Welche Systeme laufen in Ihrer Umgebung, und mit wem kommunizieren sie? Diese Frage können überraschend wenige Unternehmen verlässlich beantworten. Netzpläne sind veraltet, und die CMDB kennt nur einen Teil der Realität. Der Verkehr zwischen den Servern bleibt für klassische Perimeter-Werkzeuge ohnehin unsichtbar. Visibility, auf Deutsch Sichtbarkeit, schließt diese Lücke mit einem fortlaufend aktuellen Bild dessen, was in der eigenen Infrastruktur läuft und kommuniziert. Dieses Bild ist die Grundlage jeder wirksamen Sicherheitsmaßnahme, denn was Sie nicht sehen, können Sie weder schützen noch prüfen.
Was ist Visibility?
Visibility bezeichnet in der IT-Sicherheit die fortlaufend aktuelle Sicht auf drei Ebenen: die vorhandenen Assets, vom Server bis zur Cloud-Instanz, die Kommunikationsbeziehungen zwischen diesen Assets und die Datenflüsse, die über diese Verbindungen laufen. Der Unterschied zur Inventarliste ist entscheidend. Visibility ist keine Momentaufnahme, die nach Projektende veraltet. Sie ist ein laufend aktualisiertes Abbild der Realität.
In der Praxis bedeutet das eine Echtzeit-Karte der Umgebung, oft Application Dependency Map genannt. Sie zeigt, welche Anwendung mit welcher Datenbank spricht und welcher Dienst unerwartet ins Internet telefoniert. Eine klassische CMDB kann das nicht leisten: Sie bildet geplante Soll-Zustände ab und hinkt der gelebten Realität strukturell hinterher.
Besonders kritisch ist der Ost-West-Verkehr, also die Kommunikation zwischen Servern und Workloads innerhalb des Rechenzentrums oder der Cloud. Firewalls am Perimeter sehen nur den Nord-Süd-Verkehr in Richtung Internet. Der interne Verkehr, über den sich Angreifer nach einem Einbruch seitlich fortbewegen, bleibt ohne eigene Messpunkte im Dunkeln.
So funktioniert es
Der Aufbau von Sichtbarkeit folgt einem klaren Ablauf:
- Assets erfassen: Agenten auf den Workloads und Abfragen der Cloud-APIs inventarisieren, was tatsächlich läuft. Dabei tauchen regelmäßig Systeme auf, die in keiner Liste standen.
- Kommunikation aufzeichnen: Flow-Telemetrie direkt von den Workloads und aus dem Netzwerk zeigt, wer mit wem über welche Ports spricht. Entscheidend ist, dass auch der interne Ost-West-Verkehr erfasst wird.
- Kontext anreichern: Rohdaten erhalten Labels, etwa nach Anwendung und Umgebung. Aus IP-Adressen und Portnummern werden verständliche Beziehungen zwischen Anwendungen.
- Karte aufbauen: Die Abhängigkeitskarte visualisiert Anwendungen und ihre Verbindungen in Echtzeit und ersetzt statische Netzpläne.
- Laufend aktualisieren: Neue Workloads und geänderte Verbindungen fließen automatisch ein. Die Karte bleibt aktuell, ohne dass jemand sie manuell pflegen muss.
Warum es wichtig ist
- Sicherheitsentscheidungen stützen sich auf beobachtete Fakten statt auf Annahmen und veraltete Dokumentation.
- Regeln für die Mikrosegmentierung lassen sich aus realen Kommunikationsbeziehungen ableiten, ohne produktive Verbindungen zu gefährden.
- Laterale Bewegungen von Angreifern fallen auf, weil Abweichungen vom normalen Ost-West-Verkehr sichtbar werden.
- Audits, etwa nach ISO 27001 oder für NIS2, greifen auf belegbare Ist-Daten zurück statt auf gepflegte Soll-Dokumente.
- Schatten-IT und vergessene Altsysteme kommen ans Licht, bevor sie zum Einfallstor werden.
- Bei Vorfällen lässt sich der Wirkungsradius eines kompromittierten Systems schnell eingrenzen.
Typische Szenarien
- Vor einem Segmentierungsprojekt beobachtet ein Unternehmen über mehrere Wochen den realen Verkehr und leitet daraus Policies ab, die den Betrieb nicht stören.
- Ein Auditor fragt, welche Systeme auf die Finanzdatenbank zugreifen. Die Abhängigkeitskarte liefert die Antwort in Minuten statt nach tagelanger Recherche.
- Nach einer Übernahme wird die Infrastruktur des zugekauften Unternehmens kartiert, bevor beide Netze verbunden werden.
- Vor einer Cloud-Migration zeigt die Karte die Abhängigkeiten einer Anwendung, damit beim Umzug keine kritische Verbindung abreißt.
- Nach einem Sicherheitsvorfall rekonstruiert das Team anhand der Flow-Daten, welche Systeme der Angreifer erreicht hat.
Visibility, Monitoring oder Observability?
Die drei Begriffe überschneiden sich, beantworten aber unterschiedliche Fragen. Monitoring überwacht bekannte Systeme anhand vorab definierter Messwerte und meldet, ob ein Dienst verfügbar und performant ist. Observability geht tiefer: Sie erschließt den inneren Zustand von Systemen aus Telemetriedaten und hilft beim Verstehen unbekannter Fehlerbilder. Visibility hat dagegen einen Sicherheitsfokus. Sie zeigt, welche Assets existieren und wer mit wem kommuniziert, auch dort, wo gerade niemand hinschaut. Monitoring setzt voraus, dass Sie wissen, was Sie überwachen wollen. Visibility deckt auf, was Sie bisher gar nicht kannten. Die Disziplinen ersetzen sich deshalb nicht, sie ergänzen sich.
Wie KAEMI unterstützt
KAEMI beginnt jedes Segmentierungsprojekt mit einer Visibility-Phase. Auf Basis der Illumio-Plattform entsteht zunächst eine Echtzeit-Karte der Workloads und ihrer Kommunikationsbeziehungen, inklusive des Ost-West-Verkehrs. Erst wenn diese Karte steht und die Fachbereiche sie validiert haben, leiten wir daraus Policies für die Zero Trust Mikrosegmentierung ab und setzen sie schrittweise durch. Für den dauerhaften Betrieb sorgen die Professional & Managed Services : Die Karte bleibt aktuell, und Abweichungen werden bewertet, bevor daraus Risiken entstehen. Wenn Sie wissen möchten, was in Ihrem Netzwerk tatsächlich kommuniziert, sprechen Sie uns an .