Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
DMZ: Demilitarisierte Zone

DMZ: Demilitarisierte Zone

28.01.2026

In der IT-Sicherheit bezeichnet eine demilitarisierte Zone (DMZ) ein peripheres lokales Netzwerk, das zwischen dem internen Netzwerk einer Organisation und einem externen Netzwerk, in der Regel dem Internet, positioniert ist.

Ziel einer DMZ ist es, Verbindungen vom internen Netzwerk zur DMZ sowie vom externen Netzwerk zur DMZ zu erlauben, während Verbindungen von der DMZ in der Regel nur zum externen Netzwerk gestattet sind. Dadurch wird verhindert, dass Systeme in der DMZ direkt mit dem internen Netzwerk kommunizieren.

Dies ermöglicht es Systemen in der DMZ, Dienste für externe Netzwerke bereitzustellen und gleichzeitig das interne Netzwerk zu schützen, falls Geräte in der DMZ kompromittiert werden. Für externe Angreifer wird die DMZ zu einer Sackgasse.

Die DMZ fungiert als Filter zwischen Internetverbindung und internem Netzwerk und stellt sicher, dass nur autorisierte Verbindungen zugelassen werden.

Server wie E-Mail- oder Webserver, die von außen erreichbar sein müssen, werden üblicherweise in der DMZ platziert. Nur diese Dienste dürfen Datenverkehr zwischen DMZ und internem Netzwerk aufbauen, beispielsweise zwischen einem Webserver und einer geschützten Datenbank im internen Netzwerk.

Eine DMZ wird häufig über Firewall-Konfigurationen eingerichtet, wobei jede Netzwerkzone mit einer eigenen Schnittstelle verbunden ist.

DMZ-Konfigurationen

Eine DMZ ist ein Netzwerk mit privaten IP-Adressbereichen, das als Sicherheitszone zwischen zwei Netzwerken dient und diese durch strenge Zugriffsregeln trennt.

Obwohl sich die Server physisch in derselben Organisation befinden, sind sie nicht direkt mit dem internen LAN verbunden.

Das höchste Schutzniveau besteht aus Firewalls, die sowohl die DMZ vom Internet als auch vom internen Netzwerk trennen. Kostengünstigere Architekturen verwenden eine einzelne Firewall mit drei separaten Schnittstellen.

DMZ mit zwei Firewalls (Dual Firewall)

Diese Architektur besteht aus:

  • Einer externen Firewall zum Schutz der DMZ vor dem öffentlichen Netzwerk
  • Einer internen Firewall zwischen DMZ und Unternehmensnetz

Diese zweistufige Sicherheitsarchitektur ermöglicht folgende Verkehrsregeln:

  • Externe Benutzer (Internet) haben Zugriff auf die DMZ, jedoch nicht auf das interne LAN.
  • Interne Benutzer (LAN) haben Zugriff auf DMZ und Internet.
  • Benutzer in der DMZ haben keinen Zugriff auf LAN oder Internet.

Es wird empfohlen, Firewalls unterschiedlicher Hersteller zu verwenden, um das Risiko gemeinsamer Schwachstellen zu minimieren.

DMZ mit einer Firewall

Eine kostengünstigere Lösung nutzt eine einzelne leistungsstarke Firewall mit drei separaten Netzwerkschnittstellen (Intranet, Internet, DMZ).

Diese Konfiguration stellt jedoch einen Single Point of Failure (SPOF) dar.

Exposed Host

Viele Router von Internetanbietern bieten eine „DMZ“-Option, bei der ein Gerät als „exposed host“ direkt aus dem Internet erreichbar ist.

Dies bietet jedoch nicht das gleiche Sicherheitsniveau wie eine echte DMZ, da keine echte Netzwerktrennung besteht.

Vorteile und Nachteile

Single Firewall mit DMZ

Vorteile:

  • Einfache Verwaltung
  • Geringere Kosten
  • Sichere Dienstveröffentlichung

Nachteile:

  • Single Point of Failure
  • Kompromittierung wirkt sich auf das gesamte Netzwerk aus

Dual Firewall mit DMZ

Vorteile:

  • Höheres Sicherheitsniveau
  • Bessere Zugriffskontrolle
  • Netzwerktrennung

Nachteile:

  • Höhere Kosten

Sicherheit in der DMZ

Best Practices:

  • Strikte Netzwerktrennung beibehalten
  • Schwachstellenmanagement konsequent durchführen
  • Application-Layer-Firewalls einsetzen
  • IDS, SIEM und Monitoring-Lösungen implementieren

Systeme in der DMZ stehen ständig unter externen Angriffen und müssen besonders geschützt werden.

Protelion hat zusätzlich zur Point-to-Point-VPN-Technologie die Lösung Protelion Threat Detection & Response entwickelt, um Zero-Day-Angriffe zu erkennen, Netzwerkbedrohungen zu kontrollieren und sofortige Gegenmaßnahmen einzuleiten.

Zurück zur Liste

Bloggen

Bloggen
FIM: Datei-Integritätsüberwachung
18.02.2026
Die Datei-Integritätsüberwachung (FIM: File Integrity Monitoring) bezeichnet Prozesse und Implementierungen, die darauf abzielen, Daten vor unbefugten Veränderungen – wie beispielsweise Cyberangriffen – zu schützen.
Mehr lesen
Bloggen
Schutz personenbezogener Daten (Teil 2)
16.12.2025
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) in Europa werden von Unternehmen zahlreiche Techniken eingesetzt, um die Verarbeitung und den Schutz personenbezogener
Mehr lesen
Bloggen
Schutz personenbezogener Daten: Verschlüsselung
02.12.2025
In der heutigen, zunehmend digitalisierten und vernetzten Welt ist der Wert von Daten für eine Organisation – und für die Eigentümer dieser Daten – hoch geschätzt und unbestritten
Mehr lesen