NET.1.1 Netzarchitektur und -design: Unterschied zwischen den Versionen
| Zeile 8: | Zeile 8: | ||
; Nicht nur herkömmliche Endgeräte | ; Nicht nur herkömmliche Endgeräte | ||
* Partnernetze | * Partnernetze | ||
* Mobile Endgeräte | * Internet | ||
* Mobile Endgeräte | |||
* [[IoT]]-Komponenten (Internet of Things) | |||
; Cloud-Dienste | ; Cloud-Dienste | ||
* Dienste für Unified Communication and Collaboration (UCC) | * Dienste für Unified Communication and Collaboration (UCC) | ||
; Viele Endgeräte und Dienste | ; Viele Endgeräte und Dienste erhöhen Risiken | ||
Sicheren Netzarchitektur | ; Sicheren Netzarchitektur | ||
* Planung | * Planung | ||
* Netz durch sichere Netzarchitektur schützen | * Netz durch sichere Netzarchitektur schützen | ||
| Zeile 23: | Zeile 25: | ||
* Eingeschränkt vertrauenswürdige Netze | * Eingeschränkt vertrauenswürdige Netze | ||
Hohes Sicherheitsniveau | ; Hohes Sicherheitsniveau | ||
* Zusätzliche sicherheitsrelevante Aspekte berücksichtigen | * Zusätzliche sicherheitsrelevante Aspekte berücksichtigen | ||
** Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen | ** Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen | ||
| Zeile 29: | Zeile 31: | ||
* Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die [[Netzzugangskontrolle]] | * Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die [[Netzzugangskontrolle]] | ||
Grundsätzliche Anforderungen | ; Grundsätzliche Anforderungen | ||
* Netzwerkplanung | * Netzwerkplanung | ||
* Netzwerkaufbau | * Netzwerkaufbau | ||
| Zeile 35: | Zeile 37: | ||
* Architektur und Design | * Architektur und Design | ||
Allgemeine Anforderungen | ; Allgemeine Anforderungen | ||
* Müssen für alle Netztechniken beachtet und erfüllt werden | * Müssen für alle Netztechniken beachtet und erfüllt werden | ||
: z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern | : z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern | ||
Fokus | ; Fokus | ||
* Kabelgebundenen Netzen und Datenkommunikation | * Kabelgebundenen Netzen und Datenkommunikation | ||
Version vom 4. Dezember 2024, 10:12 Uhr
NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums
Beschreibung
Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren
- Institutionen benötigen Datennetze
- Geschäftsbetrieb, Fachaufgaben, Informationens-/Datenaustausch, Verteilte Anwendungen, ...
- Nicht nur herkömmliche Endgeräte
- Partnernetze
- Internet
- Mobile Endgeräte
- IoT-Komponenten (Internet of Things)
- Cloud-Dienste
- Dienste für Unified Communication and Collaboration (UCC)
- Viele Endgeräte und Dienste erhöhen Risiken
- Sicheren Netzarchitektur
- Planung
- Netz durch sichere Netzarchitektur schützen
- Lokales Netz (Local Area Network, LAN)
- Wide Area Network (WAN)
- Eingeschränkt vertrauenswürdige Netze
- Hohes Sicherheitsniveau
- Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
- Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
- Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
- Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
- Grundsätzliche Anforderungen
- Netzwerkplanung
- Netzwerkaufbau
- Netzwerkbetrieb
- Architektur und Design
- Allgemeine Anforderungen
- Müssen für alle Netztechniken beachtet und erfüllt werden
- z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
- Fokus
- Kabelgebundenen Netzen und Datenkommunikation
Modellierung
NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden
Abgrenzung
- Relevante Bausteine
| Baustein | Bezeichnung | Beschreibung |
|---|---|---|
| NET.3 | Netzkomponenten | Betrieb von Netzkomponenten |
| NET.2 | Funknetze | Wireless LAN (WLAN) |
| SYS.1.8 | Speicherlösungen | Speichernetze (Storage Area Networks, SAN) |
| NET.4.2 | VoIP | Voice over IP |
| Virtual Private Cloud/Hybrid Cloud | Cloud-Computing | |
| NET.1.2 | Netzmanagement | Netzmanagement |
Zuständigkeiten
| Zuständigkeiten | Rollen |
|---|---|
| Grundsätzlich zuständig | Planende |
| Weitere Zuständigkeiten | IT-Betrieb |
- Informationssicherheitsbeauftragte (ISB)
Bei strategischen Entscheidungen einbeziehen
Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
- erfüllt und überprüft werden
- gemäß dem festgelegten Sicherheitskonzept
Gefährdungslage
Bedrohungen und Schwachstellen von besonderer Bedeutung
| Schwachstelle | Beschreibung |
|---|---|
| Performance | Unzureichend dimensionierte Kommunikationsverbindungen |
| Netzzugänge | Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt |
| Aufbau | Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden. |
Performance
- Unzureichend dimensionierte Kommunikationsverbindungen
- Clients nur noch eingeschränkt mit Servern kommunizieren
- Mögliche Auslöser
- Technischer Ausfall
- Denial-of-Service-(DoS)-Angriff
- Folgen
- Erhöhte Zugriffszeiten auf interne und externe Dienste
- Eingeschränkte Erreichbarkeit/nutzbar
- Wichtige Informationen sind nicht verfügbar
- Unterbrechung von Geschäftsprozessen/Produktionsprozesse
Netzzugänge
Ungenügend abgesichert
- Fehlende Firewall
- Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
- Firewall nicht aktivier/falsch konfiguriert
- Angreifer
- können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)
Aufbau
Unsachgemäßer Aufbau
- Unsichere Netztopologie
- Unsachgemäß aufgebaut
- Fehlerhafte Erweiterung
- Risiken
Angreifer können leichter
- Sicherheitslücken finden
- ins interne Netzwerk eindringen
- Informationen stehlen
- Daten manipulieren
- Produktionssysteme stören
Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt
Elementare Gefährdungen
| Nr. | Gefährdungen | |||
|---|---|---|---|---|
| G 0.9 | Ausfall oder Störung von Kommunikationsnetzen | |||
| G 0.11 | Ausfall oder Störung von Dienstleistern | |||
| G 0.15 | Abhören | |||
| G 0.18 | Fehlplanung oder fehlende Anpassung | |||
| G 0.19 | Offenlegung schützenswerter Informationen | |||
| G 0.22 | Manipulation von Informationen | |||
| G 0.23 | Unbefugtes Eindringen in IT-Systeme | |||
| G 0.25 | Ausfall von Geräten oder Systemen | |||
| G 0.27 | Ressourcenmangel | |||
| G 0.29 | Verstoß gegen Gesetze oder Regelungen | |||
| G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen | |||
| G 0.40 | Verhinderung von Diensten (Denial of Service) | |||
| G 0.43 | Einspielen von Nachrichten | |||
| G 0.46 | Integritätsverlust schützenswerter Informationen |
Anforderungen
| Schutzbedarf | Beschreibung |
|---|---|
| Basis | MÜSSEN vorrangig erfüllt werden |
| Standard | SOLLTEN grundsätzlich erfüllt werden |
| Erhöht | Exemplarische Vorschläge |
Basis
Standard
Erhöht
Anhang
Siehe auch
Dokumentation
- Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
- Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
- Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0
- Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1
- Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.