Netzwerk-Security

Firewalls, VPN, Angriffe & Schutzmaßnahmen – die Wächter des Netzwerks

Hier lernst du

Firewall & VPN

Du erklärst, wie Firewalls Netzwerke schützen und wofür VPN eingesetzt wird

Angriffe erkennen

Du kennst Malware, Phishing und DDoS und kannst Schutzmaßnahmen benennen

Active Directory & Monitoring

Du beschreibst, wie Benutzer zentral verwaltet und Netzwerke überwacht werden

1. Warum brauchen Netzwerke Schutz?

Stell dir ein Haus vor: Du könntest alle Türen und Fenster offen lassen – aber das tätest du nicht. Ein Netzwerk ist dasselbe. Sobald Computer miteinander oder mit dem Internet verbunden sind, entstehen Angriffsflächen, die böswillige Akteure ausnutzen können. Netzwerk-Security ist der Schlüssel, Türsteher und Alarm-Anlage in einem.

Die CIA-Triade – drei Grundziele der IT-Sicherheit

Confidentiality

Vertraulichkeit

Daten dürfen nur von autorisierten Personen gelesen werden. Beispiel: Verschlüsselung, Zugriffsrechte.

Integrity

Integrität

Daten dürfen nicht unbemerkt verändert werden. Beispiel: Prüfsummen, digitale Signaturen.

Availability

Verfügbarkeit

Systeme müssen für autorisierte Nutzer erreichbar sein. Beispiel: Schutz vor DDoS, Redundanz.

2. Firewall – der Türsteher des Netzwerks

Eine Firewall ist wie ein Türsteher vor einem Club: Sie prüft jeden, der rein oder raus will, anhand einer Gästeliste (Regelwerk). Wer nicht auf der Liste steht, kommt nicht rein – egal wie nett er fragt.

Paketfilter-Firewall

(Stateless)

Prüft jedes IP-Paket einzeln anhand fixer Regeln: Quell-IP, Ziel-IP, Port und Protokoll. Kein „Gedächtnis" – jedes Paket wird isoliert betrachtet.

Beispiel-Regelwerk:

ALLOWTCP von * Port 443 → Webserver

ALLOWTCP von * Port 80 → Webserver

DENY alles andere

Stateful Inspection Firewall

(Zustandsorientiert)

Merkt sich den Zustand aktiver Verbindungen in einer Verbindungstabelle. Ein Antwortpaket auf eine erlaubte Anfrage wird automatisch durchgelassen – ohne eigene Regel. Heute de-facto Standard in Heim- und Unternehmens-Routern.

Next-Generation Firewall (NGFW)

(Layer 7)

Analysiert auch den Inhalt der Pakete (Deep Packet Inspection). Erkennt Anwendungen, blockiert Malware, filtert URLs und enthält oft ein IDS/IPS (Intrusion Detection/Prevention System). Typisch in Unternehmensnetzen.

DMZ – Die entmilitarisierte Zone

Eine DMZ ist ein Netzwerksegment zwischen dem Internet und dem internen Netz. Öffentlich zugängliche Server (Webserver, Mailserver) stehen in der DMZ – wenn sie kompromittiert werden, gelangt der Angreifer nicht direkt ins interne Netz.

Internet → Firewall 1 → DMZ
Webserver, Mailserver → Firewall 2 → Internes Netz
Datenbanken, Clients

3. VPN – Der sichere Tunnel durchs Internet

Stell dir vor, du fährst mit dem Auto durch eine Stadt (das Internet) – jeder kann dich sehen. Ein VPN (Virtual Private Network) ist wie ein unterirdischer Tunnel: Du fährst denselben Weg, aber niemand sieht dich. Die Verbindung ist verschlüsselt und deine echte IP-Adresse ist versteckt.

Wie VPN funktioniert

1 Dein Gerät baut eine verschlüsselte Verbindung zum VPN-Server auf.

2 Alle Datenpakete werden eingepackt (Tunnelung) und verschlüsselt übertragen.

3 Der VPN-Server entschlüsselt die Pakete und leitet sie ans Ziel weiter.

4 Das Ziel sieht nur die IP des VPN-Servers, nicht deine echte IP.

Typische Einsatzszenarien

Remote-Arbeit (Homeoffice)

Mitarbeiter verbinden sich sicher mit dem Firmennetzwerk von zuhause.

Öffentliche WLANs absichern

Im Café-WLAN sieht niemand deinen Datenverkehr mit.

Site-to-Site VPN

Zwei Unternehmensstandorte verbinden sich sicher über das Internet, als wären sie im selben LAN.

VPN ≠ Anonymität

Ein VPN verschlüsselt die Verbindung und versteckt deine IP – aber der VPN-Anbieter selbst sieht deinen Datenverkehr. Vertrauen in den Anbieter ist entscheidend. Ein VPN schützt nicht vor Malware oder Phishing.

4. Bedrohungen – die häufigsten Angriffe

Um sich zu verteidigen, muss man wissen, womit man es zu tun hat. Die folgenden Angriffsformen sind in der Praxis am häufigsten anzutreffen.

Malware – Schadsoftware

Malicious Software – jede Software, die ohne Zustimmung Schaden anrichtet

Virus

Hängt sich an legitime Dateien und verbreitet sich bei deren Ausführung. Benötigt Nutzeraktion.

Wurm

Verbreitet sich selbstständig über Netzwerke ohne Nutzeraktion. Kann ganze Netze lahmlegen.

Trojaner

Tarnt sich als nützliche Software. Im Hintergrund öffnet er eine Backdoor oder stiehlt Daten.

Ransomware

Verschlüsselt alle Daten auf dem System und fordert Lösegeld für die Entschlüsselung. Besonders gefährlich.

Spyware

Spioniert verdeckt Aktivitäten aus – Tastaturfingabe, Webcam, Passwörter – und sendet sie weiter.

Adware

Zeigt unerwünschte Werbung, oft mit Spyware kombiniert. Meist über kostenlose Software verbreitet.

Schutz: Aktuelles Antivirenprogramm, regelmäßige Updates, keine unbekannten Anhänge öffnen, Backups (3-2-1-Regel).

Phishing – Social Engineering per E-Mail

„Angeln" nach Zugangsdaten – der Mensch ist das schwächste Glied

Beim Phishing täuscht ein Angreifer eine vertrauenswürdige Identität vor (z. B. Bank, Microsoft, PayPal) und verleitet das Opfer dazu, Zugangsdaten einzugeben oder auf einen bösartigen Link zu klicken. Die E-Mail sieht täuschend echt aus.

Phishing

Massenhafter E-Mail-Versand an viele Empfänger. Wenig personalisiert.

Spear-Phishing

Gezielt auf eine Person/Organisation zugeschnitten. Sehr überzeugend.

Whaling

Spear-Phishing auf hochrangige Ziele wie CEOs oder Behördenleiter.

Warnsignale einer Phishing-Mail:

▸ Dringende Aufforderung („Ihr Konto wird gesperrt!")

▸ Absender-Adresse sieht komisch aus (z.B. bank@secure-login.xyz)

▸ Link-URL stimmt nicht mit dem angezeigten Text überein

▸ Rechtschreibfehler und unnatürliche Formulierungen

▸ Unbekannte Anhänge (.exe, .zip, .docm)

▸ Bitte um Zugangsdaten, Kreditkartennummer o. Ä.

DDoS – Distributed Denial of Service

Überlastungsangriff – CIA-Ziel: Verfügbarkeit

Beim DDoS-Angriff wird ein Server oder Netzwerk mit so vielen Anfragen überflutet, dass er zusammenbricht und für echte Nutzer nicht mehr erreichbar ist. Die Anfragen kommen von Tausenden infizierter Computer (Botnet) gleichzeitig – daher „Distributed".

Wie ein DDoS-Angriff funktioniert

Bot Bot Bot Bot Bot Bot

Botnet
(tausende infizierte PCs)

→→→ Millionen Anfragen

Ziel-Server
überlastet 💥

→

Echte Nutzer
kommen nicht rein

Schutz: DDoS-Schutz-Dienste (z. B. Cloudflare), Rate-Limiting, Blackholing (Datenverkehr vom Angreifer wird verworfen), CDN zur Lastverteilung.

Man-in-the-Middle (MitM)

Der Angreifer schaltet sich zwischen zwei Kommunikationspartner

Der Angreifer positioniert sich zwischen Client und Server, liest den Datenverkehr mit und kann ihn sogar manipulieren – ohne dass die Opfer es merken. Typisch in unverschlüsselten WLANs oder durch ARP-Spoofing im LAN.

Client ↔ Angreifer 👀 ↔ Server beide denken, sie reden direkt miteinander

Schutz: HTTPS (TLS-Verschlüsselung), VPN, Zertifikatsprüfung, kein Vertrauen in unbekannte WLANs ohne VPN.

5. Active Directory – zentrale Benutzerverwaltung

Stell dir eine Schule vor: Jeder Lehrer hat einen Schlüsselbund – und für jede Tür braucht er einen eigenen Schlüssel. Chaos. Active Directory (AD) ist wie ein zentrales Schlüsselmanagement: Ein Benutzer, ein Konto, ein Passwort – und der Administrator entscheidet, welche Türen offen stehen.

Was Active Directory leistet

▸ Zentrale Authentifizierung: Ein Konto für alle Dienste im Netzwerk (Single Sign-On)
▸ Benutzer & Gruppen: Mitarbeiter werden in Gruppen eingeteilt (z. B. „Buchhaltung", „IT-Abteilung")
▸ Gruppenrichtlinien (GPO): Regeln werden zentral verteilt – z. B. „Alle PCs sperren sich nach 5 min"
▸ Zugriffskontrolle: Wer darf welche Ordner, Drucker, Server nutzen?
▸ Passwort-Richtlinien: Mindestlänge, Komplexität, Ablaufzeit zentral steuerbar

Aufbau einer AD-Domäne

Domain Controller (DC)

zentraler Server – Herzstück des AD

↓

OU: IT

Benutzer, PCs

OU: Verwaltung

Benutzer, PCs

OU: Server

Fileserver, etc.

OU = Organizational Unit (Organisationseinheit)

AD ist ein beliebtes Angriffsziel

Wer den Domain Controller kompromittiert, hat Zugriff auf alles im Netzwerk. Angriffe wie Pass-the-Hash oder Golden Ticket zielen direkt auf AD ab. Regelmäßige Updates, Monitoring und das Prinzip der minimalen Rechte (Least Privilege) sind entscheidend.

6. Monitoring – das Netzwerk im Blick behalten

Sicherheit ist kein Zustand, sondern ein Prozess. Selbst das beste Regelwerk nützt nichts, wenn niemand schaut, ob es eingehalten wird. Monitoring bedeutet, das Netzwerk kontinuierlich zu beobachten – um Angriffe, Ausfälle oder ungewöhnliches Verhalten frühzeitig zu erkennen.

Wichtige Monitoring-Tools

SNMP

Simple Network Management Protocol

Sammelt Statusdaten von Netzwerkgeräten (CPU, Auslastung, Fehler). Basis fast aller Monitoring-Lösungen.

Nagios

Nagios / Zabbix / Icinga

Open-Source-Monitoring-Tools für Server, Dienste und Netzwerkgeräte. Alarme bei Ausfällen.

SIEM

Security Information & Event Management

Sammelt und korreliert Log-Einträge aus allen Quellen. Erkennt Angriffsmuster in Echtzeit (z. B. Splunk, Microsoft Sentinel).

IDS/IPS

Intrusion Detection / Prevention

IDS erkennt Angriffe und alarmiert. IPS blockiert sie aktiv in Echtzeit.

Best Practices im Überblick

Patch-Management: Betriebssysteme und Software regelmäßig aktuell halten

Least Privilege: Nutzer bekommen nur die Rechte, die sie wirklich brauchen

MFA: Multi-Faktor-Authentifizierung als zweite Schutzschicht

Netzwerksegmentierung: VLANs trennen kritische Systeme vom Rest

Backups (3-2-1): 3 Kopien, 2 verschiedene Medien, 1 Offsite

Security Awareness: Mitarbeiter regelmäßig schulen – Phishing erkennen

Zusammenfassung – Netzwerk-Security auf einen Blick

Firewall

Kontrolliert eingehenden & ausgehenden Datenverkehr nach Regelwerk

VPN

Verschlüsselter Tunnel für sichere Remote-Verbindungen

Bedrohungen

Malware, Phishing, DDoS, MitM – kennen und erkennen

Monitoring

Kontinuierliche Überwachung mit SNMP, SIEM, IDS/IPS