Logo der activeMind AG

ISO 27002Kapitel 8.21 Sicherheit von Netzwerkdiensten

Kapitel 8.21 der ISO 27002 enthält Maßnahmen zur möglichst sicheren Verwendung von Netzwerkdiensten.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Ohne über Netzwerke betriebene Dienste ist moderne IT nicht denkbar. Bereits die schlichte Inbetriebnahme eines Gerätes ist ohne Netzwerkdienste kaum denkbar: Die Zuweisung von Netzwerkadressen erfolgt per DHCP. Die Authentifizierung von Gerät und Nutzern erfolgt regelmäßig online. Die Systemzeit wird gegen einen externen Zeitserver abgeglichen.

Bei der Nutzung von IT-Systemen tauschen dann sowohl Gerät als auch die Benutzer massenhaft Informationen übers Netz aus. Der Druckauftrag an den gemeinschaftlichen Drucker im Gang oder die E-Mail an den Geschäftspartner sind alltägliche Beispiele hierfür. In dem Zusammenhang sei noch kurz DNS genannt, ohne das auch nicht mehr allzu viel funktioniert.

Netzwerkdienste sind unverzichtbar und es werden typischerweise viele davon eingesetzt. Schwächen in diesem Bereich können daher die Informationssicherheit erheblich beeinträchtigen.

Was empfiehlt die ISO 27002?

Die Empfehlungen der Norm ISO 27002 sind hier in Kapitel 8.21 ähnlich, wie auch sonst bei Beschaffungen. Was wird benötigt? In welcher Güte wird es benötigt? Welche Funktionen müssen unterstützt sein und welche sollen bzw. dürfen nicht vorhanden sein?

  • Organisationen sollten klar und abschließend festlegen, welche konkreten Netzwerkdienste zum Einsatz kommen sollen und in welchen Netzwerken. Stehen mehrere alternative Lösungen oder Anbieter zur Wahl, sollte auch klar festgelegt werden, welche zum Zuge kommen.
  • Bei der Auswahl von Netzwerkdiensten sollte berücksichtigt werden, welche Sicherheitsmaßnahmen unterstützt werden. Sind beispielsweise sichere Authentisierung und Verschlüsselung erzwingbar?
  • Auch auf die Interoperabilität muss gegebenenfalls Rücksicht genommen werden. Arbeiten die gewählten Netzwerkdienste grundsätzlich zusammen und lässt sich dies auch angemessen sicher umsetzen? Es sollte sich beispielsweise nicht erst nachträglich herausstellen, dass sich zwei voneinander abhängige Dienste nur dann miteinander unterhalten können, wenn ein unsicheres Protokoll eingesetzt wird.
  • Sollen Informationen zwischengespeichert werden, etwa um ausreichende Leistung und Verfügbarkeit sicherzustellen, muss es dabei auch möglich bleiben, die eigenen Anforderungen an die Vertraulichkeit weiter umzusetzen.
  • Es muss bestimmt werden, wem Zugang zu welchen Diensten über welche Netzwerke gewährt wird. Wer darf was verwenden und über welche Verbindungen ist das zulässig? Auch die Fragen wann und vor allem wo sind hier möglicherweise relevant. Zwingend verbunden sind hiermit selbstverständlich auch eine angemessene Authentisierung und gegebenenfalls die wirksame Trennung von Netzwerken und Diensten.
  • Dass Dienste nur wie zugelassen und ausschließlich in vorgesehenen Netzwerken eingesetzt werden, muss auch durch taugliche technische Maßnahmen unterstützt werden. Häufig sollen auch nur bestimmte Geräte, die der Kontrolle der Organisation unterliegen, zum Einsatz kommen.
  • Die Nutzung von Netzwerkdiensten sollte insbesondere hinsichtlich der bereits genannten Punkte überwacht werden.
  • Werden Dienstleister oder Lieferanten eingesetzt, sollte klar festgelegt, welche Leistung wie zu erbringen ist, damit sie den festgestellten Anforderungen genügt. Die korrekte Umsetzung muss auch sichergestellt, also überprüft werden.

Fazit

Was die Norm in Kapitel 8.21 behandelt, wird in der Praxis von Organisationen häufig gar nicht erst beachtet. Bereits einzeln betrachtet können Netzwerkdienste kompliziert werden. Nun werden solche Dienste typischerweise aber auch noch vielfach eingesetzt – und häufig noch völlig unbewusst dazu.

Sowohl die hohe Zahl an sich als auch die möglichen Scherwirkungen innerhalb des Gesamtsystems tun dann ein Übriges. Es wird dann oftmals gar nichts mehr angepasst.

Eine weitere typische Konsequenz in der Praxis sind beispielsweise Firewalls, die zumindest teilweise komplett auf Durchzug in beide Richtungen gestellt wurden, weil sonst irgendwas nicht mehr ging.

Nicht selten kapitulieren verantwortliche Mitarbeiter vor den notwendigen Aufgaben daher aus mehreren Gründen. Hauptsache alles funktioniert.

Organisationen sollten diesen Bereich der Informationssicherheit nicht unterschätzen. Ganz im Gegenteil wäre dringend anzuraten, die Vorschläge der Norm gewissenhaft zu beherzigen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Bei einer durch die activeMind AG begleiteten Zertifizierung nach ISO 27001 unterstützen unsere Experten bei der Erstellung von Konzepten und Richtlinien, die einen angemessenen Aufbau und eine saubere Konfiguration von allen Netzwerkdiensten erlauben.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.