Demilitarisierte Zonen in der IT – noch mehr Sicherheit für das interne Netzwerk

Ursprünglich stammt der Begriff der demilitarisierten Zone aus der Politik. Die UN bezeichnete in den 1950er Jahren die Pufferzone zwischen den beiden verfeindeten Ländern Nord- und Südkorea als demilitarisierte Zone. Heute wird der Begriff hin und wieder immer noch im politischen Zusammenhang verwendet. Doch auch im IT-Bereich hat die demilitarisierte Zone mittlerweile eine ganz eigene Bedeutung. Sie ist mittlerweile ein Schlüsselbegriff in punkto IT-Security.

DMZ – für Geräte und Dienste mit Außenkontakt

Jedes Netzwerk muss heute über mindestens eine Firewall verfügen. Nur so kann man sich vor Hackerangriffen, Datenklau und sonstigen negativen Einflüssen von außen schützen. Allerdings müssen vor allem Firmen immer häufiger digitale Dienste zur Verfügung stellen und somit direkt mit dem Internet verbunden sein. Dafür müssen Schutzmechanismen wie Firewalls gewisse Verbindungen mit der Außenwelt zulassen.

Um in diesem Zusammenhang das Risiko für das firmeninterne Netzwerk so gut es geht zu minimieren, kann eine besonders geschützte Zone eingerichtet werden, die quasi ausschließlich für Außenkontakte zuständig ist – eine sogenannte demilitarisierte Zone (DMZ).
In dieser DMZ werden dann Geräte und Dienste installiert, die für den unmittelbaren Außenkontakt zuständig sind.

Eingangs-Firewall und interne Firewall schützen die DMZ

Die Rede ist in diesem Zusammenhang beispielsweise von Webservern, auf die von außen zugegriffen werden soll, von Datenbankservern, Mailservern oder aber auch von einem Proxyserver, der den Zugang der eigenen Mitarbeiter zum Internet verwaltet. Dadurch ist DMZ ein elementarer Bestandteil moderner Netzwerktechnik.

Eine solche demilitarisierte Zone ist dementsprechend ein von der eigentlichen internen Netzwerkstruktur ausgelagerter Bereich, der das Intranet nicht betrifft.

Sie wird in jedem Fall von einer Eingangs-Firewall geschützt. Gleichzeitig wird auch eine Firewall zwischen der DMZ und dem eigenen internen Netzwerk geschaltet. So ist das eigene Netz doppelt gesichert, da alle Verbindungen mit der Außenwelt über die demilitarisierte Zone ablaufen.

Eine DMZ funktioniert wie eine isolierte Insel

Während jene Eingangs-Firewall natürlich so konfiguriert ist, dass sie viele Datenpakete zulässt, muss die interne Firewall, die zwischen internem Netz und demilitarisierter Zone geschaltet ist, so konfiguriert sein, dass sie nur die nötigsten Inhalte übermittelt.

Eine demilitarisierte Zone in Bezug auf die IT ist also vergleichbar mit einer isoliert funktionierenden Insel, die zwischen ein Firmennetz und einem unsicheren Netz wie dem Internet geschaltet wird. Sie ist dafür zuständig, den digitalen Kontakt zur Außenwelt zu gewährleisten, ohne dass das firmeninterne Netzwerk unnötig in Gefahr gebracht wird. Denn auf diese Weise ist das interne Netz niemals direkt mit einem unsicheren Netz wie dem Internet verbunden.

Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik selbst empfiehlt in seinen IT-Grundschutz-Katalogen eine solche zweistufige Firewall-Lösung. Im Idealfall sollten bei dieser Lösung die Firewalls von verschiedenen Herstellern stammen.

Denn, sollte es bei einem Hersteller eine bekannte Sicherheitslücke geben, betrifft dieses Problem zunächst nur eine Firewall. So ist zumindest ein Teilschutz während eines Firewall-Austausches sichergestellt. Wenn dagegen beide Firewalls vom gleichen Hersteller stammen, wäre im Falle einer Sicherheitslücke nicht nur ein Teilbereich ungeschützt, sondern gleich alles – das DMZ und das firmeninterne Netzwerk.

Ein guter Schutz mit doppeltem Boden

Prinzipiell sollte sich jedes Unternehmen Gedanken darüber machen, wie es seine Technik schützt, und ob die Einrichtung einer DMZ möglicherweise eine gute Lösung wäre. Denn Datensicherung und Schutz vor böswilligen Angriffen auf das eigene Netz werden immer zentrale Themen in der modernen IT bleiben.

Wenngleich die Einrichtung einer optimal ausgebauten demilitarisierten Zone durchaus aufwendig ist: Ein guter Schutz mit doppeltem Boden ist im Falle eines Angriffs durchaus den Aufwand wert gewesen.

Weitere Informationen zu DMZ:

• IT Wissen: DMZ (demilitarized zone)
• Elektronik Kompendium: DMZ – Demilitarisierte Zone
• Cyberfahnder: Bestandteile eines professionellen Netzwerkes – Demilitarisierte Zone
• Wikipedia: Demilitarized Zone

Verwandte Artikel auf netzorange zum Thema DMZ:

• IT-Security – Schutz vor einer Bedrohung von außen
• Netzwerktechnik – Ankerpunkt der modernen IT