Demilitarisierte Zone (DMZ): Beispiele & Architektur

Ein Netzwerk in einer demilitarisierten Zone (DMZ) ist ein Teilnetzwerk, das die öffentlich zugänglichen Dienste einer Organisation enthält. Es dient als Zugangspunkt zu einem nicht vertrauenswürdigen Netzwerk, häufig dem Internet.

DMZs werden in verschiedenen Umgebungen eingesetzt, von Heimroutern bis hin zu Unternehmensnetzwerken, um öffentlich zugängliche Dienste zu isolieren und interne Systeme zu schützen. DMZs (demilitarisierte Zonen) hosten öffentlich zugängliche Dienste und isolieren diese gleichzeitig vom internen LAN einer Organisation. ¹ Organisationen kombinieren DMZ-Perimeter mit Zero-Trust- Mikrosegmentierung und strengen Zugriffskontrollen. ²

Erkunden Sie Beispiele aus der Praxis für DMZ-Systeme und verschiedene DMZ-Architekturen (einfache vs. duale Firewall) :

Warum ist die DMZ für die Netzwerksicherheit wichtig?

DMZs fügen eine zusätzliche Ebene der Netzwerksegmentierung hinzu, um interne private Netzwerke zu schützen. Sie schaffen eine Pufferzone zwischen dem öffentlichen Internet und den privaten Netzwerken einer Organisation.

Diese Subnetze beschränken den externen Zugriff auf interne Server und Ressourcen und erschweren es Angreifern somit, in das interne Netzwerk einzudringen.

In typischen Konfigurationen (siehe Abbildung oben) befindet sich das DMZ-Subnetz zwischen zwei Firewalls oder auf einem dedizierten Segment einer einzelnen Firewall mit mehreren Schnittstellen. Dadurch wird Folgendes sichergestellt:

• Unbefugter Zugriff auf das interne Netzwerk wird blockiert, selbst wenn ein in der DMZ gehosteter Dienst kompromittiert wird.
• Der gesamte eingehende Datenverkehr aus dem Internet wird zunächst gefiltert und geprüft, bevor er die DMZ-Server erreicht.
• Der interne Netzwerkverkehr zur und von der DMZ wird streng kontrolliert und überwacht.

Beispiele für die DMZ

DMZ-Beispiel 1: DMZ-Implementierung mit einer Firewall

Wie in Abbildung 1 dargestellt, befindet sich das DMZ-Netzwerk weder innerhalb noch außerhalb der Firewall. Es ist sowohl über interne als auch externe Netzwerke zugänglich.

Einer der Hauptvorteile dieses Netzwerkdiagramms ist die Isolation. Wird beispielsweise der E-Mail-Server gehackt, kann der Angreifer nicht auf das interne Netzwerk zugreifen. In diesem Szenario kann der Angreifer auf verschiedene Server in der DMZ zugreifen, da diese sich im selben physischen Netzwerk befinden.

Abbildung 1. Einfaches DMZ-Diagramm

Quelle: International Journal of Wireless and Microwave Technologies ³

In dieser Konfiguration erzwingt die DMZ die folgenden Zugriffskontrollen:

• Externes Netzwerk: Das externe Netzwerk kann keine Verbindungen zum internen Netzwerk herstellen, jedoch kann das externe Netzwerk Verbindungen zur DMZ aufbauen.
• Internes Netzwerk: Das interne Netzwerk kann Verbindungen zu externen Netzwerken herstellen, aber das Netzwerk kann keine Verbindungen zum internen Netzwerk herstellen.

DMZ-Beispiel 2: Eine DMZ, die mit einem Drittanbietergerät verbunden ist

Ein weiterer typischer Ansatz für die DMZ ist die Verbindung zu einem Drittanbietergerät, beispielsweise einem Lieferanten. Abbildung 2 zeigt ein Netzwerk, in dem ein Lieferant über eine T1-Leitung mit einem Router in der DMZ verbunden ist.

Dieses DMZ-Beispiel kann verwendet werden, wenn Unternehmen ihre Systeme an einen externen Anbieter auslagern. Durch diese Konfiguration wird ein direkter Zugriff auf den Server des Anbieters ermöglicht.

Abbildung 2. DMZ-Verbindung zu einem Anbieter

Quelle: O'Reilly Media ⁴

DMZ-Beispiel 3: Mehrere DMZs, die mit einem Drittanbietergerät verbunden sind

Für Organisationen mit komplexen Netzwerken reicht eine einzelne DMZ mitunter nicht aus. Abbildung 3 zeigt ein Netzwerk mit mehreren DMZs. Das Design kombiniert die beiden ersten Beispiele: Das Internet befindet sich außerhalb, die Benutzer innerhalb des Netzwerks.

Abbildung 3. Mehrere DMZs

Quelle: O'Reilly Media ⁵

• DMZ-1 ist ein Zugangspunkt zu einem Anbieter.
• In der DMZ-2 befinden sich die Internetserver.

Die Sicherheitsanforderungen entsprechen denen des vorherigen Beispiels (Beispiel 2), jedoch ist eine zusätzliche Überlegung erforderlich: ob DMZ-1 Verbindungen zu DMZ-2 initiieren darf und umgekehrt.

Die Auswertung dieses bidirektionalen Zugriffs trägt zur Durchsetzung detaillierter Sicherheitskontrollen in komplexen Netzwerkumgebungen bei.

DMZ-Architekturen

Eine DMZ lässt sich auf verschiedene Weise konfigurieren, von einer einzelnen Firewall bis hin zu zwei oder mehreren Firewalls. Die meisten aktuellen DMZ-Architekturen umfassen zwei Firewalls, die sich zur Unterstützung komplexer Netzwerke skalieren lassen.

1. Einzelne Firewall

Für den Aufbau einer Netzwerkarchitektur, die eine DMZ umfasst, wird eine einzelne Firewall mit mindestens drei Netzwerkschnittstellen benötigt.

Abbildung 4. Illustration einer einzelnen Firewall-Architektur

Quelle: SAP ⁶

Warum eine einzelne Firewall verwenden? Eine einzelne Firewall vereinfacht die Netzwerkarchitektur, indem sie Datenverkehrskontrolle, Richtliniendurchsetzung und Protokollierung auf einem einzigen Gerät vereint. Dies reduziert den Verwaltungsaufwand und senkt sowohl Investitions- als auch Betriebskosten. Sie eignet sich besonders für kleinere Umgebungen, in denen keine mehrschichtigen Perimeterverteidigungen erforderlich sind.

2. Duale Firewall

Diese Implementierung erstellt eine DMZ mithilfe zweier Firewalls.

Abbildung 5. Illustration einer Dual-Firewall-Architektur

Quelle: SAP ⁷

Warum zwei Firewalls einsetzen? Zwei Firewalls bieten ein sichereres System. In manchen Unternehmen werden die beiden Firewalls von unterschiedlichen Anbietern bereitgestellt. Gelingt es einem externen Angriff, die erste Firewall zu durchbrechen, kann es länger dauern, die zweite Firewall zu überwinden, wenn diese von einem anderen Hersteller stammt. Dadurch sinkt die Wahrscheinlichkeit, dass auch sie denselben Sicherheitslücken zum Opfer fällt.

Mit den jüngsten Hardware-Releases wurden neue Optionen für den Einsatz von DMZ-Firewalls eingeführt, darunter die WatchGuard Firebox M695 (veröffentlicht im Dezember 2025), die mit einem Core i7-14701E Prozessor ausgestattet ist und einen sehr hohen Durchsatz (45 Gbit/s Rohdaten) für große Umgebungen bietet. ⁸

Für den Einsatz in kleinen und mittleren Unternehmen bietet die WatchGuard Firebox T185 (veröffentlicht im Januar 2026) Multi-Gigabit-Leistung mit einem Firewall-Rohdurchsatz von ca. 5,7 Gbit/s und Sicherheitsfunktionen der Enterprise-Klasse für Zweigstellennetzwerke. ⁹

Vorteile der entmilitarisierten Zone (DMZ)

Der Hauptnutzen einer DMZ liegt in ihrer Fähigkeit, öffentlichen Internetnutzern Zugang zu bestimmten externen Diensten zu ermöglichen und gleichzeitig als Schutzbarriere für das interne Netzwerk der Organisation zu dienen.

Diese zusätzliche Sicherheitsebene bietet mehrere wichtige Sicherheitsvorteile:

1. Bietet Zugriffskontrollen

Eine DMZ (Defensive Management Zone) steuert den Zugriff auf Dienste, die über das Internet erreichbar sind, sich aber nicht innerhalb des Firmennetzwerks befinden. Sie fügt außerdem eine weitere Ebene der Netzwerksegmentierung hinzu und erhöht somit die Anzahl der Hürden, die ein Benutzer überwinden muss, um Zugang zum privaten Firmennetzwerk zu erhalten.

2. Netzwerkaufklärung verhindern

Eine DMZ schränkt die Möglichkeiten eines Angreifers ein, potenzielle Ziele im Netzwerk zu ermitteln. Selbst wenn ein Rechner in der DMZ gehackt wird, schützt die interne Firewall das private Netzwerk, indem sie es von der DMZ isoliert. Diese Konfiguration erschwert Angriffe von außen.

3. Beschränkt das Spoofing des Internetprotokolls (IP).

Beim IP-Spoofing wird die Quell-IP-Adresse von Datenpaketen gefälscht, um unbefugten Zugriff zu erlangen. Eine DMZ (Demilitarisierte Zone) hilft, gefälschten Datenverkehr zu erkennen und zu blockieren, insbesondere in Kombination mit zusätzlichen Sicherheitsmaßnahmen zur Überprüfung der IP-Authentizität. Dadurch wird das interne Netzwerk noch besser vor Identitätsdiebstahl geschützt.

Die 5 größten Schwachstellen von DMZs in der Netzwerksicherheit

Eine DMZ ist zwar nützlich, hat aber auch Schwächen. Diese Schwächen können es Angreifern erleichtern, Sicherheitslücken zu finden.

1. Öffentliche Bereiche sind vom Internet aus leicht einsehbar.

Server in einer DMZ müssen öffentlich zugänglich sein, damit sie genutzt werden können. Hacker können diese öffentlich zugänglichen Systeme finden und scannen, um Schwachstellen aufzudecken.

2. Fehlkonfigurationen bergen Risiken

Die Konfiguration und Verwaltung einer DMZ kann komplex sein. Sind Firewall-Regeln oder Zugriffskontrollen fehlerhaft, können Angreifer eindringen.

3. Komplexität erhöht die Fehlerquote.

Eine DMZ bringt mehr Geräte, Regeln und Einstellungen mit sich, die verwaltet werden müssen. Mehr Komplexität bedeutet auch mehr Möglichkeiten für menschliche Fehler.

4. Ein falsches Sicherheitsgefühl

Manche glauben, eine DMZ mache ein Netzwerk absolut sicher. Das stimmt nicht. Eine DMZ senkt zwar das Risiko, kann aber nicht alle Angriffe allein verhindern.

5. DMZs könnten mit neueren Technologien Schwierigkeiten haben.

Traditionelle DMZ-Designs sind möglicherweise nicht mit Cloud-Diensten oder modernen Netzwerkmodellen kompatibel, was ihre Nützlichkeit einschränkt.

Im Februar 2026 veröffentlichte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) nach einem Cyberangriff auf das polnische Stromnetz neue Richtlinien für Betreiber kritischer Infrastrukturen. ¹⁰ Die Empfehlung betont die Notwendigkeit einer strikten Netzwerksegmentierung und anderer Kontrollmaßnahmen, um Bedrohungen in OT-Netzwerken (Operational Technology) einzudämmen. ¹¹

Anwendungen von DMZs

1. Cloud-Dienste

Einige Cloud-Dienste nutzen eine hybride Sicherheitsstrategie, bei der eine DMZ zwischen dem lokalen Unternehmensnetzwerk und dem logischen Netzwerk eingerichtet wird. Diese Strategie kommt häufig zum Einsatz, wenn die Dienste des Unternehmens teilweise lokal und teilweise über ein logisches Netzwerk betrieben werden.

AWS und die Cloud beinhalten integrierte Firewall-as-a-Service-Lösungen. AWS bietet beispielsweise die AWS Network Firewall an (einen verwalteten, zustandsbehafteten Firewall-Dienst für VPCs). ¹² Google Die Cloud Next-Generation Firewall von Cloud umfasst einen URL-Filterdienst zur domänenbasierten Datenverkehrssteuerung und unterstützt hierarchische Firewall-Richtlinien für eine granulare Netzwerksegmentierung ¹³ . ¹⁴

2. Heimnetzwerke

Eine DMZ kann auch für Heimnetzwerke mit LAN-Einstellungen und Breitbandroutern nützlich sein. Viele Router für den Heimgebrauch bieten DMZ-Optionen oder DMZ-Host-Einstellungen. Diese Optionen ermöglichen es Benutzern, jeweils nur ein Gerät mit dem Internet zu verbinden.

3. Industrielle Steuerungssysteme (ICS)

DMZs könnten eine Lösung für die mit ICS verbundenen Sicherheitsprobleme bieten.

Die meisten mit dem Internet verbundenen OT-Geräte (Operational Technology) sind im Vergleich zu IT-Geräten nicht so gut gegen Angriffe geschützt. Eine DMZ (Demilitarisierte Zone) kann die Segmentierung von OT-Netzwerken verbessern und so das Eindringen von Malware, Viren oder anderen Netzwerkbedrohungen erschweren.

Unternehmen ersetzen flache Netzwerkperimeter durch Zero-Trust-Modelle , die Mikrosegmentierung und granulare Zugriffskontrollen nutzen. ¹⁵ Jüngste globale Leitlinien für OT-Netzwerke (unter der Leitung des britischen NCSC in Zusammenarbeit mit CISA) betonen die Reduzierung exponierter Verbindungen und die Durchsetzung einer strikten Netzwerksegmentierung an den Betriebsgrenzen. ¹⁶ . ¹⁷

4. Web- und E-Mail-Hosting

Öffentlich zugängliche Dienste wie Webserver werden typischerweise in einer DMZ eingesetzt, um externen Benutzern Zugriff auf wichtige Ressourcen zu ermöglichen und gleichzeitig die Sicherheit des internen Netzwerks zu gewährleisten.

5. Systeme zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS)

Bei einigen Sicherheitsarchitekturen werden IDS/IPS- Sensoren in der DMZ platziert, um den ein- und ausgehenden Datenverkehr auf schädliches Verhalten zu überprüfen, bevor er das interne Netzwerk erreicht.

6. Zugang für Partner und Lieferanten

Organisationen, die Drittanbietern oder Partnern Netzwerkzugriff gewähren, nutzen häufig eine DMZ für gemeinsam genutzte Dienste (z. B. APIs, SFTP-Portale). Dadurch wird die Gefährdung des internen Netzwerks im Falle einer Kompromittierung des Zugriffs durch Dritte eingeschränkt.

7. Fernzugriffsgateways

VPN-Konzentratoren, Remote-Desktop-Gateways oder Virtual-Desktop-Infrastructure-Broker (VDI) werden häufig in einer DMZ eingesetzt, um einen sicheren Fernzugriff auf interne Systeme zu ermöglichen, ohne diese direkt dem Internet auszusetzen.

Referenzlinks

1.

https://www.techtarget.com/searchsecurity/definition/DMZ

2.

https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning

3.

ResearchGate - Temporarily Unavailable

4.

5.

6.

SAP Help Portal | SAP Online Help

7.

SAP Help Portal | SAP Online Help

8.

WatchGuard Firebox M695 review | IT Pro

IT Pro

9.

WatchGuard Firebox T185 review | IT Pro

IT Pro

10.

https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again

11.

https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again

12.

https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html

13.

https://docs.cloud.google.com/firewall/docs/about-url-filtering

14.

Cloud NGFW overview  |  Cloud Next Generation Firewall  |  Google Cloud Documentation

15.

https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning

16.

NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber

Industrial Cyber

17.

NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber

Industrial Cyber

Cem Dilmegani

Leitender Analyst

Folgen auf

Cem ist seit 2017 leitender Analyst bei AIMultiple. AIMultiple informiert monatlich Hunderttausende von Unternehmen (laut similarWeb), darunter 55 % der Fortune 500. Cems Arbeit wurde von führenden globalen Publikationen wie Business Insider, Forbes und der Washington Post, von globalen Unternehmen wie Deloitte und HPE sowie von NGOs wie dem Weltwirtschaftsforum und supranationalen Organisationen wie der Europäischen Kommission zitiert. Weitere namhafte Unternehmen und Ressourcen, die AIMultiple referenziert haben, finden Sie hier. Im Laufe seiner Karriere war Cem als Technologieberater, Technologieeinkäufer und Technologieunternehmer tätig. Über ein Jahrzehnt lang beriet er Unternehmen bei McKinsey & Company und Altman Solon in ihren Technologieentscheidungen. Er veröffentlichte außerdem einen McKinsey-Bericht zur Digitalisierung. Bei einem Telekommunikationsunternehmen leitete er die Technologiestrategie und -beschaffung und berichtete direkt an den CEO. Darüber hinaus verantwortete er das kommerzielle Wachstum des Deep-Tech-Unternehmens Hypatos, das innerhalb von zwei Jahren von null auf einen siebenstelligen jährlichen wiederkehrenden Umsatz und eine neunstellige Unternehmensbewertung kam. Cems Arbeit bei Hypatos wurde von führenden Technologiepublikationen wie TechCrunch und Business Insider gewürdigt. Er ist ein gefragter Redner auf internationalen Technologiekonferenzen. Cem absolvierte sein Studium der Informatik an der Bogazici-Universität und besitzt einen MBA der Columbia Business School.

Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich.

Name

E-Mail-Adresse

Kommentar

0/450

Kommentar posten