zusammenspiel in drei Schritten ab:

  1. Sichtbarkeit herstellen: Zunächst wird erfasst, welche Workloads es gibt und welche tatsächlich miteinander kommunizieren. Erst diese Karte der Abhängigkeiten macht sinnvolle Regeln möglich.
  2. Richtlinien definieren: Auf Basis der Abhängigkeiten werden Least-Privilege-Regeln modelliert. Ausgedrückt werden sie über Labels, die jeder Workload zugewiesen werden, etwa Rolle, Anwendung, Umgebung und Standort, statt über IP-Adressen. Eine Richtlinie gilt für alles, was die passende Label-Kombination trägt, zum Beispiel „alle Web-Server der Produktionsumgebung“, und bleibt gültig, wenn sich IP-Adressen ändern, Workloads skalieren oder in die Cloud wandern.
  3. Durchsetzen: Die Regeln werden an Kontrollpunkten nahe am Workload erzwungen. Standardmäßig gilt: Was nicht ausdrücklich erlaubt ist, wird blockiert (Default-Deny). Jede Verbindung wird gegen die Richtlinie geprüft.

Die Administration erfolgt zentral und richtlinienbasiert. Statt einzelne Firewall-Regeln von Hand zu pflegen, definiert man Richtlinien einmal; sie folgen dem Workload dann automatisch über seinen gesamten Lebenszyklus.

Welche Umsetzungsansätze für Mikrosegmentierung gibt es?

Es gibt nicht den einen Weg zur Mikrosegmentierung. Je nach Umgebung kommen unterschiedliche Ansätze zum Einsatz, oft in Kombination:

  • Host- bzw. agentbasiert: Ein schlanker Agent auf dem Workload setzt die Richtlinien direkt am System durch. Das funktioniert granular und über Rechenzentrum, Cloud und Endpoints hinweg, unabhängig vom Netz darunter.
  • Netzwerkbasiert: Die Durchsetzung erfolgt über die Netzwerkinfrastruktur. Das nutzt vorhandene Komponenten, bindet die Segmentierung aber stärker an die Topologie.
  • Hypervisorbasiert: In virtualisierten Umgebungen übernimmt die Virtualisierungsschicht die Segmentierung zwischen den virtuellen Maschinen.
  • Cloudnativ: In Public-Cloud-Umgebungen werden die nativen Kontrollmechanismen der Cloud-Plattform genutzt, etwa Security Groups und Cloud-Firewalls.

KAEMI arbeitet host- bzw. agentbasiert: Ein Agent am Workload setzt die Richtlinien einheitlich über Rechenzentrum, Cloud, Container und Endpoints durch, ergänzt um cloudnative Kontrollen, wo sie sinnvoll sind. Der hypervisorbasierte Ansatz ist eine gängige Variante, aber nicht der Weg, den wir gehen.

Mikrosegmentierung und Zero Trust

Mikrosegmentierung gilt als eine der Schlüsselkomponenten für die Umsetzung von Zero Trust. Das Grundprinzip: Keinem Teilnehmer im Netzwerk wird per se vertraut, weder außerhalb noch innerhalb des Perimeters. Zugriff muss nachgewiesen und explizit gewährt werden.

Mikrosegmentierung übersetzt dieses Prinzip in die Praxis. Um jede Anwendung und jeden Workload legt sie einen softwaredefinierten „Mikroperimeter“, innerhalb dessen Default-Deny gilt: Erlaubt ist nur, was freigegeben wurde. Aus dem abstrakten Zero-Trust-Anspruch wird damit eine durchsetzbare Kontrolle auf Workload-Ebene.

Welche Vorteile bietet Mikrosegmentierung?

Der Nutzen geht über die reine Eindämmung von Angriffen hinaus:

  • Eingedämmte laterale Bewegung: Dringt ein Angreifer ein, findet er keine offenen Pfade zu weiteren Systemen. Ein kompromittiertes System bleibt ein lokaler Vorfall. Gegen die Ausbreitung von Ransomware ist das der wirksamste Hebel.
  • Reduzierte Angriffsfläche: Jede geschlossene, nicht benötigte Verbindung ist ein Pfad weniger, den ein Angreifer nutzen kann.
  • Vollständige Sichtbarkeit: Die Kartierung der Kommunikation zeigt, welche Systeme tatsächlich miteinander sprechen. Dabei tauchen regelmäßig Verbindungen auf, die niemand mehr erklären kann.
  • Schnellere Erkennung und Eindämmung: Auffälliger Verkehr fällt leichter auf, und im Ernstfall lassen sich betroffene Bereiche gezielt isolieren.
  • Zentrale, konsistente Verwaltung: Richtlinien werden einmal definiert und über Umgebungsgrenzen hinweg einheitlich durchgesetzt.
  • Schutz kritischer Anwendungen: Besonders schützenswerte Anwendungen lassen sich per Ringfencing kapseln.

In welchen Umgebungen kommt Mikrosegmentierung zum Einsatz?

Mikrosegmentierung ist nicht auf einen Umgebungstyp beschränkt. Typische Einsatzfelder:

  • Rechenzentrum und On-Premises: Schutz der Ost-West-Kommunikation zwischen Servern und Anwendungen.
  • Public und Private Cloud: Durchsetzung konsistenter Richtlinien in dynamischen, schnell skalierenden Umgebungen.
  • Hybride Landschaften: Einheitliche Kontrolle dort, wo Rechenzentrum und Cloud zusammenwirken.
  • Container, Kubernetes und Endpoints: Segmentierung bis hinunter zu einzelnen Container-Workloads und Endgeräten. In Kubernetes-Umgebungen folgen die Richtlinien den Pods und Labels statt festen IP-Adressen.

Ihre Stärke zeigt sich gerade in gemischten Umgebungen aus physischen und virtuellen Ressourcen: Die Richtlinie folgt dem Workload, egal wo er läuft.

Mikrosegmentierung, Compliance und Datenschutz

Über den unmittelbaren Sicherheitsgewinn hinaus kann Mikrosegmentierung bei regulatorischen Anforderungen helfen. Die Begrenzung von Zugriffen auf das Notwendige zahlt auf die Datenminimierung ein und macht den Zugriff auf personenbezogene und schützenswerte Daten nachvollziehbar. Im Kontext der DSGVO ist das ein relevanter Punkt.

Besonders relevant ist Mikrosegmentierung im Kontext von DORA (Digital Operational Resilience Act): Für Finanzunternehmen und ihre IKT-Dienstleister fordert DORA belastbares IKT-Risikomanagement und ausdrücklich die Begrenzung der Auswirkungen von IKT-Vorfällen. Hier setzt Mikrosegmentierung an, weil sie den Radius eines Angriffs klein hält und damit die operative Widerstandsfähigkeit schützt, um die es DORA geht. Auch für NIS2 oder ISO 27001, die risikoorientierte Maßnahmen zur Netzwerksicherheit und Zugriffskontrolle verlangen, liefert sie einen konkreten technischen Baustein. Die entstehende Sichtbarkeit über Datenflüsse erleichtert Nachweise und Audits. Ob und wie einzelne Anforderungen erfüllt werden, bleibt eine Frage des Einzelfalls.

Welche Herausforderungen gibt es bei der Einführung?

In der Praxis scheitert Mikrosegmentierung selten an der Technik, sondern an Komplexität und fehlender Sichtbarkeit. Die typischen Hürden:

  • Fehlende Transparenz: Wer nicht weiß, welche Systeme miteinander kommunizieren, kann keine sinnvollen Regeln definieren. Die Sichtbarkeit muss deshalb am Anfang stehen.
  • Betriebsrisiko: Zu früh oder zu grob durchgesetzte Regeln können legitime Kommunikation blockieren und Anwendungen stören. Ein Test- bzw. Monitoring-Modus vor der Durchsetzung ist deshalb entscheidend.
  • Pflegeaufwand: Umgebungen verändern sich laufend. Richtlinien müssen mitwachsen, sonst veralten sie.
  • Organisation: Mikrosegmentierung berührt Netzwerk-, Security- und Anwendungsteams zugleich und braucht klare Verantwortlichkeiten.

Mit einem phasenweisen Vorgehen und Erfahrung aus vergleichbaren Projekten lassen sich diese Hürden gut beherrschen.

Warum Illumio?

Für die Umsetzung setzt KAEMI auf Illumio, den Pionier der Zero-Trust-Segmentierung. Sichtbarkeit, Segmentierung und Eindämmung kommen dort aus einer Plattform.

  • Sichtbarkeit zuerst: Illumio macht die Kommunikation zwischen Workloads sichtbar: eine Karte der realen Verbindungen zwischen den Systemen. In den meisten Umgebungen fehlt diese Grundlage.
  • Illumio Segmentation: Mikrosegmentierung über Rechenzentrum, Cloud, Container und Endpoints hinweg, host-basiert durchgesetzt über einen Agenten direkt am Workload. Echtzeit-Telemetrie und KI-gestützte Richtlinienempfehlungen helfen, Least Privilege durchzusetzen und laterale Bewegung zu stoppen.
  • Test vor Durchsetzung: Richtlinien lassen sich zunächst im Monitoring-Modus beobachten und validieren, bevor sie erzwungen werden. Das senkt das Betriebsrisiko.
  • Illumio Insights: Cloud Detection & Response auf Basis eines KI-Security-Graphen, in Minuten ausgerollt. Der Dienst erkennt Angriffspfade und kompromittierte Workloads und dämmt sie per One-Click-Containment ein.
  • Ringfencing: Kritische Anwendungen lassen sich kapseln, ohne das gesamte Netz umbauen zu müssen.

KAEMI ist Illumio Radiate Focus Partner und wurde von Illumio als EMEA Partner of the Year ausgezeichnet. Einen Überblick über die Plattform gibt unsere Illumio-Produktseite .

Wie KAEMI bei der Einführung hilft

Als Managed-Service-Provider begleitet KAEMI Mikrosegmentierungs-Projekte im Rahmen seiner Professional Services anforderungsorientiert über den gesamten Lebenszyklus, von der ersten Bestandsaufnahme bis zum laufenden Betrieb:

  1. Sichtbarkeit schaffen: Wir machen die Workload-Kommunikation transparent und bewerten Abhängigkeiten und Risiken.
  2. Richtlinien modellieren: Least-Privilege-Regeln, ausgerichtet an Anwendungen und Rollen statt an IP-Adressen.
  3. Testen im Monitoring-Modus: Regeln werden zunächst beobachtet, um legitime Kommunikation nicht zu stören.
  4. Schrittweise durchsetzen: Kontrollierte Aktivierung, kritische Anwendungen per Ringfencing gekapselt.
  5. Betreiben und pflegen: laufende Überwachung und Anpassung der Richtlinien an eine sich verändernde Umgebung.

Mikrosegmentierung muss kein Mammutprojekt sein. Phasenweise eingeführt bleibt sie planbar und liefert ein Netzwerk, das Angriffe eindämmt, bevor sie sich ausbreiten.

Fazit

Der Perimeter allein reicht nicht mehr aus, um moderne, verteilte Umgebungen zu schützen. Mikrosegmentierung verlagert die Kontrolle dorthin, wo Angreifer tatsächlich Schaden anrichten: in die Ost-West-Kommunikation zwischen Workloads. Nach dem Zero-Trust-Prinzip umgesetzt, begrenzt sie die laterale Ausbreitung und verkleinert die Angriffsfläche. Zugleich entsteht die Sichtbarkeit, die für belastbare Sicherheit und Nachweise nötig ist. Angriffe laufen zunehmend automatisiert ab. Wie KI-Modelle ganze Angriffsketten übernehmen , zeigt unser weiterführender Beitrag.

Sie möchten die laterale Ausbreitung in Ihrem Netzwerk eindämmen? Sprechen Sie mit KAEMI über einen unverbindlichen Einstieg, von der ersten Sichtbarkeit bis zur laufenden Durchsetzung.

Questions about this topic?

Let's talk about your network and security goals, no strings attached.

Get in touch