S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Netzwerk

Demilitarisierte Zone

Abkürzung: DMZ

Netzwerksegment, das zwischen dem öffentlichen Internet und dem internen Unternehmensnetzwerk liegt und öffentlich zugängliche Dienste isoliert.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Stell dir vor: Das interne Büro ist der sichere Bereich. Die DMZ ist wie ein Empfangsbereich — Besucher dürfen dort rein, aber nicht ins Büro. Dein Webserver (den jeder besuchen kann) steht im Empfangsbereich. Wenn jemand den Empfang übernimmt, hat er noch keinen Zugang zum Büro.

Ausführliche Erklärung

Die DMZ (benannt nach der militärischen Pufferzone) enthält Server die aus dem Internet erreichbar sein müssen (Webserver, Mail-Server, DNS, VPN-Konzentratoren), aber vom internen Netzwerk getrennt sind. Implementierung: Dual-Firewall-DMZ (zwei Firewalls, höhere Sicherheit) oder Single-Firewall-DMZ mit verschiedenen Zonen. Prinzip: Wenn ein DMZ-Server kompromittiert wird, kann der Angreifer nicht direkt auf das interne Netzwerk zugreifen — er steht in der Pufferzone.

>Wie funktioniert das?

1

Äußere Firewall: Kontrolliert Traffic zwischen Internet und DMZ

2

DMZ enthält: Web-, Mail-, DNS- und VPN-Server die öffentliche Dienste anbieten

3

Innere Firewall: Kontrolliert strikt Traffic von DMZ zum internen Netz

4

Interne Systeme können nur über definierte Ports mit DMZ-Servern kommunizieren

5

Kompromittierung eines DMZ-Servers ist isoliert — kein direkter Weg ins interne Netz.

?Häufig gestellte Fragen
Antwort

Jedes Unternehmen das öffentlich erreichbare Server betreibt (Webserver, Mail-Server, VPN) — die DMZ verhindert dass ein kompromittierter Public-Server direkten Zugang zum internen Netz gibt.

Antwort

Zwei separate Firewalls (idealerweise von verschiedenen Herstellern) schützen die DMZ — eine zwischen Internet und DMZ, eine zwischen DMZ und internem Netz. Kompromittierung einer Firewall reicht nicht für Zugang.

Antwort

Ein Bastion Host ist ein gehärteter Server in der DMZ der als einziger Zugang von außen zugänglich ist (z.B. SSH-Jumphost) — minimale Dienste, maximale Härtung, intensive Logging.

Antwort

In der Cloud gibt es kein physisches Netzwerk — DMZ-Konzepte werden durch Security Groups, VPC-Peering, Application Gateways und Zero-Trust-Zugangskontrolle umgesetzt.

Antwort

Minimales OS (nur benötigte Dienste), regelmäßige Patches, WAF vor Webservern, IDS/IPS für Anomalieerkennung, restriktive Outbound-Regeln (DMZ darf nicht frei ins Internet kommunizieren) und intensive Logging.

Quick Facts
KategorieNetzwerk
AbkürzungDMZ
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC