:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/10/b8/10b8f6fcd8e93dbfbab834c47b599830/0129095439v1.jpeg "Pega beschleunigt mit einem neuen KI-Tool die Transformation von Lotus-Notes-Anwendungen in moderne, Cloud-native Workflows. (Bild: © bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd9bbec53654083df8770aecac691a/0129224068v1.jpeg "Multi-Core Fibre bündelt mehrere parallele Lichtsignale in einer Faser. Colt erreicht im Londoner Metronetz 800 Gbit/s Leitungsgeschwindigkeit und validiert 100GE- und 400GE-Services. (Bild: © Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7d/a17d7fd021921c33db99ee4aeb41bb30/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/5e/325e7dc99010c393d153ce94336c9924/0129346618v1.jpeg "Netzkomponenten wie Router bilden das Rückgrat von Telekommunikationsnetzen. Der Austausch von Hardware „hochriskanter“ Anbieter adressiert Lieferkettenrisiken, lässt aber Fragen nach prüfbarer Firmware und Management-Software offen. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/83/fa832a75d3b143390e952ad803ea272c/0129257608v1.jpeg "Monitoring-Daten der Bundesnetzagentur: Laut Verivox stockt der Mobilfunkausbau. (Bild: Bundesnetzagentur)")
:quality(80)/p7i.vogel.de/wcms/28/e8/28e83bbfac2c484ed4864fe7de55d39c/0129243647v1.jpeg "Ricardo Rodríguez vom eSIM-Anbieter Holafly ist überzeugt, dass (multinationale) eSIM-Lösungen das Reisen für viele Geschäftskunden entscheidend verbessern wird. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/cb/e7cbc544dd0b1c73e109cff650728eb4/0129422443v2.jpeg "Cisco zeigt auf seiner Hausmesse in Amsterdam neue Hardware, Software und Sicherheitslösungen für den Einsatz von Agentic AI. (Bild: Cico)")
:quality(80)/p7i.vogel.de/wcms/f3/50/f350bd81b39d040543e8f7337584cda0/0129348689v1.jpeg "MikroTik fühlt sich laut Website verpflichten, stets nach den effektivsten Lösungen zu suchen, um die richtigen Geräte für die Netzwerke seiner Kunden zu liefern. Cornelius Hoffmann bestätigt das in seinem Praxisartikel. (Bild: MikroTik)")
:quality(80)/p7i.vogel.de/wcms/d9/9a/d99a053e7c8d89c7a77c6813cd6fd153/0129431972v2.jpeg "Mit einem Open Source Tool kann man KI aus Windows 11 verbannen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/63/b1/63b1a1b40a0e1b0c1e3e5db3f4ca9e65/0129432487v1.jpeg "Der aktuelle Lagebericht Observability 2025 verdeutlicht, dass nicht die Anzahl der Incidents, sondern Tool-Wildwuchs und fehlender Kontext die größte Belastung darstellen. (Bild: Splunk)")
:quality(80)/p7i.vogel.de/wcms/41/de/41de964aab28b05865562fd8c190a409/0129259457v1.jpeg "Das erweiterte Real User Monitoring soll echte Nutzerinteraktionen direkt mit Logs und Systemmetriken verknüpfen. (Bild: Dynatrace)")
:quality(80)/p7i.vogel.de/wcms/ad/6b/ad6bcd9a4a71813986e0c50836881e9f/0125105677v1.jpeg "Checkmk verstehen. Monitoring beherrschen. Der Workshop im Überblick. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/35/51/3551092f2bcf24a479b40174f1462f76/0129052509v1.jpeg "Im Einzelhandel entscheidet Netzverfügbarkeit zunehmend über den laufenden Betrieb. Zahlungsprozesse, Warenwirtschaft, digitale Preisauszeichnung und Kundenanwendungen hängen an derselben Infrastruktur. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/e5/a0/e5a0f4de62a580ed71280869402a9b64/0129197312v1.jpeg "Satellit als Rückfallebene: NTN-NB-IoT ergänzt Mobilfunknetze dort, wo klassische Abdeckung endet. (Bild: Skylo)")
:quality(80)/p7i.vogel.de/wcms/58/90/589012e9659a67c828b52806b2ae94fe/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/21/47/2147cbdfbcf0e9222f7372a69e3c68df/0129440963v1.jpeg "Die XXV. Olympischen Winterspiele in Norditalien sind mehr als ein sportliches Großereignis – sie sind auch ein Feldexperiment für eine neue Ära der Konnektivität. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/38/ca/38ca305fdd9ec806f05b75bb7e5ce3cb/0129229797v1.jpeg "Open Systems, Anbieter von co-managed SASE-Betriebsmodellen mit globaler Reichweite, hat eine Umfrage zu SASE, Zero Trust und dem Einsatz von SD-WAN-Infrastrukturen durchgeführt. (Bild: © Nirusmee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/6e/a86e3402f17319013d3788295086cc78/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/19/0b/190bfaf5cb55e2add9ddfc2f2a071e87/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/ef/a6ef3ae30344765b5f0b596294fc048d/0129335073v1.jpeg "Die Rainbow-Plattform von Alcatel-Lucent Enterprise besteht das C5-Audit des BSI und erfüllt zentrale Anforderungen an Cloud-Sicherheit und Compliance. (Bild: ALE)")
:quality(80)/p7i.vogel.de/wcms/a7/05/a7052150963766d5f9c051fda4fa0360/0129099772v1.jpeg "Skype wurde Anfang Mai 2025 eingestellt. Wer noch alte Daten retten will, sollte schnell aktiv werden. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/18/fc/18fcff49f531de7e54368f6d7ad3012a/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/b7/03/b703960e0f6b855b0254135a20288b0c/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/93500/93524/65.jpg "AL_Enterprise_logo_RGB.jpg ()")
Application Gateways
Application Gateways schließlich stellen die aufwendigste Form der Firewalls dar. Sie führen Kontrollen auf Anwendungsebene durch. Der Schutz besteht im Großen und Ganzen darin, dass üblicherweise ein äußerer Anwender nicht unmittelbar mit einer Anwendung verbunden wird, sondern mit einem vertrauenswürdigen Proxy.
Dieser nimmt die Anforderung des äußeren Anwenders auf, prüft dessen Berechtigung und veranlasst dann die gewünschte Funktionsausführung. Ein dabei entstehendes Ergebnis wird an den äußeren Anwender übergeben. Dies ist an sich keine Neuheit, sondern eine mögliche grundlegende Funktionsweise vertrauenswürdiger, sicherer, geschlossener Rechensysteme mit Pförtnern.
Ein Unterschied zu geschlossenen Systemen ist die Möglichkeit der verteilten Platzierung von Proxies und Diensten auf verschiedenen Rechensystemen. Ein Proxy hat vor allem die Aufgabe, Interna der nachgelagerten zu schützenden Einheiten wie IP- oder TCP-Adressen und weiterer Parameter auf diesen Ebenen zu verdecken. Ein Kunde z.B. »redet« nie mit dem betreffenden Server, sondern immer nur mit dem Proxy. Wenn er den Proxy angreift, kann er diesen vielleicht zerstören, sollte idealerweise aber niemals Information gewinnen, die ihn im anzugreifenden Netz weiterführt. Hilfsweise kann man natürlich auch zusätzliche Programme laufen lassen, die den Verkehr zwischen äußerem Kunden und Proxy überwachen und bei auffälligen Anomalien zusätzlich eingreifen.
Ein Application Level Gateway ist für die interne Organisation in den meisten Fällen zu aufwendig und zieht aufgrund seiner Struktur manchmal auch eine geringe Performance nach sich, die sich aus der Perspektive des Nutzers in höheren Antwortzeiten niederschlägt. Durch konventionelle TCP/IP-Angriffe ist es allerdings nicht so einfach aus der Fassung zu bringen. Es ist daher die von den heute bekannten Alternativen relativ sicherste für den Zugang auf einen internen Server aus dem unsicheren Internet.
Application Level Gateways bilden eine weitreichende Basis zur Implementierung zusätzlicher Sicherheitsmaßnahmen, z.B. im Rahmen von Verschlüsselung. Eine neue Generation von Application Level Gateways kontrolliert nicht nur statische Anfragen, sondern auch bestimmte Verhaltensmuster von Sessions, logischen Verbindungen zwischen (externen) Nutzern und internen Diensten. Hier können Status und Kontext einer Verbindung einfließen.
Alle Formen von Firewalls können unterschiedlich implementiert werden. Besonders gerne nimmt man einen so genannte Dual Bastion Host, der zwei Anschlüsse besitzt, eben zum unsicheren und zum sicheren Netz, und auch durch interne Baugruppentrennung und hohe Qualität des Betriebssystems und der speziellen Schutzanwendungen dafür sorgt, dass es keine unentdeckten Netzübergänge gibt. Der Ansatz des Dual Bastion Hosts ermöglicht eine besonders schnelle Anpassung an geänderte Randbedingungen, wie z.B. ein Update einer geknackten Sicherheitssoftware in eine Version, bei der das Sicherheitsproblem – zunächst – beseitigt wurde.
Fazit
Schutzmaßnahmen können nur im Rahmen der Umsetzung eines geschlossenen Sicherheitskonzeptes mit technischen und organisatorischen Maßnahmen erfolgreich durchgeführt werden. Die wichtigste zentrale Maßnahme ist der Aufbau einer Firewall-Zone mit Firewalls, Routern und geschützten Servern für den externen Zugriff sowie die Integration von zusätzlichen Sicherungsverfahren wie Authentisierung und Verschlüsselung.
Bei den relativ geringen Rechner-Preisen für PCs ist es nicht zu vertreten, wenn externe Benutzer und interne Benutzer auf der gleichen Server-Maschine arbeiten. Durch einen Umweg im Dateisystem kann sich nämlich ein externer Benutzer relativ leicht Zugang zu Bereichen auf dem Server verschaffen, die ihm eigentlich nicht zugänglich sein sollen. Diese Maßnahmen sollte man mit internen Schutzmaßnahmen kombinieren, wie Schutzmechanismen gegen Fehlfunktionen einer Firewall-Zone, Host-Security und Virenkontrolle.
Die Situation bei der Konstruktion von Sicherheitshilfsmitteln wird dadurch erschwert, dass nur wenige einen ganzheitlichen Sicherheitsansatz verfolgen. Totale Sicherheit in Netzen kann es nicht geben.
Intranets sind für sich gesehen sicherer als herkömmliche Unternehmensnetze, weil vielfältige Bedrohungen, die von den eigenen Mitarbeitern ausgehen und ein erhebliches Schadenspotential darstellen, nicht mehr vorkommen. Intranets sind auch sicher gegenüber Angriffen von Amateuren. Eine Sicherheit gegenüber professionellen Angreifern kann nach heutigem Kenntnisstand nur im heute allgemein üblichen Maße gewährleistet werden. Dies gilt in verschärfter Form besonders dann, wenn Intranets mit dem Internet verbunden werden. Die Sicherheitsprobleme sind insgesamt in den meisten Fällen nicht so schwerwiegend, dass das gesamte Konzept deshalb verworfen werden müsste. Konzeptgebundene, initiale Sicherheitsprobleme z.B. mit Java oder HTML sind mittlerweile erkannt und werden im interessierenden Zeitraum sicherlich beseitigt.
Alles in allem ist es wichtig, bei aller Aufmerksamkeit gegenüber Sicherheitsproblemen die möglichen Vorteile von Intranets hierdurch nicht zu verstellen.
(ID:2052465)
:quality(80)/p7i.vogel.de/wcms/9a/9f/9a9f5c815263cda2cb4e5960e5f938bf/0127698595v1.jpeg "Mit Tailscale Services (Beta) erhalten Anwendungen eigene IPs und DNS-Namen für vereinfachten, sicheren Zugriff in modernen Netzwerken. (Bild: Tailscale)")
:quality(80)/p7i.vogel.de/wcms/d3/67/d367d383fae42bfd3c54e422cf17f23b/0128192079v1.jpeg "Über ein virtuelles privates Netzwerk kommunizieren Endgeräte oder lokale Netzwerke geschützt vor unbefugtem Zugriff über potenziell unsichere Netze wie das Internet. (Bild: Gemini / KI-generiert)")