Dienstleistungen
Kontaktieren

Demilitarisierte Zone (DMZ): Beispiele & Architektur

Cem Dilmegani
Cem Dilmegani
aktualisiert am 6. März 2026

Ein Demilitarisierte-Zone-Netzwerk (DMZ) ist ein Subnetz, das öffentlich zugängliche Dienste eines Unternehmens enthält. Es dient als exponierter Punkt zu einem nicht vertrauenswürdigen Netzwerk, oft dem Internet.

DMZs werden in verschiedenen Umgebungen eingesetzt, von Heimroutern bis hin zu Unternehmensnetzwerken, um öffentlich zugängliche Dienste zu isolieren und interne Systeme zu schützen. DMZs (Demilitarisierte Zonen) hosten öffentlich zugängliche Dienste und isolieren sie gleichzeitig vom internen LAN eines Unternehmens.1 Unternehmen kombinieren DMZ-Umgebungen mit Zero Trust Mikrosegmentierung und strengen Zugriffskontrollen.2

Entdecken Sie reale DMZ-Beispiele und verschiedene DMZ-Architekturen (Single- vs. Dual-Firewall):

Warum ist eine DMZ in der Netzwerksicherheit wichtig?

DMZs fügen eine Ebene der Netzwerksegmentierung hinzu, um das interne private Netzwerk zu verteidigen. Es schafft eine Pufferzone zwischen dem öffentlichen Internet und den privaten Netzwerken eines Unternehmens.

Diese Subnetze schränken den externen Zugriff auf interne Server und Assets ein und machen es Angreifern schwieriger, in das interne Netzwerk einzudringen.

In typischen Konfigurationen (siehe Abbildung oben) befindet sich das DMZ-Subnetz zwischen zwei Firewalls oder auf einem dedizierten Segment einer einzelnen Firewall mit mehreren Schnittstellen. Dies stellt sicher, dass:

  • Nicht autorisierter Zugriff auf das interne Netzwerk blockiert wird, selbst wenn ein in der DMZ gehosteter Dienst kompromittiert wird.
  • Alle eingehenden Datenverkehr vom Internet zuerst gefiltert und inspiziert wird, bevor er die DMZ-Server erreicht.
  • Verkehr im internen Netzwerk zu und von der DMZ streng kontrolliert und überwacht wird.

DMZ-Beispiele

DMZ-Beispiel 1: DMZ-Implementierung mit einer Firewall

Wie in Abbildung 1 zu sehen, befindet sich das DMZ-Netzwerk weder innerhalb noch außerhalb der Firewall. Es ist sowohl über interne als auch externe Netzwerke zugänglich.

Einer der Hauptvorteile dieses Netzwerkdigramms ist die Isolation. Wenn beispielsweise der E-Mail-Server gehackt wird, kann der Angreifer nicht auf das interne Netzwerk zugreifen. In diesem Szenario kann der Angreifer auf verschiedene Server in der DMZ zugreifen, da sie dasselbe physische Netzwerk teilen. 

Abbildung 1. Einfaches DMZ-Diagramm

Quelle: International Journal of Wireless and Microwave Technologies3

In dieser Konfiguration erzwingt die DMZ folgende Zugriffskontrollen:

  • Externes Netzwerk: Das externe Netzwerk kann keine Verbindungen zum inneren Netzwerk herstellen, jedoch kann das externe Netzwerk Verbindungen zur DMZ initiieren.
  • Internes Netzwerk: Das interne Netzwerk kann Verbindungen zu externen Netzwerken starten, aber das Netzwerk kann keine Verbindungen zum internen Netzwerk starten.

DMZ-Beispiel 2: Eine DMZ, die mit einem Gerät eines Drittanbieters verbunden ist 

Ein weiterer typischer DMZ-Ansatz ist die Verbindung mit einem Gerät eines Drittanbieters, z. B. einem Anbieter. Abbildung 2 zeigt ein Netzwerk mit einem Anbieter, der über eine T1-Leitung mit einem Router in der DMZ verbunden ist. 

Dieses DMZ-Beispiel kann verwendet werden, wenn Unternehmen ihre Systeme an einen externen Partner auslagern, wodurch ein direkter Zugriff auf den Server des Anbieters über diese Einrichtung ermöglicht wird.

Abbildung 2. DMZ-Verbindung zu einem Anbieter 

Quelle: O’Reilly Media4

DMZ-Beispiel 3: Mehrere DMZs, die mit einem Gerät eines Drittanbieters verbunden sind

Manchmal reicht eine einzelne DMZ für Unternehmen, die komplexe Netzwerke betreiben, nicht aus. Abbildung 3 zeigt ein Netzwerk mit mehreren DMZs. Das Design kombiniert die ersten beiden Beispiele: Das Internet ist außen, und die Benutzer befinden sich innerhalb des Netzwerks. 

Abbildung 3.  Mehrere DMZs

Quelle: O’Reilly Media5

  • DMZ-1 ist ein Zugangspunkt zu einem Anbieter.
  • DMZ-2 ist der Ort, an dem sich die Internetserver befinden.

Die Sicherheitsanforderungen sind konsistent mit dem vorherigen Beispiel (Beispiel 2), aber eine zusätzliche Überlegung ist erforderlich: Ob DMZ-1 berechtigt ist, Verbindungen zu DMZ-2 zu initiieren, und umgekehrt.

Die Bewertung dieses bidirektionalen Zugriffs hilft dabei, granulare Sicherheitskontrollen innerhalb komplexer Netzwerkumgebungen durchzusetzen.

DMZ-Architekturen

Eine DMZ kann auf verschiedene Arten konfiguriert werden, von einer einzelnen Firewall bis hin zu dualen oder mehreren Firewalls. Die meisten aktuellen DMZ-Architekturen umfassen zwei Firewalls, die skaliert werden können, um komplexe Netzwerke zu unterstützen.

1. Single-Firewall

Eine einzelne Firewall mit mindestens drei Netzwerkschnittstellen ist erforderlich, um eine Netzwerkarchitektur zu erstellen, die eine DMZ enthält. 

Abbildung 4. Darstellung einer Single-Firewall-Architektur

Quelle: SAP6

Warum eine Single-Firewall verwenden: Eine einzelne Firewall vereinfacht die Netzwerkarchitektur, indem sie Verkehrssteuerung, Richtlinien durchsetzung und Protokollierung in einem Gerät konsolidiert. Dies reduziert die administrative Komplexität und senkt sowohl die Kapital- als auch die Betriebskosten. Sie ist am besten für kleinere Umgebungen geeignet, in denen keine mehrschichtigen Perimeter-Verteidigungen erforderlich sind.

2. Dual-Firewall

Diese Implementierung erstellt eine DMZ mit zwei Firewalls. 

Abbildung 5. Darstellung einer Dual-Firewall-Architektur

Quelle: SAP7

Warum Dual-Firewalls verwenden: Dual-Firewalls bieten ein sichereres System. In einigen Unternehmen werden die beiden Firewalls von verschiedenen Anbietern angeboten. Wenn ein externer Angriff die erste Firewall durchbrechen kann, kann es länger dauern, die zweite Firewall zu durchbrechen, wenn sie von einem anderen Hersteller gebaut wurde, was es weniger wahrscheinlich macht, dass sie denselben Sicherheitsanfälligkeiten zum Opfer fällt.

Neue Hardware-Veröffentlichungen haben neue Optionen für DMZ-Firewall-Bereitstellungen eingeführt, einschließlich WatchGuard’s Firebox M695 (veröffentlicht im Dezember 2025), das einen Intel Core i7-14701E-Prozessor besitzt und einen sehr hohen Durchsatz (45 Gbps roh) für große Umgebungen liefert.8

Für kleine und mittlere Unternehmensbereitstellungen bietet die WatchGuard Firebox T185 (veröffentlicht im Januar 2026) Multi-Gigabit-Leistung mit einem Firewall-Durchsatz von etwa 5,7 Gbps roh und Sicherheitsfunktionen auf Unternehmensebene für Filialnetzwerke.9

Vorteile der Demilitarisierten Zone (DMZ)

Der primäre Wert einer DMZ liegt in ihrer Fähigkeit, Benutzern des öffentlichen Internets Zugriff auf bestimmte nach außen gerichtete Dienste zu gewähren und gleichzeitig als schützende Barriere zu dienen, die das interne Netzwerk des Unternehmens abschirmt.

Diese zusätzliche Sicherheitsebene bietet mehrere wichtige Sicherheitsvorteile:

1. Bietet Zugriffskontrollen

Eine DMZ-Netzwerk steuert den Zugriff auf Dienste, die über das Internet zugänglich sind und sich nicht im Perimeter-Netzwerk eines Unternehmens befinden. Es fügt auch eine Ebene der Netzwerksegmentierung hinzu und erhöht die Anzahl der Barrieren, die ein Benutzer überwinden muss, bevor er Zugang zum privaten Netzwerk eines Unternehmens erhält.

2. Verhindert Netzwerkaufklärung

Eine DMZ schränkt die Fähigkeit eines Angreifers ein, potenzielle Ziele im Netzwerk zu bewerten. Selbst wenn eine Maschine in der DMZ gehackt wird, verteidigt die interne Firewall das private Netzwerk, indem sie es von der DMZ isoliert. Diese Konfiguration macht externe Netzwerkausnutzungen schwieriger. 

3. Begrenzt IP-Spoofing (Internet Protocol)

IP-Spoofing beinhaltet das Fälschen der Quell-IP-Adresse von Paketen, um unbefugten Zugriff zu erlangen. Eine DMZ hilft, gefälschten Datenverkehr zu erkennen und zu blockieren, insbesondere wenn sie mit zusätzlichen Sicherheitsmaßnahmen kombiniert wird, die die IP-Authentizität validieren, was das interne Netzwerk weiter vor Identitätsangriffen schützt.

Verpassen Sie nicht unsere Benchmarks und datengestützten Erkenntnisse. Die Schaltfläche öffnet Google; die Auswahl von AIMultiple bestätigt, dass Sie AIMultiple häufiger in den Google-Suchergebnissen sehen möchten.
GoogleAls bevorzugte Quelle hinzufügen

Top 5 Schwachstellen von DMZs in der Netzwerksicherheit

Eine DMZ ist nützlich, hat aber Schwächen. Diese Schwächen können es Angreifern erleichtern, Probleme zu finden.

1. Öffentliche Teile sind vom Internet aus leicht zu sehen

Server in einer DMZ müssen offen sein, damit Menschen sie nutzen können. Hacker können diese öffentlich zugänglichen Systeme finden und scannen, um nach Schwachstellen zu suchen.

2. Fehlkonfiguration schafft Risiken

Die Konfiguration und Verwaltung von DMZs kann komplex sein. Wenn Firewall-Regeln oder Zugriffskontrollen falsch sind, könnten Angreifer eindringen.

3. Komplexität erhöht Fehler

Eine DMZ fügt mehr Geräte, Regeln und Einstellungen hinzu, die verwaltet werden müssen. Mehr Komplexität bedeutet mehr Chancen für menschliche Fehler.

4. Ein falsches Sicherheitsgefühl

Einige Leute denken, eine DMZ mache ein Netzwerk völlig sicher. Das tut sie nicht. Eine DMZ senkt das Risiko, kann aber nicht alle Angriffe allein stoppen.

5. DMZs können mit neueren Technologien Schwierigkeiten haben

Traditionelle DMZ-Designs passen möglicherweise nicht gut zu Cloud-Diensten oder modernen Netzwerkmodellen, was ihre Nützlichkeit einschränkt.

Im Februar 2026 gab die US-Cybersecurity and Infrastructure Security Agency (CISA) neue Leitlinien für Betreiber kritischer Infrastrukturen heraus, nachdem ein Cyberangriff auf das polnische Stromnetz erfolgt war.10 Der Rat betont strenge Netzwerksegmentierung und andere Kontrollen, um Bedrohungen in operativen Technologien (OT)-Netzwerken einzudämmen.11

Anwendungen von DMZs

1. Cloud-Dienste

Einige Cloud-Dienste verwenden eine hybride Sicherheitsstrategie, bei der eine DMZ zwischen dem On-Premises-Netzwerk des Unternehmens und seinem logischen Netzwerk eingerichtet wird. Diese Strategie wird häufig eingesetzt, wenn die Dienste des Unternehmens teilweise on-premises und teilweise über ein logisches Netzwerk laufen.

AWS und Google Cloud enthalten integrierte Firewall-as-a-Service-Lösungen. Beispielsweise bietet AWS die AWS Network Firewall (ein verwalteter, zustandsbehafteter Firewall-Dienst für VPCs).12 Google Cloud’s Cloud Next-Generation Firewall enthält einen URL-Filterdienst für domänenbasierte Verkehrssteuerung und unterstützt hierarchische Firewall-Richtlinien für granulare Netzwerksegmentierung 13 .14

2. Heimnetzwerke

Eine DMZ kann auch für Heimnetzwerke nützlich sein, die LAN-Einstellungen und Breitbandrouter verwenden. Mehrere Haushaltsrouter enthalten DMZ-Optionen oder DMZ-Host-Einstellungen. Diese Optionen ermöglichen es Benutzern, nur ein Gerät mit dem Internet zu verbinden.

3. Industrielle Steuerungssysteme (ICS)

DMZs können eine Lösung für die Sicherheitsprobleme bieten, die mit ICS verbunden sind. 

Die meisten operativen Technologien (OT), die mit dem Internet verbunden sind, sind nicht so gut für die Minderung von Angriffen ausgelegt wie IT-Geräte. Eine DMZ kann die OT-Netzwerksegmentierung verbessern und es für Malware, Viren oder andere Netzwerkbedrohungen schwieriger machen, einzudringen.

Unternehmen ersetzen flache Netzwerkperimeter durch Zero-Trust-Modelle, die Mikrosegmentierung und granulare Zugriffskontrollen verwenden.15 Jüngste globale Leitlinien für OT-Netzwerke (geführt vom NCSC des Vereinigten Königreichs in Zusammenarbeit mit der CISA) betonen die Reduzierung exponierter Verbindungen und die Durchsetzung strenger Netzwerksegmentierung an operativen Grenzen 16 .17

4. Web- und E-Mail-Hosting

Öffentlich zugängliche Dienste wie Webserver werden typischerweise innerhalb einer DMZ bereitgestellt, um externen Benutzern Zugriff auf wesentliche Ressourcen zu gewähren und gleichzeitig die Sicherheit des internen Netzwerks aufrechtzuerhalten.

5. Intrusion Detection and Prevention Systems (IDS/IPS)

Einige Sicherheitsarchitekturen platzieren IDS/IPS-Sensoren in der DMZ, um eingehenden und ausgehenden Datenverkehr auf bösartiges Verhalten zu überprüfen, bevor er das interne Netzwerk erreicht.

6. Partner- und Anbieterzugriff

Unternehmen, die Netzwerkzugriff für Drittanbieter-Partner oder -Anbieter bereitstellen, verwenden häufig eine DMZ, um gemeinsame Dienste zu hosten (z. B. APIs, SFTP-Portale). Dies begrenzt die Exposition des internen Netzwerks, falls der Zugriff der externen Partei kompromittiert wird.

7. Remote-Zugriffsgateways

VPN-Konzentratoren, Remote-Desktop-Gateways oder Virtual-Desktop-Infrastructure (VDI)-Broker werden häufig in einer DMZ bereitgestellt, um sicheren Remote-Zugriff auf interne Systeme zu ermöglichen, ohne sie direkt dem Internet auszusetzen.

Diese Forschung zitieren

Wählen Sie das Format, das zu Ihrem Veröffentlichungsort passt. Wenn Sie die Link-Version in Ihr CMS einfügen, bleibt der Backlink erhalten.

Cem Dilmegani (2026) - "Demilitarisierte Zone (DMZ): Beispiele & Architektur". Online veröffentlicht auf AIMultiple.com. Abgerufen am 6. März 2026, von: https://aimultiple.com/dmz [Online-Ressource]

Dilmegani, C. (2026, 6. März). Demilitarisierte Zone (DMZ): Beispiele & Architektur. AIMultiple. https://aimultiple.com/dmz

@misc{dilmegani2026,
  author = {Dilmegani, Cem},
  title  = {{Demilitarisierte Zone (DMZ): Beispiele & Architektur}},
  year   = {2026},
  month  = mar,
  howpublished    = {\url{https://aimultiple.com/dmz}},
  note   = {AIMultiple. Abgerufen am 6. März 2026}
}
Cem Dilmegani
Cem Dilmegani
Leitender Analyst
Cem ist seit 2017 leitender Analyst bei AIMultiple. AIMultiple informiert monatlich Hunderttausende von Unternehmen (laut similarWeb), darunter 55 % der Fortune 500. Cems Arbeit wurde von führenden globalen Publikationen wie Business Insider, Forbes und der Washington Post, von globalen Unternehmen wie Deloitte und HPE sowie von NGOs wie dem Weltwirtschaftsforum und supranationalen Organisationen wie der Europäischen Kommission zitiert. Weitere namhafte Unternehmen und Ressourcen, die AIMultiple referenziert haben, finden Sie hier. Im Laufe seiner Karriere war Cem als Technologieberater, Technologieeinkäufer und Technologieunternehmer tätig. Über ein Jahrzehnt lang beriet er Unternehmen bei McKinsey & Company und Altman Solon in ihren Technologieentscheidungen. Er veröffentlichte außerdem einen McKinsey-Bericht zur Digitalisierung. Bei einem Telekommunikationsunternehmen leitete er die Technologiestrategie und -beschaffung und berichtete direkt an den CEO. Darüber hinaus verantwortete er das kommerzielle Wachstum des Deep-Tech-Unternehmens Hypatos, das innerhalb von zwei Jahren von null auf einen siebenstelligen jährlichen wiederkehrenden Umsatz und eine neunstellige Unternehmensbewertung kam. Cems Arbeit bei Hypatos wurde von führenden Technologiepublikationen wie TechCrunch und Business Insider gewürdigt. Er ist ein gefragter Redner auf internationalen Technologiekonferenzen. Cem absolvierte sein Studium der Informatik an der Bogazici-Universität und besitzt einen MBA der Columbia Business School.
Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich. Kommentare werden in ihrer Originalsprache belassen.

0/450