An einem Montagmorgen fällt die IP-Telefonie für zwei Stunden auf einer entfernten Seite aus. Der Dienstleister diagnostiziert einen überlasteten Switch, der vor drei Jahren ohne Dokumentation installiert wurde. Diese Art von Ausfall, oft vermeidbar, verdeutlicht, wie wichtig ein IT-Netzwerkaudit ist, das nicht nur das Abhaken von Kästchen umfasst: Man sucht nach den blinden Flecken, die der Alltag letztendlich verdeckt.
Shadow IT und nicht inventarisierte Geräte: der wahre Ausgangspunkt eines Netzwerkaudits
Artikel über Netzwerkaudits beginnen oft mit der Definition des Umfangs. Vor Ort bewegt sich der Umfang ständig. IP-Kameras, die vom Wartungsdienst angeschlossen werden, ein Wi-Fi-Hotspot, der in einem Open Space hinzugefügt wird, ein persönlicher NAS, der mit dem Büro-VLAN verbunden ist: Diese “Shadow IT”-Geräte entkommen der offiziellen Inventarisierung.
Auch lesenswert : Die besten Tipps für erfolgreiches Online-Schönheitsshopping
Bevor man überhaupt einen Schwachstellenscan startet, spart man Zeit, indem man eine physische und logische Überprüfung aller aktiven Ports durchführt. Das bedeutet, die Patchfelder zu durchsuchen, die tatsächlichen Verbindungen zu erfassen und dann mit den ARP-Tabellen und den DHCP-Logs abzugleichen. Die Abweichung zwischen den beiden Listen gibt das Maß der im Netzwerk vorhandenen Shadow IT an.
Diese Entdeckungsphase ist umso kritischer, da hybride Umgebungen (physische Standorte, Cloud, Homeoffice) die Einstiegspunkte vervielfachen. Seit 2023 zeigen Erfahrungsberichte einen signifikanten Anstieg von Vorfällen im Zusammenhang mit nicht inventarisierten IoT-Geräten. Man kann das IT-Netzwerkaudit mit E-novateur vertiefen, um diesen Schritt der anfänglichen Kartierung zu strukturieren.
Weiterlesen : Die Entwicklung beruflicher Fähigkeiten: ein Vorteil für Ihre Karriere
Kartierung der internen und Multi-Cloud-Flüsse: ein oft vernachlässigter Schritt
Die meisten Netzwerkaudits dokumentieren das LAN korrekt. Die Flüsse zwischen entfernten Standorten, zwischen dem Rechenzentrum und den Cloud-Anbietern oder zwischen zwei verschiedenen Cloud-Umgebungen werden jedoch viel seltener nachverfolgt.
Die Kartierung der internen Cloud-Flüsse vor dem Testen der Sicherheit verhindert, dass man am Ende des Audits entdeckt, dass ein VPN-Tunnel zwischen Standorten immer noch eine veraltete Verschlüsselung verwendet oder dass ein direkter Peering zwischen zwei Cloud-Anbietern von keiner Sonde überwacht wird.
Was die Kartierung konkret abdecken sollte
- Die WAN- und SD-WAN-Verbindungen zwischen jedem Standort, mit den tatsächlich gemessenen Bandbreiten (nicht nur den vertraglich vereinbarten Bandbreiten)
- Die Anwendungsflüsse zu kritischen SaaS-Diensten (E-Mail, ERP, Telefonie), indem die Routing-Pfade und die Internet-Ausgangspunkte identifiziert werden
- Die Cloud-to-Cloud- und Cloud-to-On-Premise-Interkonnektivitäten, mit Überprüfung der angewandten Segmentierungsregeln und Filterrichtlinien für jedes Gateway
Tools wie NDR (Network Detection and Response) oder SASE-Plattformen ermöglichen es, diese Sichtbarkeit zu erhalten. Es hängt von der Installation ab: Ein einzelner Standort eines KMU mit einem einzigen Cloud-Tenant benötigt nicht dasselbe Werkzeug wie eine Multi-Site-Gruppe.
Netzwerkaudit und NIS2-Konformität: was die Richtlinie in der Praxis ändert
Die europäische NIS2-Richtlinie, deren nationale Umsetzung ab 2024 beginnt, verpflichtet als “wesentlich” oder “wichtig” eingestufte Stellen, eine regelmäßige Überwachung ihrer Netzwerke mit Nachverfolgbarkeit der Audits nachzuweisen. Konkret bedeutet dies, dass ein einmal alle drei Jahre durchgeführtes Audit nicht mehr ausreicht.
NIS2 verlangt dokumentierte Aktionspläne nach jedem Audit, mit einer Nachverfolgung der Maßnahmen. Für ein Unternehmen, das sein erstes Audit durchführt, besteht die Herausforderung darin, ein verwertbares Dokument für die Geschäftsführung sowie für das technische Team zu erstellen.
Den Bericht strukturieren, um den regulatorischen Anforderungen gerecht zu werden
Der Auditbericht muss mindestens drei verschiedene Elemente enthalten:
- Ein aktuelles Inventar der Netzwerkressourcen (Hardware, Software, Konfigurationen), datiert und unterschrieben
- Eine Matrix der identifizierten Schwachstellen, nach Kritikalität klassifiziert, mit einer technischen Empfehlung für jede und einem vorgeschlagenen Korrekturzeitrahmen
- Ein priorisierter Maßnahmenplan, genehmigt von einer identifizierten verantwortlichen Person, mit vierteljährlichen Nachverfolgungsmeilensteinen
Diese Formalität mag für ein KMU schwerfällig erscheinen. Ein kurzes und umsetzbares Dokument ist besser als ein 80-seitiger Bericht, der nie gelesen wird. Wir empfehlen, die Entscheidungssynthese (maximal zwei Seiten, bestimmt für die Geschäftsführung) vom technischen Detail (Anlagen, strukturiert nach Gerätekategorie) zu trennen.
Tests zur Netzwerksegmentierung: Überprüfen, was die Firewall tatsächlich durchlässt
Die Konfiguration von VLANs und Filterregeln garantiert nichts, wenn niemand ihre tatsächliche Wirksamkeit überprüft. Regelmäßig werden “any-any”-Regeln nach einer Migration beibehalten oder temporäre Ausnahmen werden dauerhaft.
Die Testung der Segmentierung besteht darin, eine laterale Bewegung von einem Standardbenutzerarbeitsplatz zu sensiblen Subnetzen (Server, Verwaltung, IoT) zu simulieren. Wenn ein Arbeitsplatz im Büro-VLAN auf die Management-Schnittstelle eines Kernnetzwerk-Switches zugreifen kann, ist die Segmentierung gescheitert, unabhängig von der dokumentierten Politik.
Dieser Test erfolgt mit einfachen Tools (Nmap, Netcat) oder mit automatisierten Pentest-Lösungen. Das Ziel ist nicht, einen Bericht über Hunderte gescannter Ports zu erstellen, sondern eine binäre Frage für jede Zone zu beantworten: Funktioniert die Trennung oder nicht.
Korrekturen nach den Tests priorisieren
Nicht alle Segmentierungsfehler haben die gleiche Auswirkung. Eine offene Kommunikation zwischen dem Drucker-VLAN und dem Datei-Server-VLAN stellt ein moderates Risiko dar. Ein direkter Zugriff vom Gast-Wi-Fi auf das Verwaltungsnetzwerk ist eine kritische Schwachstelle, die prioritär behoben werden muss.
Die klassische Falle besteht darin, alles gleichzeitig korrigieren zu wollen. Dadurch blockiert man legitime Flüsse und erzeugt Kaskadentickets. Die zuverlässigste Reihenfolge: Zuerst die Zugriffe auf das Netzwerkmanagement korrigieren, dann die Flüsse zu sensiblen Daten und schließlich die sekundären inter-VLAN-Kommunikationen.
Ein erfolgreiches Netzwerkaudit wird nicht an der Anzahl der Seiten des Berichts gemessen, sondern an der Anzahl der tatsächlich innerhalb von drei Monaten umgesetzten Korrekturen. Das nützlichste Ergebnis bleibt eine Nachverfolgungstabelle, die zwischen der IT-Abteilung und der Geschäftsführung geteilt wird, bei jedem Meilenstein aktualisiert wird und einen klaren Status für jede identifizierte Schwachstelle aufweist.