Netzwerksegmentierung mit Zonen und VLANs planen

Ein VLAN (Virtual Local Area Network) segmentiert ein physisches Netzwerk logisch in separate Broadcast-Domänen. Geräte in verschiedenen VLANs können nicht direkt auf Layer 2 kommunizieren – sie benötigen einen Router oder Layer-3-Switch. Netzwerksegmentierung verbessert die Sicherheit durch Begrenzung des Blast Radius bei Angriffen, reduziert Broadcast-Traffic, ermöglicht Traffic-Priorisierung und hilft bei Compliance-Anforderungen. In industriellen Umgebungen trennen VLANs IT von OT und isolieren kritische Steuerungssysteme von weniger vertrauenswürdigen Zonen.

Das Purdue-Modell (ISA-95/IEC 62443) ist eine Referenzarchitektur, die Industrienetzwerke in hierarchische Ebenen organisiert. Level 0-1 enthält Feldgeräte und Basissteuerung (SPSen, Sensoren). Level 2 behandelt Bereichsüberwachung (HMIs, Engineering-Stationen). Level 3 ist die Standortbetriebsebene (Historian, Batch-Management). Eine DMZ trennt OT von Level 4-5 Enterprise-IT-Systemen. Dieses Modell leitet das VLAN-Design, indem es klare Sicherheitsgrenzen zwischen Ebenen definiert, wobei jede Ebene typischerweise eigene VLAN(s) hat.

Die richtige Anzahl hängt von Sicherheitsanforderungen, Traffic-Mustern und Verwaltungskapazität ab. Als Grundlage: separate VLANs für Benutzer-Workstations, Server, Management, Voice/Video und Gäste. In OT-Umgebungen kommen VLANs pro Purdue-Level hinzu, plus separate VLANs für jede Produktionszelle oder Sicherheitssysteme. Vermeiden Sie Extreme – zu wenige VLANs bieten schwache Isolation, während Hunderte von VLANs unüberschaubar werden. Ein mittleres Unternehmen hat typischerweise 20-50 VLANs; Industriestandorte oft 10-30 pro Anlage.

VLAN-IDs reichen von 1 bis 4094. VLAN 1 ist das Standard-VLAN auf den meisten Switches und sollte aus Sicherheitsgründen generell nicht für Produktionstraffic verwendet werden. VLANs 1002-1005 sind bei Cisco für Legacy Token Ring/FDDI reserviert. VLAN 4095 ist reserviert. Best Practice: Verwenden Sie ein konsistentes Nummerierungsschema – z.B. 10-99 für Infrastruktur, 100-199 für Benutzer, 200-299 für Server, 300-399 für OT. Dokumentieren Sie Ihr Schema und lassen Sie Lücken für zukünftige Erweiterungen.

Sicherheitszonen sind logische Gruppierungen von Assets mit ähnlichen Sicherheitsanforderungen und Vertrauensstufen – sie sind ein Designkonzept. VLANs sind die technische Implementierung, die Zonengrenzen auf Layer 2 durchsetzt. Eine Zone kann mehrere VLANs enthalten (z.B. eine «Produktionszone» mit separaten VLANs für SPSen, HMIs und Historian). Zonengrenzen werden typischerweise durch Firewalls oder ACLs zwischen VLANs durchgesetzt. Denken Sie an Zonen als Sicherheitsrichtlinie und VLANs als den Netzwerkmechanismus, der sie implementiert.

IT/OT-Konvergenz erfordert sorgfältige VLAN-Planung, um Datenfluss zu ermöglichen und gleichzeitig Sicherheitsgrenzen zu wahren. Erstellen Sie eine dedizierte DMZ-Zone mit VLANs für Datendioden, Jump-Hosts und Datenaggregationsdienste. Erlauben Sie niemals direkte IT-zu-OT-VLAN-Kommunikation. Verwenden Sie separate VLANs für Remote-Access-Infrastruktur. Erwägen Sie Einweg-Datenflüsse von OT zu IT wo möglich. Dokumentieren Sie alle zonenübergreifenden Traffic-Anforderungen und implementieren Sie strikte Firewall-Regeln zwischen IT- und OT-VLANs. Das Purdue-Modell bietet einen hervorragenden Rahmen für diese Architektur.