3.2 Die 7 OSI-Schichten und typische Angriffe pro Schicht einfach erklärt

Die 7 OSI-Schichten gehören zu den wichtigsten Grundlagen in Netzwerken und in der Cybersecurity, weil sie helfen, technische Kommunikation strukturiert zu verstehen und Angriffe präzise einzuordnen. Viele Sicherheitsprobleme wirken auf den ersten Blick wie einzelne Vorfälle, betreffen in Wirklichkeit aber ganz unterschiedliche Ebenen der IT-Kommunikation. Eine manipulierte MAC-Adresse ist etwas anderes als ein Routingproblem, ein offener TCP-Port ist etwas anderes als ein Webangriff auf eine Anwendung. Genau deshalb ist das OSI-Modell so wertvoll. Es zerlegt Netzwerkkommunikation in sieben logisch getrennte Schichten und macht dadurch sichtbar, wo Protokolle arbeiten, wo Geräte eingreifen und wo typische Schwachstellen liegen. Für Einsteiger ist das Modell besonders hilfreich, weil es aus vielen Einzelbegriffen ein technisches Gesamtbild formt. Für CCNA, Netzwerkpraxis und IT-Sicherheit ist das Verständnis der 7 OSI-Schichten deshalb kein theoretischer Nebenaspekt, sondern ein zentrales Werkzeug für Analyse, Design, Schutz und Troubleshooting.

Warum das OSI-Modell für Cybersecurity so wichtig ist

Angriffe betreffen nicht immer dieselbe technische Ebene

In der IT-Sicherheit wird oft allgemein von Angriffen gesprochen, als würden sie alle auf die gleiche Weise funktionieren. In der Praxis ist das nicht so. Manche Angriffe zielen auf die physische Infrastruktur, andere auf lokale Ethernet-Kommunikation, wieder andere auf IP-Routing, offene Transportports oder direkt auf Anwendungen. Wer diese Unterschiede nicht sauber erkennt, wird Logs, Firewalls, Schutzmaßnahmen und Fehlerquellen nur schwer richtig einordnen können.

• Ein lokales Layer-2-Problem hat andere Auswirkungen als ein Webangriff.
• Ein Portscan unterscheidet sich grundlegend von einem ARP-bezogenen Angriff.
• Ein Angriff auf Benutzeranmeldungen ist nicht dasselbe wie eine Leitungsstörung.

Das OSI-Modell macht diese Unterschiede sichtbar und zwingt dazu, technische Probleme präzise zu denken.

Schichtdenken verbessert Analyse und Verteidigung

Wer das OSI-Modell versteht, kann Cybersecurity systematischer angehen. Statt nur auf Symptome zu reagieren, lässt sich gezielt fragen:

• Auf welcher Schicht liegt das Problem?
• Welche Protokolle sind betroffen?
• Welche Geräte oder Kontrollen greifen dort?
• Welche Logs oder Tools sind für diese Ebene am aussagekräftigsten?

Genau diese Denkweise ist in der Praxis besonders wertvoll, weil sie Fehlersuche und Incident Response deutlich strukturierter macht.

Überblick über die 7 OSI-Schichten

Die Reihenfolge der Schichten

Das OSI-Modell besteht aus sieben Schichten, die Kommunikationsfunktionen logisch voneinander trennen. Von unten nach oben sind das:

• Layer 1: Physical
• Layer 2: Data Link
• Layer 3: Network
• Layer 4: Transport
• Layer 5: Session
• Layer 6: Presentation
• Layer 7: Application

Für die Cybersecurity ist wichtig, dass Angriffe und Schutzmaßnahmen nicht auf allen Ebenen gleich aussehen. Manche sind eher netzwerknah, andere stärker dienst- oder anwendungsbezogen.

Von Bits bis zur Anwendung

Die unteren Schichten betreffen eher physische und netznahe Kommunikation, während die oberen Schichten stärker mit Sitzungen, Datenformaten und Anwendungen arbeiten. Dadurch lässt sich ein Sicherheitsproblem oft viel besser einordnen. Eine beschädigte Leitung betrifft nicht dieselbe Ebene wie eine manipulierte Webanfrage. Genau diese Trennung ist der große Wert des OSI-Modells.

Layer 1 – Physical

Was auf der Physical-Schicht passiert

Layer 1 beschreibt die physische Übertragung von Signalen. Hier geht es um Kabel, Stecker, Glasfaser, elektrische Signale, Lichtsignale, Funkwellen und die reine Bitübertragung. Diese Schicht weiß nichts über IP-Adressen, Ports oder Anwendungen. Sie stellt nur sicher, dass Signale physisch von einem Gerät zum anderen gelangen.

Typische Layer-1-Themen sind:

• Kupfer- und Glasfaserkabel
• Stecker und Patchfelder
• Signalpegel und physische Linkzustände
• Funkübertragung im Wireless-Bereich

Typische Angriffe und Risiken auf Layer 1

Angriffe auf Layer 1 sind oft physisch oder infrastrukturell. Sie sind weniger logisch als andere Angriffe, aber in der Praxis sehr relevant. Wenn physische Infrastruktur manipuliert oder unterbrochen wird, sind auch alle höheren Schichten betroffen.

• physisches Trennen oder Beschädigen von Kabeln
• unerlaubtes Anschließen an offene Netzwerkdosen
• Abhören physischer Leitungen in speziellen Szenarien
• Störung von Funkverbindungen durch Interferenz oder Jamming

Im Unternehmensumfeld gehören physische Sicherheit, kontrollierter Zugang zu Technikräumen und saubere Portkontrolle deshalb auch zur Cybersecurity.

Layer 2 – Data Link

Was auf der Data-Link-Schicht passiert

Layer 2 ist die Schicht der lokalen Netzkommunikation. Hier arbeiten Ethernet, MAC-Adressen, Frames, Switches, VLANs und Broadcast-Domänen. Wenn Geräte im selben lokalen Netzsegment miteinander kommunizieren, geschieht die direkte Zustellung über Layer 2.

Typische Layer-2-Themen sind:

• MAC-Adressen
• Switching
• VLANs
• ARP
• Spanning Tree

Diese Schicht ist besonders wichtig, weil viele lokale Sicherheitsprobleme hier beginnen.

Typische Angriffe auf Layer 2

Auf Layer 2 treten häufig Angriffe auf, die lokale Kommunikation manipulieren oder ausnutzen. Gerade weil viele Geräte im selben Segment zunächst einander vertrauen oder zumindest direkt sichtbar sind, entstehen hier besondere Risiken.

• ARP-Spoofing oder ARP-Poisoning
• MAC-Flooding gegen Switches
• VLAN-Hopping in Fehlkonfigurationen
• Rogue Switches an Access Ports
• Layer-2-Schleifen mit Auswirkung auf Verfügbarkeit

Typische Schutzmaßnahmen auf dieser Schicht sind Port Security, saubere VLAN-Struktur, BPDU Guard und kontrollierte Access-Ports.

show mac address-table
show vlan brief
show interfaces trunk
show spanning-tree

Diese Befehle helfen dabei, Layer-2-Zustände und potenzielle Fehl- oder Angriffssituationen besser einzuordnen.

Layer 3 – Network

Was auf der Network-Schicht passiert

Layer 3 beschreibt logische Adressierung und Weiterleitung zwischen unterschiedlichen Netzen. Hier arbeiten IP-Adressen, Routing, Router und Layer-3-Schnittstellen. Sobald Kommunikation das lokale Segment verlässt, ist Layer 3 beteiligt.

Typische Layer-3-Themen sind:

• IPv4 und IPv6
• Routingtabellen
• Default Gateway
• Subnetting
• Inter-VLAN-Routing

Typische Angriffe auf Layer 3

Auf Layer 3 zielen Angriffe häufig auf IP-basierte Kommunikation und Routinglogik. Hier geht es oft darum, Verkehr umzuleiten, Ziele zu scannen oder Pfade zu missbrauchen.

• IP-Spoofing
• netzbasierte Scans und Host Discovery
• Missbrauch falsch segmentierter Netze
• Routing-Manipulation in unsicheren Umgebungen
• DoS-Angriffe gegen IP-basierte Erreichbarkeit

Gerade Segmentierung und saubere ACLs sind auf Layer 3 ein zentraler Sicherheitsfaktor.

show ip interface brief
show ip route
show access-lists
ping 192.168.10.1
traceroute 192.168.20.1

Diese Befehle helfen, Routing, Erreichbarkeit und IP-bezogene Regeln zu prüfen.

Layer 4 – Transport

Was auf der Transport-Schicht passiert

Layer 4 beschreibt die Ende-zu-Ende-Kommunikation zwischen Prozessen auf Hosts. Hier arbeiten TCP und UDP sowie Portnummern. Diese Schicht ist wichtig, weil sie bestimmt, welcher Dienst auf einem Zielsystem angesprochen wird und wie zuverlässig oder verbindungslos kommuniziert wird.

Typische Layer-4-Themen sind:

• TCP
• UDP
• Portnummern
• Verbindungsaufbau und Sitzungslogik
• Dienstzuordnung über Zielports

Typische Angriffe auf Layer 4

Da auf Layer 4 Ports und Transportlogik eine große Rolle spielen, setzen viele Angriffe und Scans genau hier an. Die Angriffe zielen oft darauf, Dienste sichtbar zu machen, Verbindungen zu stören oder Ressourcen zu überlasten.

• Portscans
• SYN-Flood-Angriffe
• Missbrauch offener TCP- oder UDP-Dienste
• Überlastung transportbasierter Sitzungen
• Ausnutzung ungeschützter Verwaltungsports

Layer 4 ist deshalb besonders wichtig für Firewalls, ACLs und Diensthärtung.

show access-lists
show ip ssh
show running-config

Mit diesen Befehlen lassen sich transportbezogene Filterlogik und Verwaltungszugänge kontrollieren.

Layer 5 – Session

Was auf der Session-Schicht passiert

Layer 5 beschreibt die Steuerung und Verwaltung von Sitzungen zwischen Kommunikationspartnern. In der Praxis wird diese Schicht oft weniger isoliert betrachtet als Layer 2 bis 4 oder Layer 7, dennoch hilft sie beim Verständnis, wie Kommunikationsbeziehungen aufgebaut, aufrechterhalten und beendet werden.

Typische Themen auf dieser Schicht sind:

• Sitzungsaufbau
• Sitzungssteuerung
• Sitzungserhaltung zwischen Anwendungen
• Wiederaufnahme oder Synchronisation von Kommunikationsbeziehungen

Typische Angriffe auf Layer 5

Typische Angriffe auf dieser Ebene betreffen weniger Rohprotokolle und mehr die Kontrolle von Sitzungen. Besonders in anwendungsnahen Umgebungen verschwimmt Layer 5 oft mit Layer 7, aber die Grundidee bleibt: Sitzungen können übernommen, manipuliert oder missbraucht werden.

• Session Hijacking
• Missbrauch unzureichend geschützter Sitzungs-IDs
• unerlaubte Wiederverwendung von Sitzungsinformationen
• Unterbrechung oder Manipulation bestehender Kommunikationssitzungen

Im Alltag werden diese Angriffe häufig zusammen mit anwendungsnahen Sicherheitsproblemen betrachtet.

Layer 6 – Presentation

Was auf der Presentation-Schicht passiert

Layer 6 befasst sich mit der Darstellung und Umwandlung von Datenformaten. Hier geht es um Kodierung, Formatierung, Kompression, Verschlüsselung und andere Transformationen, damit Daten von Sender und Empfänger korrekt interpretiert werden können.

Typische Funktionen dieser Schicht sind:

• Datenkodierung
• Formatumwandlung
• Kompression
• Verschlüsselung und Entschlüsselung

Auch wenn diese Schicht im Alltag selten isoliert genannt wird, ist sie für Security sehr relevant.

Typische Angriffe oder Risiken auf Layer 6

Die Risiken auf dieser Ebene betreffen häufig unsichere oder manipulierte Datenrepräsentation sowie Schwächen bei Verschlüsselung und Interpretation. Gerade wenn Daten falsch validiert oder unsauber transformiert werden, können Sicherheitslücken entstehen.

• Schwächen in Verschlüsselungs- oder Zertifikatsnutzung
• Missbrauch fehlerhafter Datenkodierung
• Probleme durch unsichere Aushandlung kryptografischer Parameter
• Schwachstellen in der Datenrepräsentation zwischen Systemen

Für Einsteiger ist hier vor allem wichtig zu verstehen, dass sichere Kommunikation nicht nur Transport und Routing betrifft, sondern auch die Darstellung und Verarbeitung von Daten.

Layer 7 – Application

Was auf der Application-Schicht passiert

Layer 7 ist die Anwendungsschicht. Hier befinden sich die für Benutzer sichtbaren Dienste und Protokolle wie HTTP, HTTPS, DNS, SMTP oder andere Anwendungen. Auf dieser Schicht interagieren Benutzer und Programme direkt mit Netzwerkdiensten.

Typische Layer-7-Themen sind:

• Webanwendungen
• APIs
• DNS-Dienste
• E-Mail-Dienste
• Anwendungslogik und Benutzersitzungen

Viele der bekanntesten Sicherheitsprobleme entstehen auf dieser Schicht.

Typische Angriffe auf Layer 7

Layer-7-Angriffe richten sich direkt gegen Anwendungen, deren Logik oder deren Eingabeverarbeitung. Das macht sie besonders relevant, weil sie oft trotz funktionierender Infrastruktur erfolgreich sein können.

• Injection-Angriffe
• Cross-Site Scripting
• Broken Authentication
• Session-Missbrauch
• Missbrauch von APIs oder Webformularen
• Layer-7-DoS gegen Anwendungen

Gerade hier zeigt sich, dass Cybersecurity weit über reine Netzwerkkonnektivität hinausgeht.

Warum Angriffe oft mehrere Schichten gleichzeitig betreffen

Die Schichten sind logisch getrennt, aber praktisch verbunden

Ein großer Vorteil des OSI-Modells ist die saubere Struktur. Gleichzeitig darf nicht vergessen werden, dass reale Angriffe oft mehrere Schichten zugleich berühren. Ein Angreifer kann zunächst per Scan offene Ports entdecken, anschließend eine Anwendung angreifen und dabei verschlüsselte Kommunikation nutzen. Damit sind Layer 3, 4, 6 und 7 gleichzeitig betroffen.

Ein typisches Angriffsszenario kann beinhalten:

• IP-basierte Zielsuche auf Layer 3
• Port- und Dienstprüfung auf Layer 4
• Aufbau einer verschlüsselten Sitzung auf Layer 6
• Ausnutzung einer Anwendungslücke auf Layer 7

Genau deshalb sollten Schichten nicht isoliert, sondern im Zusammenhang gedacht werden.

Auch Schutzmaßnahmen sind mehrschichtig

Ebenso wenig wie Angriffe nur eine Schicht betreffen, wirkt Schutz nur an einer Stelle. Gute Sicherheitsarchitekturen kombinieren Kontrollen auf mehreren Ebenen:

• physischer Schutz von Infrastruktur
• VLANs und Port Security auf Layer 2
• Segmentierung und ACLs auf Layer 3
• Transportkontrolle auf Layer 4
• Authentifizierung, Verschlüsselung und sichere Anwendungen auf oberen Schichten

Das macht das OSI-Modell auch für Defense-in-Depth besonders nützlich.

Wie das OSI-Modell im Troubleshooting hilft

Fehlersuche wird systematischer

Wenn ein Dienst nicht funktioniert oder ein Sicherheitsvorfall analysiert werden muss, hilft das OSI-Modell dabei, Schritt für Schritt zu denken. Statt unsystematisch Befehle auszuführen, kann gezielt geprüft werden, auf welcher Ebene das Problem beginnt.

• Gibt es physische Verbindung?
• Stimmt die lokale Layer-2-Zuordnung?
• Funktioniert Routing?
• Ist der Dienstport erreichbar?
• Reagiert die Anwendung korrekt?

Gerade diese Schichtlogik macht OSI in der Praxis so wertvoll.

Cisco-Befehle lassen sich gut den Schichten zuordnen

Viele Cisco-Befehle spiegeln unterschiedliche OSI-Ebenen wider und machen technische Zustände sichtbar:

show interfaces
show mac address-table
show vlan brief
show ip interface brief
show ip route
show access-lists
show logging

Damit lassen sich physische, Layer-2-, Layer-3- und sicherheitsrelevante Informationen strukturiert prüfen. Genau das ist der praktische Nutzen des OSI-Modells im Netzwerkalltag.

Warum Einsteiger die 7 OSI-Schichten ernst nehmen sollten

Sie machen Cybersecurity logisch statt nur auswendig gelernt

Viele Einsteiger versuchen zunächst, Protokolle, Begriffe und Angriffsnamen isoliert zu lernen. Das führt oft zu Verwirrung. Das OSI-Modell hilft, diese Themen in eine sinnvolle Ordnung zu bringen. Dadurch wird Cybersecurity nicht nur merkbarer, sondern auch technisch verständlicher.

• Begriffe werden sauber getrennt.
• Angriffe werden besser erklärbar.
• Schutzmaßnahmen werden logisch einordbar.
• Netzwerk- und Security-Wissen wachsen zusammen.

Das Modell bleibt auch später nützlich

Das OSI-Modell ist nicht nur ein Lerntrick für Prüfungen. Auch erfahrene Netzwerker und Security-Fachkräfte nutzen dieses Denken ständig, oft implizit. Wer früh lernt, Angriffe und Kommunikation nach Schichten zu betrachten, schafft sich damit ein sehr starkes Fundament für jede weitere Entwicklung in Netzwerken, Security Operations und Incident Response.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.