NET.1.1 Netzarchitektur und -design: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 5: | Zeile 5: | ||
; Institutionen benötigen Datennetze | ; Institutionen benötigen Datennetze | ||
* Geschäftsbetrieb | * Geschäftsbetrieb | ||
* Fachaufgaben | |||
* Informationens-/Datenaustausch | |||
* Verteilte Anwendungen | |||
* ... | |||
; Nicht nur herkömmliche Endgeräte | ; Nicht nur herkömmliche Endgeräte | ||
Zeile 80: | Zeile 84: | ||
; Informationssicherheitsbeauftragte (ISB) | ; Informationssicherheitsbeauftragte (ISB) | ||
: Bei strategischen Entscheidungen einbeziehen | : Bei strategischen Entscheidungen einbeziehen | ||
: Stellt sicher, dass die Anforderungen des Sicherheitskonzepts | : Stellt sicher, dass die Anforderungen des Sicherheitskonzepts | ||
:* erfüllt | :* erfüllt | ||
: | :* überprüft | ||
:werden | |||
== Gefährdungslage == | == Gefährdungslage == | ||
Zeile 138: | Zeile 142: | ||
=== Elementare Gefährdungen === | === Elementare Gefährdungen === | ||
{| class="wikitable sortable options" | {| class="wikitable sortable options col1center" | ||
|- | |- | ||
! Nr. !! Gefährdungen !! !! !! | ! Nr. !! Gefährdungen !! !! !! | ||
Zeile 184: | Zeile 188: | ||
=== Basis === | === Basis === | ||
{| class="wikitable options" | {| class="wikitable options col1center" | ||
|- | |- | ||
! Anforderung !! Beschreibung !! Rolle | ! Anforderung !! Beschreibung !! Rolle | ||
Zeile 194: | Zeile 198: | ||
| A3 || [[#A3 Anforderungsspezifikation für das Netz|Anforderungsspezifikation für das Netz]] || | | A3 || [[#A3 Anforderungsspezifikation für das Netz|Anforderungsspezifikation für das Netz]] || | ||
|- | |- | ||
| A4 || [[#A4 Netztrennung in Zonen| | | A4 || [[#A4 Netztrennung in Zonen|Netztrennung in Zonen]] || | ||
|- | |- | ||
| A5 || [[#A5 Client-Server-Segmentierung|Client-Server-Segmentierung]] || | | A5 || [[#A5 Client-Server-Segmentierung|Client-Server-Segmentierung]] || | ||
Zeile 220: | Zeile 224: | ||
=== Standard === | === Standard === | ||
{| class="wikitable options" | {| class="wikitable options col1center" | ||
|- | |- | ||
! Anforderung !! Beschreibung !! Rolle | ! Anforderung !! Beschreibung !! Rolle | ||
Zeile 250: | Zeile 254: | ||
=== Erhöht === | === Erhöht === | ||
{| class="wikitable options" | {| class="wikitable options col1center" | ||
|- | |- | ||
! Anforderung !! Beschreibung !! Rolle | ! Anforderung !! Beschreibung !! Rolle | ||
Zeile 274: | Zeile 278: | ||
<noinclude> | <noinclude> | ||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/NET | {{Special:PrefixIndex/NET}} | ||
=== Dokumentation === | === Dokumentation === | ||
Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht | |||
* Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) | * Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) | ||
* Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0 | * Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0 | ||
Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen. | |||
=== Links === | === Links === |
Aktuelle Version vom 13. Dezember 2024, 08:51 Uhr
NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums
Beschreibung
Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren
- Institutionen benötigen Datennetze
- Geschäftsbetrieb
- Fachaufgaben
- Informationens-/Datenaustausch
- Verteilte Anwendungen
- ...
- Nicht nur herkömmliche Endgeräte
- Partnernetze
- Internet
- Mobile Endgeräte
- IoT-Komponenten (Internet of Things)
- Cloud-Dienste
- Dienste für Unified Communication and Collaboration (UCC)
- Viele Endgeräte und Dienste erhöhen Risiken
- Sicheren Netzarchitektur
- Planung
- Netz durch sichere Netzarchitektur schützen
- Lokales Netz (Local Area Network, LAN)
- Wide Area Network (WAN)
- Eingeschränkt vertrauenswürdige Netze
- Hohes Sicherheitsniveau
- Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
- Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
- Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
- Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
- Grundsätzliche Anforderungen
- Netzwerkplanung
- Netzwerkaufbau
- Netzwerkbetrieb
- Architektur und Design
- Allgemeine Anforderungen
- Müssen für alle Netztechniken beachtet und erfüllt werden
- z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
- Fokus
- Kabelgebundenen Netzen und Datenkommunikation
Modellierung
NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden
Abgrenzung
- Relevante Bausteine
Baustein | Bezeichnung | Beschreibung |
---|---|---|
NET.3 | Netzkomponenten | Betrieb von Netzkomponenten |
NET.2 | Funknetze | Wireless LAN (WLAN) |
SYS.1.8 | Speicherlösungen | Speichernetze (Storage Area Networks, SAN) |
NET.4.2 | VoIP | Voice over IP |
Virtual Private Cloud/Hybrid Cloud | Cloud-Computing | |
NET.1.2 | Netzmanagement | Netzmanagement |
Zuständigkeiten
Zuständigkeiten | Rollen |
---|---|
Grundsätzlich zuständig | Planende |
Weitere Zuständigkeiten | IT-Betrieb |
- Informationssicherheitsbeauftragte (ISB)
- Bei strategischen Entscheidungen einbeziehen
- Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
- erfüllt
- überprüft
- werden
Gefährdungslage
Bedrohungen und Schwachstellen von besonderer Bedeutung
Schwachstelle | Beschreibung |
---|---|
Performance | Unzureichend dimensionierte Kommunikationsverbindungen |
Netzzugänge | Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt |
Aufbau | Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden. |
Performance
- Unzureichend dimensionierte Kommunikationsverbindungen
- Clients nur noch eingeschränkt mit Servern kommunizieren
- Mögliche Auslöser
- Technischer Ausfall
- Denial-of-Service-(DoS)-Angriff
- Folgen
- Erhöhte Zugriffszeiten auf interne und externe Dienste
- Eingeschränkte Erreichbarkeit/nutzbar
- Wichtige Informationen sind nicht verfügbar
- Unterbrechung von Geschäftsprozessen/Produktionsprozesse
Netzzugänge
Ungenügend abgesichert
- Fehlende Firewall
- Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
- Firewall nicht aktivier/falsch konfiguriert
- Angreifer
- können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)
Aufbau
Unsachgemäßer Aufbau
- Unsichere Netztopologie
- Unsachgemäß aufgebaut
- Fehlerhafte Erweiterung
- Risiken
Angreifer können leichter
- Sicherheitslücken finden
- ins interne Netzwerk eindringen
- Informationen stehlen
- Daten manipulieren
- Produktionssysteme stören
Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt
Elementare Gefährdungen
Nr. | Gefährdungen | |||
---|---|---|---|---|
G 0.9 | Ausfall oder Störung von Kommunikationsnetzen | |||
G 0.11 | Ausfall oder Störung von Dienstleistern | |||
G 0.15 | Abhören | |||
G 0.18 | Fehlplanung oder fehlende Anpassung | |||
G 0.19 | Offenlegung schützenswerter Informationen | |||
G 0.22 | Manipulation von Informationen | |||
G 0.23 | Unbefugtes Eindringen in IT-Systeme | |||
G 0.25 | Ausfall von Geräten oder Systemen | |||
G 0.27 | Ressourcenmangel | |||
G 0.29 | Verstoß gegen Gesetze oder Regelungen | |||
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen | |||
G 0.40 | Verhinderung von Diensten (Denial of Service) | |||
G 0.43 | Einspielen von Nachrichten | |||
G 0.46 | Integritätsverlust schützenswerter Informationen |
Anforderungen
Schutzbedarf | Beschreibung |
---|---|
Basis | MÜSSEN vorrangig erfüllt werden |
Standard | SOLLTEN grundsätzlich erfüllt werden |
Erhöht | Exemplarische Vorschläge |
Basis
Standard
Erhöht
Anhang
Siehe auch
Dokumentation
Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
- Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
- Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0
Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.