Netzwerk-Expertentipp: Diese drei Ostereier sollten Sie sich besser nicht ins Nest legen.
Dokumentationen legen dar, wie eine Netzwerkumgebung ursprünglich geplant wurde; der tatsächliche Zustand der Systeme, die über die Jahre gewachsen sind, erzählt aber oft eine andere Geschichte. Hier sind drei Tipps von den UMB Netzwerk-Experten, um solche Fehler in Ihrem Netzwerk zu vermeiden.
Viele Netzwerkprobleme entstehen nicht durch schlechte Technologie, sondern durch gewachsene Strukturen und pragmatische Entscheidungen in der Vergangenheit. Typische Beispiele sind flache Netzwerke ohne klare Trennung von Operational Technology (OT) und Information Technology (IT) sowie fehlende Transparenz über OT-Systeme, Firewall-Regeln, die als temporäre Workarounds entstanden sind und Infrastruktur, die weit über ihren Lebenszyklus hinaus betrieben wird. Bei einer Netzwerk-Analyse der eines Industriekunden stiessen wir auf genau solche gewachsenen Strukturen: IT- und OT-Netze waren nicht getrennt, das Netzwerk war flach aufgebaut, ein separates OT-Netzwerk eines Herstellers war gar nicht dokumentiert, und mehrere Geräte liefen bereits im End-of-Life (EOL) mit veralteten Softwarebeständen. Solche Situationen sind keineswegs ungewöhnlich – Netzwerke wachsen über Jahre, neue Systeme werden integriert, Projekte kommen hinzu, und nicht jede Architekturentscheidung wird später nochmals hinterfragt.
Tipp 1: Unbekannte OT-Geräte – fehlende Sichtbarkeit
In vielen Unternehmen ist die klassische IT relativ gut inventarisiert. Server, Clients, Netzwerkgeräte oder Cloud-Ressourcen finden sich in Asset-Management-Systemen, Monitoring-Tools oder Configuration Management Databases (CMDBs). Im OT-Bereich sieht es jedoch oft anders aus. Produktionsanlagen, Steuerungen, Programmable Logic Controllers (PLCs) oder Industrie-PCs laufen über viele Jahre. Neue Maschinen kommen hinzu, bestehende Anlagen werden erweitert oder modernisiert – doch die Netzwerkdokumentation wird nicht immer konsequent nachgeführt. So bleibt unklar, welche OT-Systeme sich überhaupt im Netzwerk befinden, welche Geräte mit welchen Systemen kommunizieren, welche Komponenten kritisch für die Produktion sind, und wo veraltete Betriebssysteme und unsichere Protokolle laufen. Ohne ausreichende OT-Sichtbarkeit wird das Netzwerk schnell zur Blackbox. Sicherheitsrisiken bleiben unentdeckt und eine saubere Segmentierung wird schwierig. Gerade im industriellen Umfeld ist Transparenz über OT-Systeme heute ein zentraler Bestandteil moderner Sicherheitsstrategien. Ein strukturierter Ansatz für Asset Discovery und Netzwerk-Monitoring kann hier bereits einen grossen Unterschied machen.
Tipp 2: Ports nicht temporär öffnen und vergessen
Ein weiteres Muster, das man in vielen Netzwerken findet: Eine Anwendung funktioniert nicht oder ein Lieferant benötigt Zugriff auf ein System. Die schnelle Lösung lautet dann oft: «Wir öffnen den Port mal kurz.» Das Problem ist, dass temporäre Firewall-Regeln selten temporär bleiben. Auch bei unserem Industriekunden fanden wir Firewalls mit offenen Ports, bei denen niemand mehr genau wusste, wieso das so war. Die Dokumentation war teilweise unvollständig oder längst überholt. Oft entstehen solche Situationen fast automatisch – durch neue Anwendungen, Lieferantenzugriffe oder Projekte. Jede Änderung hinterlässt eine zusätzliche Regel. Mit der Zeit führt das zu unübersichtlichen Regelwerken, unnötig offenen Ports, fehlender Nachvollziehbarkeit und erhöhten Sicherheitsrisiken. Im Rahmen der Betriebsübernahme haben wir die Firewall-Regeln systematisch überprüft, nicht mehr benötigte Regeln entfernt und die Policies neu strukturiert. Das Resultat war eine deutlich klarere und sicherere Firewall-Konfiguration. Ein einfacher Grundsatz hilft hier oft: Jede Firewall-Regel sollte einen klar dokumentierten Zweck, einen Owner und idealerweise ein Review-Datum haben.
Tipp 3: Infrastruktur nicht zu lange betreiben
Ein weiterer Punkt, der uns aufgefallen ist: Netzwerkgeräte befinden sich bereits im EOL oder laufen mit deutlich veralteten Softwareversionen. In vielen Organisationen wird Infrastruktur so lange betrieben, wie sie technisch funktioniert. Aus Budget- oder Prioritätsgründen wird ein Austausch immer wieder verschoben. Die Risiken steigen jedoch mit der Zeit: Es gibt keine Sicherheitsupdates mehr vom Hersteller, der Support ist eingeschränkt oder fehlt ganz, Hardwareausfälle werden wahrscheinlicher und moderne Netzwerk- oder Sicherheitsfunktionen fehlen. Gerade im Netzwerkbereich lohnt sich ein strukturiertes Lifecycle-Management, um solche Situationen frühzeitig zu vermeiden.
Verbesserung beginnt mit einer Bestandsaufnahme
Moderne Netzwerke müssen nicht nur funktionieren. Sie müssen auch transparent, sicher und langfristig betreibbar sein. Und manchmal beginnt die Verbesserung einfach mit einer kompletten Bestandsaufnahme. UMB AG kann Sie dabei unterstützen. Wir sorgen gemeinsam mit unseren Leading-Edge-Partnern für ein leistungsfähiges Netzwerk, das nach höchsten Sicherheitsstandards operiert. Wir sind nicht nur Netzwerk-Spezialisten, sondern können Ihre gesamte Infrastruktur betreuen. Unser ganzheitliches IT-Verständnis sorgt dafür, dass alles miteinander harmoniert. Mit unseren Netzwerk-Services analysieren wir Ihr aktuelles Netzwerk- und Sicherheits-Setup und identifizieren die richtige Technologie und das richtige Design für Ihr Unternehmen. Kontaktieren Sie uns!
