Definition und Zweck:
Die Netzwerksegmentierung (Network Segmentation) ist eine Sicherheits- und Architekturpraxis, bei der ein großes, homogenes Computernetzwerk in kleinere, voneinander isolierte oder streng kontrollierte Segmente (z.B. VLANs, Subnetze, DMZs) unterteilt wird. Die Kommunikation zwischen diesen Segmenten wird durch Firewalls oder Router streng geregelt.
In der industriellen Automatisierung ist die Netzwerksegmentierung eine der wichtigsten Maßnahmen der Cybersicherheit und dient der Umsetzung des Defense-in-Depth-Prinzips.
Vorteile in OT-Netzwerken:
- Cybersicherheit: Begrenzung der Angriffsfläche. Im Falle eines Angriffs (z.B. Malware) kann sich der Schaden nicht auf das gesamte Netzwerk ausbreiten.
- Stabilität und Performance: Isolierung des kritischen Steuerung-Netzwerks vom allgemeinen Büro-Netzwerk (Datenübertragung).
- Einhaltung der Hierarchie: Umsetzung der Automatisierungshierarchie durch physische oder logische Trennung von Ebenen (SPS-Ebene, SCADA-Ebene, MES-Ebene).
- Zugriffskontrolle: Vereinfachte Verwaltung der Zugriffskontrolle und Autorisierung für jedes Segment.
Typische Segmente sind die Sensor-Aktor-Ebene, die SPS-Ebene, die Visualisierung-Ebene und das Daten Analytics-Netzwerk.
→ Siehe auch: Cybersicherheit, Netzwerksicherheit, Firewall, VPN (Virtual Private Network), Datenübertragung, Automatisierungshierarchie
