In einer zunehmend digitalisierten Welt sind IT-Infrastrukturen längst nicht mehr nur technische Rückgrate, sondern strategische Assets. Ihre Sicherheit entscheidet über die Resilienz, Compliance und Zukunftsfähigkeit eines Unternehmens. Die EU-Richtlinie NIS2 verschärft die Anforderungen an Cybersicherheit und zwingt Organisationen dazu, ihre IT-Architekturen nicht nur funktional, sondern auch strukturell sicher zu gestalten. Besonders im Fokus stehen dabei die physische und logische Segmentierung von Netzwerken, die sichere Gestaltung interner und externer Anbindungen und nicht zuletzt der Mensch als potenzieller Risikofaktor.
Die IT-Infrastruktur bildet das Fundament aller digitalen Geschäftsprozesse. Sie umfasst Serverlandschaften, Storage-Systeme, Netzwerkkomponenten, Virtualisierungsplattformen und zunehmend auch Cloud-basierte Dienste. Ihre Komplexität ist dabei Fluch und Segen zugleich. Einerseits ermöglicht sie Skalierbarkeit und Flexibilität, andererseits entstehen durch heterogene Systeme und Schnittstellen neue Angriffsflächen.
Ein zentrales Problem ist die mangelnde Trennung von Systemen mit unterschiedlichen Schutzbedarfen. Wenn produktive Systeme, Entwicklungsumgebungen und externe Schnittstellen unzureichend voneinander isoliert sind, kann ein einzelner kompromittierter Endpunkt zur Eskalation im gesamten Netzwerk führen. Die Infrastruktur muss daher nicht nur leistungsfähig, sondern auch strukturell sicher konzipiert sein, mit klar definierten Zonen, Zugriffspfaden und Kontrollmechanismen.
Die Segmentierung von Netzwerken ist eine der wirksamsten Maßnahmen zur Begrenzung von Schadensausbreitung. Sie unterteilt das Netzwerk in logisch getrennte Bereiche, die jeweils eigene Sicherheitsrichtlinien und Zugriffskontrollen besitzen. Dies kann über VLANs, Firewalls, Mikrosegmentierung oder softwaredefinierte Netzwerke (SDN) erfolgen.
Separierung geht noch einen Schritt weiter. Sie trennt kritische Systeme physisch oder durch dedizierte Infrastrukturkomponenten. Beispielsweise sollten Steuerungssysteme in der Industrie (Operational Technology, OT) niemals direkt mit dem Office-Netzwerk oder dem Internet verbunden sein. Auch Backup-Systeme und Identity-Management-Plattformen verdienen eine isolierte Umgebung, um im Ernstfall als letzte Verteidigungslinie zu fungieren.
Die Anbindung externer Systeme, etwa über das Internet, VPNs oder Cloud-APIs, ist unverzichtbar für moderne Geschäftsprozesse. Gerade in Zeiten der immer mehr aufkommenden Möglichkeiten zum mobilen Arbeiten sollen firmeninterne Dienste von überall für die Mitarbeiter erreichbar sein. Gleichzeitig stellt diese Anbindung ein erhebliches Risiko dar. Jeder externe Zugang muss als potenzieller Angriffsvektor betrachtet und entsprechend abgesichert werden. Dies umfasst Ende-zu-Ende-Verschlüsselung der Kommunikation, Authentifizierung über MFA und Zertifikate. Traffic-Inspection und Intrusion Detection, Zugriffsmanagement mit Least-Privilege-Prinzip und vieles mehr.
Auch interne Verbindungen im LAN sind nicht per se sicher. Ein kompromittierter Client kann sich über ungesicherte Protokolle oder offene Ports Zugang zu sensiblen Systemen verschaffen. Daher müssen auch interne Netze segmentiert und überwacht werden, etwa durch Network Access Control (NAC), interne Firewalls und kontinuierliches Monitoring.
Die Herausforderung liegt in der Balance: Die Infrastruktur muss performant und flexibel bleiben, darf aber keine Sicherheitslücken durch übermäßige Offenheit oder fehlende Trennung aufweisen.
Neben technischen und strukturellen Maßnahmen bleibt der Mensch einer der größten Unsicherheitsfaktoren in der Informationssicherheit. Fehlkonfigurationen, unachtsames Verhalten, Phishing-Angriffe oder das Teilen sensibler Informationen über unsichere Kanäle sind häufige Ursachen für Sicherheitsvorfälle und oft nicht durch Technik allein zu verhindern.
Gerade im Kontext von NIS2 wird deutlich, dass Sicherheitsbewusstsein auf allen Ebenen der Organisation verankert sein muss. Awareness-Schulungen sind daher essenziell. Sie sensibilisieren Mitarbeitende für aktuelle Bedrohungen, vermitteln korrektes Verhalten im Umgang mit IT-Systemen und fördern eine Sicherheitskultur, die über technische Maßnahmen hinausgeht.
Moderne Awareness-Programme setzen auf interaktive Formate, simulierte Phishing-Kampagnen, Rollenspiele und regelmäßige Updates zu neuen Angriffsmethoden. Sie sollten nicht als einmalige Maßnahme verstanden werden, sondern als kontinuierlicher Prozess, der mit der technischen Entwicklung Schritt hält.
Die NIS2-Richtlinie fordert explizit Maßnahmen zur Netzwerksicherheit, Segmentierung und Kontrolle von Schnittstellen, aber auch zur Schulung und Sensibilisierung von Mitarbeitenden. Unternehmen müssen nachweisen, dass sie Risiken systematisch identifizieren und durch technische sowie organisatorische Maßnahmen minimieren.
Hierzu stehen Maßnahmen zur Verfügung wie Zero-Trust-Architekturen, die jede Verbindung verifizieren, Netzwerksegmentierung nach Schutzbedarf, Sicherheitskonzepte für externe Anbindungen, Monitoring und Logging pro Segment, Awareness-Schulungen und Sicherheitsrichtlinien für Mitarbeitende und nicht zuletzt Notfallpläne für Infrastrukturkomponenten.
Diese Anforderungen sind nicht nur regulatorisch relevant, sondern auch technisch und kulturell sinnvoll. Sie fördern eine Sicherheitskultur, die nicht auf Reaktion, sondern auf Prävention setzt.
Die Sicherheit einer IT-Infrastruktur hängt nicht allein von Tools oder Firewalls ab, sondern von ihrer strukturellen Gestaltung und dem Verhalten der Menschen, die sie nutzen. Segmentierung, Separierung, kontrollierte Anbindungen und kontinuierliche Awareness-Schulungen sind essenzielle Bausteine einer resilienten Architektur. NIS2 macht deutlich, wer seine Infrastruktur nicht strukturiert absichert und seine Mitarbeitenden nicht sensibilisiert, gefährdet nicht nur Daten, sondern auch Geschäftsprozesse, Reputation und kann Unternehmen, je nach Intensität eingetretener Zwischenfälle, bis zur Geschäfstaufgabe schädigen..
