In einer zunehmend digitalisierten Welt sind IT-Infrastrukturen längst nicht mehr nur technische Rückgrate, sondern strategische Assets. Ihre Sicherheit entscheidet über die Resilienz, Compliance und Zukunftsfähigkeit eines Unternehmens. Die EU-Richtlinie NIS2 verschärft die Anforderungen an Cybersicherheit und zwingt Organisationen dazu, ihre IT-Architekturen nicht nur funktional, sondern auch strukturell sicher zu gestalten. Besonders im Fokus stehen dabei die physische und logische Segmentierung von Netzwerken, die sichere Gestaltung interner und externer Anbindungen und nicht zuletzt der Mensch als potenzieller Risikofaktor.

Die IT-Infrastruktur bildet das Fundament aller digitalen Geschäftsprozesse. Sie umfasst Serverlandschaften, Storage-Systeme, Netzwerkkomponenten, Virtualisierungsplattformen und zunehmend auch Cloud-basierte Dienste. Ihre Komplexität ist dabei Fluch und Segen zugleich. Einerseits ermöglicht sie Skalierbarkeit und Flexibilität, andererseits entstehen durch heterogene Systeme und Schnittstellen neue Angriffsflächen.

Ein zentrales Problem ist die mangelnde Trennung von Systemen mit unterschiedlichen Schutzbedarfen. Wenn produktive Systeme, Entwicklungsumgebungen und externe Schnittstellen unzureichend voneinander isoliert sind, kann ein einzelner kompromittierter Endpunkt zur Eskalation im gesamten Netzwerk führen. Die Infrastruktur muss daher nicht nur leistungsfähig, sondern auch strukturell sicher konzipiert sein, mit klar definierten Zonen, Zugriffspfaden und Kontrollmechanismen.

Die Segmentierung von Netzwerken ist eine der wirksamsten Maßnahmen zur Begrenzung von Schadensausbreitung. Sie unterteilt das Netzwerk in logisch getrennte Bereiche, die jeweils eigene Sicherheitsrichtlinien und Zugriffskontrollen besitzen. Dies kann über VLANs, Firewalls, Mikrosegmentierung oder softwaredefinierte Netzwerke (SDN) erfolgen.

Separierung geht noch einen Schritt weiter. Sie trennt kritische Systeme physisch oder durch dedizierte Infrastrukturkomponenten. Beispielsweise sollten Steuerungssysteme in der Industrie (Operational Technology, OT) niemals direkt mit dem Office-Netzwerk oder dem Internet verbunden sein. Auch Backup-Systeme und Identity-Management-Plattformen verdienen eine isolierte Umgebung, um im Ernstfall als letzte Verteidigungslinie zu fungieren.

Die Anbindung externer Systeme, etwa über das Internet, VPNs oder Cloud-APIs, ist unverzichtbar für moderne Geschäftsprozesse. Gerade in Zeiten der immer mehr aufkommenden Möglichkeiten zum mobilen Arbeiten sollen firmeninterne Dienste von überall für die Mitarbeiter erreichbar sein. Gleichzeitig stellt diese Anbindung ein erhebliches Risiko dar. Jeder externe Zugang muss als potenzieller Angriffsvektor betrachtet und entsprechend abgesichert werden. Dies umfasst Ende-zu-Ende-Verschlüsselung der Kommunikation, Authentifizierung über MFA und Zertifikate. Traffic-Inspection und Intrusion Detection, Zugriffsmanagement mit Least-Privilege-Prinzip und vieles mehr.

Auch interne Verbindungen im LAN sind nicht per se sicher. Ein kompromittierter Client kann sich über ungesicherte Protokolle oder offene Ports Zugang zu sensiblen Systemen verschaffen. Daher müssen auch interne Netze segmentiert und überwacht werden, etwa durch Network Access Control (NAC), interne Firewalls und kontinuierliches Monitoring.

Die Herausforderung liegt in der Balance: Die Infrastruktur muss performant und flexibel bleiben, darf aber keine Sicherheitslücken durch übermäßige Offenheit oder fehlende Trennung aufweisen.

Neben technischen und strukturellen Maßnahmen bleibt der Mensch einer der größten Unsicherheitsfaktoren in der Informationssicherheit. Fehlkonfigurationen, unachtsames Verhalten, Phishing-Angriffe oder das Teilen sensibler Informationen über unsichere Kanäle sind häufige Ursachen für Sicherheitsvorfälle und oft nicht durch Technik allein zu verhindern.

Gerade im Kontext von NIS2 wird deutlich, dass Sicherheitsbewusstsein auf allen Ebenen der Organisation verankert sein muss. Awareness-Schulungen sind daher essenziell. Sie sensibilisieren Mitarbeitende für aktuelle Bedrohungen, vermitteln korrektes Verhalten im Umgang mit IT-Systemen und fördern eine Sicherheitskultur, die über technische Maßnahmen hinausgeht.

Moderne Awareness-Programme setzen auf interaktive Formate, simulierte Phishing-Kampagnen, Rollenspiele und regelmäßige Updates zu neuen Angriffsmethoden. Sie sollten nicht als einmalige Maßnahme verstanden werden, sondern als kontinuierlicher Prozess, der mit der technischen Entwicklung Schritt hält.

Die NIS2-Richtlinie fordert explizit Maßnahmen zur Netzwerksicherheit, Segmentierung und Kontrolle von Schnittstellen, aber auch zur Schulung und Sensibilisierung von Mitarbeitenden. Unternehmen müssen nachweisen, dass sie Risiken systematisch identifizieren und durch technische sowie organisatorische Maßnahmen minimieren.

Hierzu stehen Maßnahmen zur Verfügung wie Zero-Trust-Architekturen, die jede Verbindung verifizieren, Netzwerksegmentierung nach Schutzbedarf, Sicherheitskonzepte für externe Anbindungen, Monitoring und Logging pro Segment, Awareness-Schulungen und Sicherheitsrichtlinien für Mitarbeitende und nicht zuletzt Notfallpläne für Infrastrukturkomponenten.

Diese Anforderungen sind nicht nur regulatorisch relevant, sondern auch technisch und kulturell sinnvoll. Sie fördern eine Sicherheitskultur, die nicht auf Reaktion, sondern auf Prävention setzt.

Die Sicherheit einer IT-Infrastruktur hängt nicht allein von Tools oder Firewalls ab, sondern von ihrer strukturellen Gestaltung und dem Verhalten der Menschen, die sie nutzen. Segmentierung, Separierung, kontrollierte Anbindungen und kontinuierliche Awareness-Schulungen sind essenzielle Bausteine einer resilienten Architektur. NIS2 macht deutlich, wer seine Infrastruktur nicht strukturiert absichert und seine Mitarbeitenden nicht sensibilisiert, gefährdet nicht nur Daten, sondern auch Geschäftsprozesse, Reputation und kann Unternehmen, je nach Intensität eingetretener Zwischenfälle, bis zur Geschäfstaufgabe schädigen..

Der digitale Wandel hat Unternehmen über Jahre hinweg in Richtung Cloud getrieben – mit Versprechungen von Flexibilität, Skalierbarkeit und geringeren Investitionskosten. Doch in Zeiten wachsender Datenschutzbedenken, steigender Betriebskosten und geopolitischer Unsicherheiten mehren sich Stimmen, die einen kritischen Blick auf diese Entwicklung fordern. Steht womöglich eine Rückbesinnung auf On-Premise-Strategien bevor?

Der Charme der Cloud – und ihre Schattenseiten

Zweifellos haben Cloud-Plattformen wie AWS, Microsoft Azure und Google Cloud den IT-Betrieb revolutioniert. Unternehmen konnten rasch Dienste ausrollen, Innovationen testen und sich global skalieren – ohne eigene Serverlandschaften managen zu müssen. Gerade für Start-ups oder dezentral aufgestellte Organisationen bedeutete die Cloud einen echten Wettbewerbsvorteil.

Doch dieser technologische Komfort hat seinen Preis:

• Abhängigkeit von Anbietern: Vendor Lock-in erschwert einen späteren Wechsel oder Rückzug.
• Transparenz und Kontrolle: Datenresidenz, Zugriffskontrollen und Compliance-Anforderungen werden zunehmend komplexer.
• Kalkulierbarkeit der Kosten: Was als „kostengünstig“ begann, entwickelt sich mit wachsender Nutzung oft zur teuren Dauerlast.

On-Premise: Veraltet oder unterschätztes Comeback?

Die Rückkehr zur lokalen IT-Infrastruktur erlebt derzeit eine stille Renaissance – vor allem in regulierten Branchen, der kritischen Infrastruktur und bei international agierenden Mittelständlern mit ausgeprägter IT-Kompetenz. Gründe dafür sind:

• Hohe Datensouveränität: Eigene Server bedeuten volle Kontrolle.
• Planbare Investitionen: Einmalige CAPEX statt schwer vorhersehbare OPEX.
• Geringere Angriffsfläche: On-Prem-Systeme können abgeschotteter betrieben werden als cloudbasierte Dienste.

Allerdings darf man nicht romantisieren: On-Premise bedeutet gleichzeitig höheren Personalbedarf, komplexere Wartung und größere Investitionen in Security, Backup und Skalierbarkeit.

Hybrid- und Multi-Cloud: Der realistische Mittelweg?

Viele Unternehmen schlagen bereits einen Mittelweg ein: Sie fahren zweigleisig und setzen auf Hybrid-Modelle, bei denen kritische Daten lokal verarbeitet, Standardservices aber aus der Cloud bezogen werden. Oder sie verteilen Lasten auf mehrere Anbieter (Multi-Cloud), um sich unabhängiger zu machen.

Fazit

Die Frage lautet nicht zwingend Cloud oder On-Premise? – sondern: Was passt zur Kultur, den regulatorischen Anforderungen und der strategischen Zielsetzung eines Unternehmens? Die Cloud ist kein Allheilmittel – und On-Premise kein antiquiertes Konzept. Der kluge IT-Verantwortliche wird nicht aus Prinzip, sondern aus Daten und Pragmatismus entscheiden.

Das Jahr 2025 ist wenige Stunden alt. Fragt man eingängige Suchmaschinen nach den Trends für das neue Jahr wird nach wie vor das Thema „Künstliche Intelligenz“ (KI) in den vorderen Regionen der Aufzählungen genannt.
KI ist zwar nicht die „dunkle Bedrohung“, die uns aus diversen achtziger-Jahre Filmen, deren Fortsetzungen und Spin-Offs mit und ohne Herrn Schwarzenegger zugegebenermaßen auch mich sehr unterhalten, dennoch sollte sie auch nicht als der Heilsbringer in allen Lagen verkündet werden.

KI kann nicht nur erkennen, wann welche Angreifer versuchen auf welche Art und Weise auch immer in Systeme und Infrastrukturen einzudringen, sondern sie kann auch exakt von diesen Angreifern genutzt werden. Als Fazit ist zu sagen, dass der Anspruch an die Informationssicherheit in Unternehmen stetig steigt und der Wettlauf zwischen Verteidigungsmechanismen und Angriffsszenarien mehr denn je auf dem Programm der IT-Abteilungen steht.
Um den Herausforderungen durch KI in der Informationssicherheit gerecht zu werden, sind kontinuierliche Anpassungen und Weiterentwicklungen der Sicherheitsstrategien notwendig. Dazu kann der Einsatz von KI zur Bedrohungserkennung, die in Echtzeit Anomalien analysieren kann, zählen.

Ebenso wichtig ist eine Zero Trust-Architektur, bei der keinem Benutzer oder Gerät automatisch vertraut wird. Fortlaufende Schulung und Sensibilisierung der Mitarbeiter helfen, menschliche Fehler zu minimieren und die Sicherheitskultur zu stärken. Vorausschauende Analysen ermöglichen die frühzeitige Identifikation von Schwachstellen und Angriffsvektoren, was eine proaktive Risikominderung erlaubt. Automatisierung von Sicherheitsprozessen kann wiederholende Aufgaben bewältigen und Sicherheitsteams entlasten. Letztlich müssen Sicherheitsrichtlinien regelmäßig überprüft und an die sich ändernde Bedrohungslandschaft angepasst werden. Diese Maßnahmen tragen dazu bei, die Informationssicherheit kontinuierlich zu verbessern und auf dem neuesten Stand zu halten.