Skip to content

Eine Überprüfung zeigt, dass das Netzwerk flach ist — Finanzserver teilen sich eine Broadcast-Domäne mit dem Gäste-WLAN. Was empfiehlst du zuerst?

Kurzantwort

Flache Netzwerke lassen ein einziges kompromittiertes Gästegerät direkt die wertvollsten Systeme erreichen. Segmentiere nach Vertrauensstufe und erzwinge Verkehr mit geringsten Rechten zwischen den Zonen, damit laterale Bewegung eingedämmt und überwacht wird. Eine Edge-Firewall tut nichts für Ost-West-Verkehr zwischen Hosts, die bereits drinnen sind. Die Finanzserver neu zu adressieren ist Security-by-Obscurity, die jeder Scan aushebelt. Antivirus ist eine Erkennungsschicht, kein Ersatz für die architektonische Kontrolle der Isolierung sensibler Systeme.

Ein flaches Netzwerk ist einer der häufigsten — und gefährlichsten — architektonischen Befunde. Das Senior-Signal besteht hier darin, zu erkennen, dass die Bedrohung laterale Bewegung ist und dass nur Segmentierung sie adressiert.

Warum Segmentierung der richtige erste Schritt ist

Wenn Finanzserver sich eine Broadcast-Domäne mit dem Gäste-WLAN teilen, sitzt der kompromittierte Laptop eines Besuchers im selben Layer-2-Segment wie deine sensibelsten Systeme. Nichts steht dazwischen — kein Policy-Enforcement-Point, keine Inspektion, kein Engpass. Ein Angreifer, der auf einem Gästegerät landet, kann die Finanzserver direkt erreichen, scannen und angreifen. Segmentierung zerlegt das Netzwerk in Zonen nach Vertrauensstufe und zwingt den Verkehr zwischen ihnen über kontrollierte Pfade (VLANs/Subnetze mit Firewall-Regeln oder ACLs, die geringste Rechte erzwingen, idealerweise in Richtung Mikrosegmentierung und Zero Trust). Das dämmt einen Einbruch ein, verkleinert den Schadensradius und gibt dir einen Ort, um Ost-West-Bewegung zu überwachen und zu blockieren.

Warum die Ablenker falsch sind

  • Eine Perimeter-NGFW kaufen und es als erledigt betrachten. Eine Perimeter-Firewall steuert den Nord-Süd-Verkehr, der die Grenze überschreitet. Sie ist blind für den Ost-West-Verkehr zwischen dem Gäste-VLAN und den Finanzservern, die sich bereits ein Segment teilen. Sie tut nichts für das eigentliche Problem.
  • Die Server durch Ändern ihrer IPs verstecken. Reine Security-by-Obscurity. Jeder in derselben Broadcast-Domäne kann das Subnetz per ARP-Scan oder Sweep durchsuchen und sie in Sekunden finden. Eine Neunummerierung ändert nichts an der Erreichbarkeit.
  • Antivirus auf den Finanzservern installieren. Antivirus ist eine einzelne Erkennungs-/Präventionsschicht auf dem Host. Es isoliert die Systeme nicht, stoppt weder Aufklärung noch laterale Bewegung und ist keine architektonische Kontrolle. Nützlich als Defense-in-Depth, nutzlos als erste Korrektur.

Was der Interviewer ergründet

Er will sehen, wie du das echte Risiko diagnostizierst — uneingeschränkte laterale Bewegung — und zur strukturellen Kontrolle greifst, die es behebt. Das Kennzeichen einer starken Antwort ist, Ost-West gegen Nord-Süd zu benennen, reines Perimeter- und Obscurity-Denken abzulehnen und Antivirus als eine Schicht statt als die Lösung zu behandeln. Bonus für das Skizzieren eines schrittweisen Rollouts und eines Wegs zur Zero-Trust-Segmentierung.

Wahrscheinliche Anschlussfragen

  • Was ist der Unterschied zwischen Perimeter- (Nord-Süd-) und lateralen (Ost-West-) Kontrollen?
  • Wie würdest du die Segmentierung schrittweise einführen, ohne den Produktionsverkehr zu unterbrechen?
  • Wo passen Mikrosegmentierung und Zero Trust über VLANs und ACLs hinaus?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.