Sicherheitsanforderungen an ein Netzwerk

15.05.2020

Wenn es darum geht, Sicherheit von IT-Netzen im Unternehmen zu schaffen oder zu bewerten, müssen zunächst die Grundlagen stimmen. Dabei hilft zunächst ein Blick in die beiden einschlägigen Standards: Sowohl das IT-Grundschutz-Kompendium des BSI als auch die DIN ISO 27002 fordern als grundlegende Strategie die Trennung von Netzen mit unterschiedlichen Aufgaben oder unterschiedlichem Sicherheitsbedarf.

Noch gerade zu großzügig formuliert die internationale Norm DIN ISO 27002:

"Informationsdienste, Benutzer und Informationssysteme sollten in Netzwerken gruppenweise voneinander getrennt gehalten werden."

Rigider ist an dieser Stelle das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik, BSI. Es fordert unter der Überschrift "Netztrennung in Sicherheitszonen" als nicht verhandelbare Basismaßnahme: 

"Das Gesamtnetz MUSS mindestens in folgende drei Sicherheitszonen physisch separiert sein: internes Netz, demilitarisierte Zone (DMZ) und Außenanbindungen (inklusive Internetanbindung sowie Anbindung an andere nicht vertrauenswürdige Netze). Zonenübergänge MÜSSEN durch eine Firewall abgesichert werden."

Diese Forderung darf man unmittelbar erweitern: Das interne Netz eines Unternehmens sollte in sich mindestens in ein Servernetz und ein "Endanwendernetz" unterteilt sein. So kann ein Ausbruch von Schadsoftware sich nicht völlig ungehindert auf alle Server ausbreiten. 

Ebenso wichtig ist es, Netze zu separaten, durch restriktive Firewallregeln oder sogar durch physische Trennung zu Sicherheitszonen zu machen, in denen "untypische IT" betrieben wird. Die Gebäudetechnik und erst recht die Sicherheitstechnik müssen bestmöglichen Zugriffsschutz erhalten.

Wenn solche Schutzziele umzusetzen sind, geht es um mehr als normalen Schutzbedarf und die nächste Forderung des BSI muss nachgeschoben werden: die Separierung des Managementbereichs.

Das Management der Netzwerkkomponenten, der Sicherheitseinrichtungen (Firewalls etc.) und mindestens der "kritischen" Server muss unter bestmöglichen Sicherheitsvorkehrungen geschehen. Folglich ist ein eigenes Netz zur Administration und damit auch zum Management der Netzsicherheit mehr als empfehlenswert.

Wenig überraschend gelten somit bei der Sicherheitsarchitektur von IT-Netzen die gleichen Grundsätze "wie im richtigen Leben", also zum Beispiel bei der Absicherung eines Gebäudes. Es müssen Sicherheitszonen definiert werden, die technische Ausgestaltung dieser Zonen und die Regeln und Kontrollen für die Übergänge zwischen den Zonen müssen festgelegt werden. Was im Gebäude durch Türen und Schleusen bewerkstelligt wird, wird im Netz durch Firewalls erledigt. Eine Firewall setzt die Regeln um, nach denen Informationen von einem Netz in das andere fließen dürfen.

Mit den statischen Maßnahmen ist so schon viel erreicht. Genauso wichtig ist aber: Wer kümmert sich um die Betreuung des Netzes und um die Aufrechterhaltung der Sicherheit? Das ist in klassischen Office-Netzen oft keine Frage, da IT-Administratoren diese Fragen und die passenden Antworten dazu im Repertoire haben. Anders sieht es dagegen in Netzen jenseits der Office-Welt aus. Dort, wo Gebäudetechnik oder Sicherheitstechnik in Netzen durchaus respektabler Größe betrieben werden, sind oftmals die Zuständigkeiten ungeklärt oder durch ein unzeitgemäßes Abteilungsdenken falsch zugeordnet.

Für jedes Netz muss es Verantwortliche geben, zu deren Tagesgeschäft es gehört, die Sicherheit dieses Netzes zu beobachten und zu betreuen. Zum Beobachten gehört, dass es klar und dokumentiert ist, welche Verbindungen zu anderen Netzen dauernd oder gelegentlich bestehen und welche Regeln für diese Verbindungen gelten.

Das gilt für reguläre Verbindungen, die durch eine Firewall kontrolliert werden, für temporär geöffnete Verbindungen - zum Beispiel zur Fernwartung - und auch für seltene Verbindungen ohne Netz wie beim Einspielen von Software-Updates von einem Wechseldatenträger. Der Glaube, dass ein bestimmtes Netz völlig abgeschottet ist und nie Verbindung mit anderen Netzen und damit mit potenziellen Quellen von Schadsoftware haben wird, ist fast immer eine trügerische Illusion.  Und weil das so ist, muss man sich um die Sicherheit der Komponenten im Netz Gedanken machen. Es muss dokumentiert sein, welche Systeme im Netz betrieben werden, welchen Stand von Software oder Firmware diese Systeme haben und ob Sicherheitslücken zu genau diesen Systemen bekannt sind.

Während es in normalen Office-Netzen häufig ohne tiefere Prüfung möglich und nötig ist, Sicherheitspatches ohne Testprozedur auf die betroffenen Systeme zu verteilen, ist bei "technischen Netzen" wie zum Beispiel der Gebäudetechnik oder der Sicherheitstechnik oft eine Risikoanalyse erforderlich. Es muss abgewogen werden, wie angreifbar die von Schwachstellen geplagten Systeme sind. Die Wahrscheinlichkeit, dass tatsächlich ein Angriff das System erreicht, ist gegen das Risiko abzuwägen, die Stabilität des betroffenen Systems durch Änderungen in der Software oder der Konfiguration zu gefährden. Gegebenenfalls sind andere kompensierende Maßnahmen zu planen und zu implementieren.

: : : Werner Metterhausen : : :




Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de