Bei fast jedem Incident-Response-Einsatz sehen wir dasselbe Muster: ein einziges, flaches Netz, in dem der befallene Arbeitsplatzrechner ungehindert den Fileserver, die Backups, die Hypervisoren und die Kameras erreicht. Die Ransomware musste sich gar nicht groß anstrengen — das Netz hat ihr die laterale Ausbreitung geschenkt.
Netzsegmentierung ist die wirksamste und am häufigsten übersprungene Schutzmaßnahme im Mittelstand. Hier, wie wir sie mit OPNsense umsetzen — und wie der Umbau gelingt, ohne den laufenden Betrieb zu stoppen.
Was Zero Trust netzwerktechnisch wirklich heißt
„Zero Trust“ ist als Begriff überstrapaziert. Im Kern bedeutet er für das Netzwerk nur eines: kein implizites Vertrauen aufgrund des Standorts. Dass ein Gerät „im internen Netz“ steht, ist kein Grund, ihm Zugriff auf alles zu geben. Jeder Übergang zwischen Zonen wird kontrolliert, geloggt und auf das Nötige beschränkt.
Das ist kein Produkt, das man kauft, sondern ein Prinzip, das man im Regelwerk durchzieht. OPNsense ist dafür ein gutes Werkzeug, weil es VLANs, Firewall-Regeln, VPN und Reporting in einer nachvollziehbaren Oberfläche bündelt — ohne Lizenzfalle.
Segmentieren nach Vertrauenszone, nicht nach Abteilung
Der häufigste Konzeptfehler: Netze nach Organigramm schneiden („VLAN Buchhaltung“, „VLAN Vertrieb“). Sinnvoller ist die Trennung nach Vertrauens- und Schutzbedarf. Eine bewährte Grundstruktur:
- Clients — Arbeitsplatzrechner, das größte und am wenigsten vertrauenswürdige Segment.
- Server — interne Dienste, getrennt von den Clients.
- Management — Hypervisor-, Switch-, iLO/IPMI- und Firewall-Zugänge. Das schützenswerteste Netz überhaupt.
- Backup — möglichst isoliert, idealerweise nur in eine Richtung erreichbar.
- OT / IoT — Drucker, Kameras, Gebäudetechnik, Produktionsgeräte. Notorisch unsicher, gehört strikt eingehegt.
- Gäste — nur Internet, kein Zugriff auf irgendetwas Internes.
Die Zahl der Zonen darf wachsen, aber jede zusätzliche Zone ist Regelaufwand. Lieber wenige, klar definierte Segmente sauber kontrollieren als zwanzig VLANs, deren Regeln niemand mehr versteht.
OPNsense als Segmentierungs-Firewall
Technisch bilden wir die Zonen als VLANs ab, die auf einem getaggten Interface der OPNsense terminieren (Router-on-a-Stick) oder auf physisch getrennten Ports. Die Switche tragen die VLANs, die OPNsense ist das einzige Gerät, das zwischen ihnen routet — und damit der zentrale Kontrollpunkt.
- Pro VLAN ein Interface mit eigenem Subnetz und eigenem DHCP-Bereich.
- Jede Zone bekommt ihr eigenes Regelwerk — nicht eine globale „Allow any“-Regel mit ein paar Ausnahmen.
- Reporting/Logging aktiv, damit man im Vorfall nachvollziehen kann, wer mit wem gesprochen hat.
Default-Deny und explizite Inter-VLAN-Regeln
Das Herzstück: zwischen den Zonen gilt default deny. Erlaubt wird nur, was begründet ist. Statt „Clients dürfen ins Server-Netz“ schreiben wir Regeln wie:
- Clients → Server-VLAN: nur die Ports der tatsächlich genutzten Dienste (z. B. Dateifreigabe, interner DNS, Anwendungsserver), nicht das ganze Subnetz.
- Alle Zonen → Management-VLAN: grundsätzlich verboten. Zugriff auf Management nur aus einem dedizierten Admin-Segment oder über einen gesicherten Sprungpunkt.
- Backup-VLAN: Server dürfen zum Backup schreiben — aber das Backup-Netz initiiert nach Möglichkeit keine Verbindungen zurück. So kann ein kompromittierter Server die Sicherungen nicht aktiv angreifen.
- OT/IoT → intern: verboten. Diese Geräte dürfen ins Internet (wenn überhaupt) und zu ihrem Verwaltungsserver, sonst nichts.
Dieser explizite Stil macht das Regelwerk länger, aber lesbar und auditierbar — genau das, was eine NIS2- oder ISO-Prüfung sehen will.
Das Management-Netz und Out-of-Band
Das am häufigsten vergessene Segment ist gleichzeitig das gefährlichste. Hypervisor-Weboberflächen, IPMI/iLO, Switch-Management und die Firewall-GUI selbst gehören in ein eigenes, scharf abgeschottetes Management-VLAN — erreichbar nur von definierten Administrations-Geräten, idealerweise zusätzlich über VPN oder einen Jump-Host abgesichert. Ein Angreifer, der die IPMI-Karten erreicht, braucht keine Ransomware mehr — er hat die Hardware.
Remote-Zugriff per VPN, zonenbewusst
OPNsense bringt WireGuard und OpenVPN mit. Wichtig ist, dass ein VPN-Nutzer nicht automatisch im flachen Vollzugriff landet, sondern in einer Zone mit eigenem Regelwerk — Außendienst-Notebooks bekommen Zugriff auf die Fachanwendung, nicht auf das Management-Netz. WireGuard ist unsere Standardwahl: schlank, schnell, einfach zu auditieren.
Migration ohne Betriebsausfall
Die größte Sorge der Kunden: „Wenn ihr das Netz umbaut, steht die Firma.“ Muss sie nicht. Unser Vorgehen ist schrittweise:
- Aufnahme zuerst. Wer spricht heute mit wem? Ohne diese Inventur produziert man Regeln, die den Betrieb brechen. Eine Phase im reinen Logging-Modus zeigt die realen Datenflüsse.
- VLANs parallel aufbauen. Die neuen Segmente entstehen neben dem Altnetz, noch ohne Zwang.
- Zonenweise umhängen. Erst die unkritischen Bereiche (Gäste, Drucker), dann Clients, zuletzt Server und Management — jeweils mit Rückfallplan.
- Erst beobachten, dann verschärfen. Neue Inter-VLAN-Regeln laufen anfangs mit, werden geloggt und dann von „erlaubt + protokolliert“ auf „nur das Nötige“ enggezogen.
Stolperfallen aus echten Projekten
- Drucker und Scanner. Multifunktionsgeräte wollen oft in mehrere Richtungen sprechen (SMB-Scan-to-Folder, LDAP). Das bricht als Erstes — vorher die Datenflüsse erfassen.
- Hartkodierte IPs. Altanwendungen mit fest eingetragenen Server-Adressen vertragen Subnetz-Wechsel schlecht. Vor dem Umzug aufspüren.
- DNS quer durch alle Zonen. Interner DNS muss aus jeder Zone den richtigen Resolver erreichen — sonst „geht das Internet nicht“, obwohl es nur die Namensauflösung ist.
- Management-Zugriff zu großzügig. Aus Bequemlichkeit landet das Admin-Notebook im selben Client-Netz wie alle anderen. Damit ist die schönste Segmentierung ausgehebelt.
- Keine Doku. Ein Regelwerk ohne Beschreibung pro Regel ist nach sechs Monaten Archäologie. Jede Regel bekommt bei uns einen Kommentar, warum es sie gibt.
Fazit
Netzsegmentierung ist kein Großprojekt, das man „irgendwann“ macht — sie ist die Maßnahme mit dem besten Verhältnis aus Aufwand und Schutzwirkung. Mit OPNsense, einem sauberen Zonenkonzept und konsequentem Default-Deny verwandelt sich ein flaches Netz in eine Architektur, in der ein einzelner kompromittierter Rechner eben nicht mehr das ganze Unternehmen erreicht.
Wenn Sie Ihr Netz segmentieren oder ein bestehendes OPNsense-Setup härten wollen: unsere Netzwerk-Leistung zeigt das Vorgehen. Hintergrund zu den Begriffen liefern unsere Glossar-Einträge zu Zero Trust und OPNsense — und für eine konkrete Einordnung Ihrer Situation sprechen Sie uns an.
Flaches Netz, das segmentiert gehört?
30 Minuten reichen für eine ehrliche Einschätzung. Kostenfrei, ohne Vertriebsdruck.