4 Min. Lesezeit
Wie Sie die Ausbreitung von Malware im Netzwerk verhindern
Eric Weis
:
01.06.2026 10:44:12
Inhalte
Jeden Tag werden Unternehmen im Mittelstand Opfer von Cyberangriffen die niemand bemerkt hat, bis es zu spät war. Nicht weil keine Schutzmaßnahmen vorhanden waren, sondern weil Firewall und Virenschutz zwar einzeln funktioniert haben, aber nicht miteinander gesprochen haben. In dem Moment wo Schadsoftware diese Lücke findet, zählt jede Sekunde.
Dieser Artikel zeigt wie moderne Sicherheitsarchitekturen genau das verhindern, und warum der Unterschied zwischen einem isolierten Vorfall und einem kompletten Netzwerkausfall oft nur eine einzige Frage ist: Wie schnell reagiert das System?
Warum klassischer Virenschutz allein nicht reicht
Ein traditionelles Sicherheitssetup besteht aus Komponenten die nebeneinander arbeiten: Die Firewall überwacht den Netzwerkverkehr, der Virenschutz prüft Dateien auf dem Endgerät. Beide erkennen Bedrohungen in ihrem eigenen Bereich, aber sie tauschen diese Informationen nicht aus. Das klingt nach einem technischen Detail, ist in der Praxis aber ein ernstes Problem.
Stellen Sie sich vor, ein Mitarbeiter ruft eine kompromittierte Webseite auf und lädt unbewusst Schadsoftware herunter. Der Virenschutz auf seinem Gerät bemerkt verdächtiges Verhalten und schlägt intern Alarm. Die Firewall weiß davon nichts. Der infizierte Client bleibt im Netzwerk, kommuniziert weiter mit anderen Systemen und die Malware beginnt sich lateral auszubreiten. Bis jemand manuell eingreift, hat die Schadsoftware möglicherweise bereits Dutzende weitere Geräte erreicht.
Genau hier liegt die strukturelle Schwäche klassischer Sicherheitsarchitekturen. Wer mehr darüber erfahren möchte wie Schwachstellen im Netzwerk entstehen und wie man sie findet, findet dort einen guten Einstieg.
Was ein integriertes Sicherheitskonzept anders macht
Moderne Sicherheitsarchitekturen setzen auf Kommunikation zwischen den Komponenten. Die Idee dahinter: Firewall und Endpoint-Schutz tauschen in Echtzeit Informationen aus. Erkennt eine Komponente eine Bedrohung, wird diese Information sofort weitergegeben und das System reagiert koordiniert statt in Silos.
Was das in der Praxis bedeutet: Sobald der Endpoint-Schutz auf einem Client erkennt dass Schadsoftware aktiv ist, meldet er das der Firewall. Die Firewall isoliert den betroffenen Client daraufhin automatisch vom restlichen Netzwerk. Kein manueller Eingriff, keine Verzögerung durch Ticketsysteme, kein Warten bis ein Administrator morgen früh ins Büro kommt.
Der infizierte Client verliert seine Verbindung zu anderen Systemen, behält aber Internetzugang damit Sicherheitsupdates weiter eingespielt und der Vorfall dokumentiert werden kann. Dieses Konzept nennt sich bei Sophos „Synchronized Security" und ist in der Sophos XGS Firewall in Kombination mit Sophos Intercept X als Endpoint-Lösung umgesetzt.
Zero-Day-Angriffe: Wenn die Firewall noch nicht weiß, was sie nicht weiß
Eine berechtigte Frage ist: Wie kann es überhaupt passieren, dass Malware heruntergeladen wird, wenn doch eine Firewall vorhanden ist?
Die Antwort liegt in der Natur von Zero-Day-Angriffen. Firewalls arbeiten mit Filterlisten bekannter schädlicher IP-Adressen und Domains. Diese Listen werden kontinuierlich aktualisiert, aber zwischen dem Zeitpunkt wo ein neuer Malware-Server auftaucht und dem Moment wo er in der Filterliste erscheint, gibt es ein kurzes Zeitfenster. In diesem Fenster kann Schadsoftware über den neuen Server verteilt werden, weil die Firewall ihn noch nicht als gefährlich eingestuft hat.
Synchronized Security schließt diese Lücke nicht vollständig, aber es begrenzt den Schaden erheblich. Selbst wenn Schadsoftware initial heruntergeladen werden konnte, wird ihre Ausbreitung im Netzwerk durch die automatische Isolation des infizierten Clients gestoppt. Wie ein Managed Firewall Service dabei helfen kann diese Lücken kontinuierlich zu schließen, erklären wir auf unserer Serviceseite.
Was passiert mit dem isolierten Client?
Ein häufiges Missverständnis ist dass ein isolierter Client sofort neu aufgesetzt werden muss. Das stimmt so nicht. Durch die Isolation ist der Client zwar vom Netzwerk getrennt, aber er ist weiterhin funktionsfähig und kann in Ruhe untersucht werden. Ein Administrator kann den Vorfall analysieren, die Schadsoftware entfernen, prüfen welche Daten betroffen sein könnten und den Client anschließend wieder einbinden.
Das ist ein erheblicher Unterschied zu einem Szenario ohne automatische Isolation, bei dem sich die Malware ungehindert ausbreitet und am Ende ein Großteil der Infrastruktur bereinigt werden muss.
Homeoffice als unterschätztes Einfallstor
Ein Aspekt der im klassischen Sicherheitssetup oft übersehen wird: Was passiert wenn ein infizierter Client das Büronetzwerk verlässt und sich von zuhause aus verbindet?
Im klassischen Ansatz verlässt der Client beim Homeoffice den Schutzbereich der Firewall. Die Schadsoftware auf dem Gerät kann dann ungehindert arbeiten, weitere Daten verschlüsseln und beim nächsten Verbindungsaufbau ins Unternehmensnetzwerk die Infektion weiterverbreiten.
Ein integriertes Sicherheitskonzept funktioniert auch in diesem Szenario, weil die Kommunikation zwischen Endpoint-Schutz und Firewall nicht an den physischen Netzwerkstandort gebunden ist. Der Security Heartbeat läuft auch über VPN-Verbindungen, sodass infizierte Clients auch im Homeoffice erkannt und isoliert werden können.
Welche Voraussetzungen braucht ein solches Setup?
Damit Firewall und Endpoint-Schutz miteinander kommunizieren können, müssen beide Komponenten aus demselben Ökosystem stammen und über eine gemeinsame Verwaltungsplattform verbunden sein. Im Fall von Sophos läuft das über Sophos Central. Wer bereits eine Sophos Firewall betreibt aber einen anderen Endpoint-Schutz einsetzt, muss für dieses Konzept wechseln.
In der Praxis zeigt sich dass dieser Wechsel durch die deutlich verbesserte Schutzwirkung schnell gerechtfertigt ist, besonders für KMU ohne eigenes Security-Team. Wer das Setup nicht selbst betreiben möchte, kann es als Managed Service auslagern und zahlt einen monatlichen Fixbetrag statt interne Ressourcen zu binden.
Fazit
Malware stoppt man nicht an der Grenze des Netzwerks. Man stoppt sie indem man dafür sorgt dass ein infiziertes Gerät sofort erkannt und isoliert wird, bevor es andere Systeme erreicht. Moderne integrierte Sicherheitskonzepte machen genau das, automatisch und in Echtzeit.
Für KMU ohne eigene IT-Sicherheitsabteilung ist der Betrieb als Managed Service besonders sinnvoll. BRANDMAUER IT übernimmt Konfiguration, Monitoring und Wartung, sodass die automatische Isolation auch dann funktioniert wenn intern niemand gerade hinschaut.
Häufig gestellte Fragen zum Thema Malware verhindern
-
Was ist der schnellste Weg einen infizierten Client zu isolieren?
Mit einem integrierten Sicherheitskonzept erfolgt die Isolation automatisch, sobald der Endpoint-Schutz eine aktive Bedrohung meldet. In klassischen Setups ohne diese Kommunikation muss ein Administrator manuell eingreifen, was wertvolle Zeit kostet die Angreifer nutzen.
-
Kann sich Ransomware trotz automatischer Isolation ausbreiten?
Kein Sicherheitskonzept bietet hundertprozentigen Schutz. Die automatische Isolation reduziert aber die Ausbreitungsgeschwindigkeit erheblich, weil infizierte Clients vom Netzwerk getrennt werden bevor die Ransomware andere Systeme erreichen kann. Die Schadenshöhe bei einem Angriff ist damit deutlich geringer als in klassischen Setups.
-
Funktioniert das Konzept auch bei mehreren Standorten?
Ja. Da die Kommunikation über eine zentrale Verwaltungsplattform läuft, funktioniert das Konzept standortunabhängig, also auch bei Homeoffice-Mitarbeitern und verteilten Niederlassungen.
-
Ab wann lohnt sich ein integriertes Sicherheitskonzept für KMU?
Sobald mehr als ein Dutzend Clients im Netzwerk hängen und sensible Daten verarbeitet werden, ist ein integriertes Konzept sinnvoll. Die Alternative, also manuelles Eingreifen im Ernstfall, setzt voraus dass jemand rund um die Uhr verfügbar ist und sofort reagieren kann. Das ist in den meisten KMU schlicht nicht realistisch.