Logo der activeMind AG

ISO 27002Kapitel 8.20 Netzwerksicherheit

Kapitel 8.20 der ISO 27002 behandelt die Sicherheit bei Verwaltung und Einsatz von Netzwerken bzw. Netzwerkgeräten.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Dass der Schutz von Netzwerken zu den absolut wichtigsten Aufgaben im Bereich der Informationssicherheit gehört, liegt auf der Hand. Gerade vor dem Hintergrund täglich zunehmender Cyberangriffe steigt die Bedeutung sogar noch.

Die Zusammenhänge sind dabei simpel: Je offener ein Netzwerk ist und je leichter und transparenter die darin betriebenen Geräte erreicht werden können, desto angreifbarer wird die gesamte Umgebung. Im Gegensatz dazu sind Geräte und Netzwerke, die sich beispielsweise von extern über öffentliche Netze aus überhaupt nicht erreichen lassen, schon deutlich besser geschützt.

Im hier relevanten Kapitel der ISO 27002 werden Maßnahmen vorgestellt, die geeignet sind, Netzwerke und Netzwerkgeräte zu verwalten, zu kontrollieren und letztendlich abgesichert zu betreiben.

Was empfiehlt die ISO 27002?

Die ISO 27002 schlägt in Kapitel 8.20 Maßnahmen verschiedener Art und unterschiedlicher Zielrichtung vor. Planung und Dokumentation stehen auf der einen Seite und nehmen einen besonderen Stellenwert ein. Auf der anderen Seite kommen der sichere Betrieb und die Überwachung im Betrieb hinzu.

Die Vorschläge im Einzelnen:

  • Wie in fast allen Bereichen ist es unverzichtbar, eindeutige Verantwortlichkeiten festzulegen und die Vorgehensweise zu definieren. Es muss klar sein, wer sich um Netzwerke und Netzwerkgeräte kümmert, und wie er das zu tun hat. Zumindest in komplexeren Umgebungen sollte dabei auch über eine Trennung der Verantwortlichkeiten für Netzwerke und die eigentlichen IT-Systeme nachgedacht werden.
  • Die Basis für alle weiteren Überlegungen ist dann, festzustellen, welche Informationen im Netzwerk übertragen werden und wie diese zu klassifizieren sind.
  • Das gesamte Netzwerk inklusive aller aktiven Netzwerkkomponenten sollte dokumentiert werden. Ein gegebenenfalls bereinigter Netzplan, aus dem sich alle Netze, die Übergabepunkte, die im Netz betriebenen Geräte und wenigstens deren Gesamtzahl sowie vielleicht auch schon eine Konfiguration ersehen lässt, sollte stets in aktueller Version greifbar sein. Selbstverständlich muss sich aber auch im Detail nachvollziehen lassen, welche Konfiguration ein bestimmtes Gerät konkret haben soll.
  • Es ist sinnvoll, verschiedene physische oder virtuelle Netzwerke aufzubauen, die grundsätzlich voneinander getrennt sind. Bereits die grobe Unterteilung zwischen produktiven Netzwerken und Netzbereichen, die allein zur Administration genutzt werden, kann erheblich zur Sicherheit beitragen. Durch mehrere Netzbereiche erhält man auch die Möglichkeit, im Ernstfall kritische Bereiche einfacher zu isolieren. Man erlangt dadurch die Chance, kompromittierte Bereiche zu isolieren, oder aber innerhalb einer weiterhin sicheren Umgebung wenigstens noch Kernprozesse zu betreiben.
  • Dass eine wirksame Trennung bzw. ein sicherer Übergang zwischen eigenen Netzwerken und insbesondere zu externen Netzwerken notwendig ist, muss kaum erläutert werden. Der Einsatz etwa von Firewalls zur Beschränkung und Filterung von Netzwerkverkehr ist seitjeher eine Standardmaßnahme.
  • Alle Netzwerkgeräte sollten gehärtet werden. Speziell an die Deaktivierung nicht benötigter Dienste bzw. Protokolle ist hier zu denken.
  • Sichergestellt werden sollte dann, dass nur zugelassene und bekannte bzw. dokumentierte Geräte aktiv mit dem Netzwerk verbunden werden können. Zum Einsatz kommen sollten demnach Mechanismen zur Port-Authentisierung (802.1X). Nicht vorgesehene Geräte können keine Datenverbindung herstellen. Unabhängig hiervon sollte weiterhin jeder Versuch eines Verbindungsaufbaus mit dem Netzwerk protokolliert werden.
  • Aktivitäten in den Netzwerken sollten angemessen protokolliert und ausgewertet werden. Sie können wichtige Hinweise auf mögliche Beeinträchtigungen der Informationssicherheit liefern.
  • Ergänzend verweist die Norm auf die in anderen Kapiteln (14, 5.22, 6.6, 8.24) beschriebenen Maßnahmen zur Gewährleistung von Vertraulichkeit und Integrität bei der Übertragung von Daten über Netzwerke.

Fazit

Wie häufig, sind den Verantwortlichen in Organisationen zumindest die Grundzüge und Grundideen der Netzwerksicherheit durchaus bekannt. Die konsequente und korrekte Umsetzung scheitert aber dann am Alltag und daran, dass doch notwendiges Detailwissen fehlt. Bereits mit der Erstellung eines bereinigten Netzplans sind viele Organisationen überfordert. Diese grundlegend wichtige Dokumentation liegt meist also auch nicht vor – oder aber nur teilweise brauchbar bzw. jedenfalls nicht aktuell.

Oft kapitulieren die Fachverantwortlichen dann vor der unstrukturierten Menge an Aufgaben, die erledigt werden müssten und wenden sich dem Tagesgeschäft zu.

Die Wichtigkeit der Netzwerksicherheit kann nicht stark genug betont werden. Fehler, Mängel und auch Versehen können bittere Folgen haben. Die Investition in benötigte professionelle Unterstützung wird sich am Ende immer auszahlen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Bei einer durch die activeMind AG begleiteten Zertifizierung nach ISO 27001 richten wir in unserer spezialisierten ISMS-Software activeMind.cloud ein Asset-Management ein, in welchem sie eingesetzte Netzwerke und Komponenten dokumentieren können. Darüber hinaus helfen unsere Experten dabei, einen fundierten Netzplan zu erstellen.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.