Die Segmentation Toolbox von narrowin ist eine browserbasierte Planungsumgebung für Netzwerk-Segmentierung. Sie umfasst Tools zur Zonenplanung, VLAN-Design, Kommunikationsmatrix, IPAM, Betriebsmodell und Roadmap. Ohne Installation, alle Daten lokal im Browser.
Netzwerk-Segmentierung ist eine der wirksamsten Massnahmen für OT- und IT-Sicherheit. Aber die Planung ist komplex: Zonen definieren, VLANs zuordnen, Kommunikationsbeziehungen dokumentieren, Firewall-Regeln ableiten, und gleichzeitig Betriebsmodell, Zuständigkeiten und eine realistische Umsetzungs-Roadmap entwickeln. Oft geschieht das in Excel oder Visio – Werkzeuge, die dafür nicht gemacht sind.
Die Toolbox deckt den gesamten Planungsprozess ab: vom technischen Netzwerk-Design über das organisatorische Betriebsmodell bis zur Umsetzungsplanung.
Technische Planung: Zonen, VLANs, Subnetze, Kommunikationsbeziehungen und Firewall-Regelwerk.
Von der Analyse bis zur Umsetzung: Timeline, Priorisierung und Arbeitspakete strukturiert planen.
Zonenplanung, Kommunikationsmatrix, Roadmap, Betriebsmodell. Durchklicken und erkunden.
Security Zones: Netzwerkzonen nach IEC 62443 und Purdue-Modell strukturieren
Kommunikationsmatrix: Zugriffe zwischen Zonen definieren und als Firewall-Regelwerk exportieren
Roadmap-Planer: Arbeitspakete priorisieren und Timeline über mehrere Quartale planen
Organisation Planner: Betriebsmodell, Rollen und Verantwortlichkeiten definieren
Vereinfachtes Beispiel mit 8 Purdue-Zonen. In der Toolbox können Sie beliebig viele Zonen, Regeln und Protokolle definieren. Klicken Sie auf eine Zelle für Details, oder hovern Sie über einen Zonennamen für die zugehörigen VLANs.
| L0 Process | L1 Control | L2 Supervisory | L3 Site Ops | DMZ | L4 Campus | L5 Data Center | MGMT |
|---|
Läuft komplett im Browser. Keine Installation, kein Server, kein Account erforderlich.
Alle Daten bleiben im Browser (localStorage). Nichts wird an einen Server gesendet.
Purdue-Modell, Enterprise Campus, Hospital IT/OT und weitere branchenspezifische Vorlagen.
Zonen, VLANs und Matrix als JSON, PDF oder strukturierten Report exportieren.
Firewall-Konfigurationen importieren und Regelwerke automatisch analysieren.
Vollständig zweisprachig. Sprache jederzeit wechselbar, Daten bleiben erhalten.
Die meisten Segmentierungsprojekte starten nicht auf der grünen Wiese, sondern in Netzen mit historischen VLANs, undokumentierten Kommunikationsbeziehungen und gewachsenen Firewall-Regeln. Die Toolbox ist genau dafür gebaut: nicht als Greenfield-Designer, sondern als Planungswerkzeug, das den Bestand ernst nimmt.
Konfig-Import liest bestehende Firewall-Regeln, Interfaces und Zonen aus. Der VLAN Planner dokumentiert die gewachsene Struktur. Explorer-Daten ergänzen Topologie und Portkontext.
Security Zones ordnen Segmente nach Purdue-Levels. Die Kommunikationsmatrix definiert erlaubte Übergänge. IPAM und Betriebsmodell geben dem Zielbild Struktur.
Der Roadmap-Planer übersetzt das Zielbild in Wellen mit Wartungsfenstern, Verantwortlichkeiten und Abhängigkeiten – kein Big Bang, sondern kontrollierte Pakete.
Wie eine Konfigurationsanalyse in der Praxis aussieht, zeigt die Projektseite zur Firewall-Regelbereinigung.
Vorlage «Netzwerksicherheit & Resilienz» mit 34 Arbeitspaketen in 8 Kategorien, in der Toolbox vollständig editierbar. Hier ein Auszug.
Die komplette Segmentation Toolbox mit allen Planungs-, Betriebs- und Roadmap-Tools. Browserbasiert, Login erforderlich.
Kontakt aufnehmen → Toolbox öffnen (Login) → Segmentierung als Service →Ohne Login nutzbar
Drei Tools direkt im Browser ausprobieren, ohne Registrierung:
VLAN Planner · Subnetz-Rechner · KommunikationsmatrixNetzwerk-Segmentierung wird oft als reines Infrastrukturprojekt behandelt: VLANs anlegen, Firewall-Regeln schreiben, fertig. In der Praxis scheitern Segmentierungsprojekte aber selten an der Technik. Die grössten Hürden sind organisatorisch: Wer definiert die Zonen? Wer genehmigt Kommunikationsbeziehungen? Was passiert, wenn eine neue Anlage ins Netz kommt? Ohne klare Zuständigkeiten, Prozesse und ein Betriebsmodell bleibt die Segmentierung ein Einmal-Projekt, das innerhalb weniger Monate veraltet.
IT und OT haben fundamental unterschiedliche Prioritäten: IT optimiert auf Vertraulichkeit (CIA), OT auf Verfügbarkeit (AIC). Wenn beide Welten im selben Netzwerk koexistieren, treffen unterschiedliche Patch-Zyklen, Verantwortlichkeiten und Risikoappetite aufeinander. Die Konvergenz braucht deshalb nicht nur ein technisches Zonenmodell, sondern ein gemeinsames Governance-Framework mit abgestimmten Prozessen für Change Management, Incident Response und Asset-Verantwortung über Abteilungsgrenzen hinweg.
Ein vollständiges Segmentierungskonzept umfasst typischerweise 30+ Arbeitspakete über mehrere Quartale: von der Netzwerkdokumentation über Zonendesign und Firewall-Bereinigung bis hin zu NAC, Monitoring und Compliance. Ein realistischer Plan priorisiert nach Risiko und Aufwand (Quick Wins zuerst), definiert klare Phasen und trackt den Fortschritt pro Kategorie, nicht nur pro Quartal. Genau dafür haben wir den Roadmap-Planer in der Toolbox gebaut.
Ja. Segmentierung ist kein Zustand, sondern ein laufender Prozess. Neue Geräte, geänderte Kommunikationsanforderungen, Firmware-Updates – all das erfordert regelmässige Überprüfung und Anpassung der Zonen, VLANs und Firewall-Regeln. Ohne definierte Rollen (wer darf Regeln ändern?), Prozesse (wie wird ein neues VLAN beantragt?) und eine RACI-Matrix wird die Segmentierung im Alltag umgangen oder ignoriert. Die Toolbox enthält deshalb einen eigenen Bereich für das Betriebsmodell.
Das Zonenmodell definiert was getrennt wird (z.B. Purdue-Level, DMZ, Management). Die Kommunikationsmatrix definiert welche Zonen miteinander sprechen dürfen und mit welchen Einschränkungen. Daraus werden konkrete Firewall-Regeln abgeleitet: Protokolle, Ports, Richtung. Diese drei Ebenen sollten konsistent geplant werden, nicht isoliert. In der Toolbox sind sie miteinander verknüpft: Zonenänderungen aktualisieren automatisch die Matrix, und die Matrix kann als Firewall-Regelwerk exportiert werden.
Brownfield ist der Regelfall. Die meisten Netzwerke haben gewachsene VLAN-Strukturen, undokumentierte Kommunikationsbeziehungen und historische Firewall-Regeln. Der erste Schritt ist eine IST-Aufnahme: Welche VLANs existieren? Welche Geräte kommunizieren wohin? Welche Regeln sind noch aktiv und relevant? Die Toolbox unterstützt diesen Einstieg mit dem Konfig-Import (Firewall-Regelwerke einlesen) und dem VLAN Planner (bestehende Struktur dokumentieren und schrittweise in ein Zonenmodell überführen).
