RiLi-Netzwerkmanagement: Unterschied zwischen den Versionen

Aktuelle Version vom 8. Mai 2026, 13:42 Uhr

Mustervorlage: "Richtlinie Netzwerkmanagement"

Einleitung

Diese Sicherheitsrichtlinie für Netzwerkmanagement bildet die Grundlage für die sichere und zuverlässige Planung, den Aufbau, den Betrieb und die Weiterentwicklung der Netzwerkinfrastruktur der Organisation. Sie stellt sicher, dass das Netzwerk effektiv und sicher betrieben wird, um potenzielle Risiken zu minimieren und die kontinuierliche Verfügbarkeit der Netzwerkdienste zu gewährleisten.

Diese Richtlinie ist Bestandteil des Informationssicherheits-Managementsystems (ISMS) der Organisation und konkretisiert insbesondere die Vorgaben der übergeordneten Sicherheitsrichtlinien sowie der Richtlinie zum Server-Management und der Richtlinie zum Client-Management. Aspekte eines Zero-Trust-Ansatzes werden in der gesonderten Richtlinie Netzwerkmanagement (Zero Trust) behandelt und sind nicht Gegenstand dieses Dokuments.

Geltungsbereich

Diese Richtlinie gilt für sämtliche Netzwerkressourcen, Netzwerkdienste und Netzwerkaktivitäten innerhalb der Organisation. Hierzu zählen insbesondere:

aktive und passive Netzkomponenten (z.B. Router, Switches, Firewalls, WLAN-Infrastruktur),
logische Netzstrukturen (z.B. VLANs, Subnetze, Routing-Domänen, VPN),
Management- und Überwachungssysteme für das Netzwerk,
alle Personen, die das Netzwerk planen, betreiben, administrieren oder nutzen.

Die Richtlinie ist bindend für alle Mitarbeitenden, Dienstleistende und Partner, die Netzwerkinfrastruktur planen, bereitstellen, administrieren oder nutzen. Ausnahmen von dieser Richtlinie sind nur zulässig auf Basis eines begründeten und freigegebenen Ausnahmeantrags gemäß Richtlinie Ausnahmemanagement.

Zielsetzung

Ziel dieser Richtlinie ist es, einen sicheren, stabilen und nachvollziehbar gesteuerten Betrieb der Netzwerkinfrastruktur sicherzustellen. Insbesondere sollen:

Netzwerksicherheit gewährleistet werden (Schutz vor unbefugtem Zugriff, Datenmanipulation, Missbrauch und sonstigen Sicherheitsbedrohungen),
Netzwerkverfügbarkeit sichergestellt werden (stabiler, leistungsfähiger und skalierbarer Betrieb der Netzwerke),
Gesetzliche, regulatorische und vertragliche Anforderungen eingehalten werden (z.B. Datenschutz, branchenspezifische Vorgaben),
Rollen und Verantwortlichkeiten im Netzwerkmanagement klar definiert und gelebt werden,
Sensibilisierung und Schulung für alle beteiligten Rollen etabliert werden,
eine kontinuierliche Verbesserung der Netzwerksicherheit und -stabilität sichergestellt werden.

Gesetzliche und regulatorische Rahmenbedingungen

Die Organisation stellt sicher, dass das Netzwerkmanagement im Einklang mit den jeweils relevanten gesetzlichen und regulatorischen Vorgaben erfolgt. Die konkrete Anwendbarkeit hängt von Branche, Standort, Kundenanforderungen und weiteren Faktoren ab. Beispiele für relevante Regelwerke sind insbesondere:

Datenschutzgrundverordnung (DSGVO) und ggf. nationale Datenschutzgesetze (z.B. BDSG),
IT-Sicherheitsrecht und branchenspezifische Sicherheitsanforderungen (z.B. KRITIS, NIS2, branchenspezifische Sicherheitsstandards),
Telekommunikations- und Telemedienrecht soweit einschlägig,
Vertragliche Sicherheitsanforderungen von Kundschaft, Partnern und Liefernden.

Konkrete Compliance-Anforderungen werden in den entsprechenden Datenschutz- und Compliance-Richtlinien der Organisation geregelt und sind bei Planung, Betrieb und Änderung der Netzwerkinfrastruktur zu berücksichtigen.

Verantwortliche

Für das Netzwerkmanagement werden folgende Rollen und Verantwortlichkeiten definiert:

Netzwerkverantwortliche / Netzwerkbetrieb: Gesamtverantwortung für Planung, Aufbau, Betrieb und Weiterentwicklung der Netzwerkinfrastruktur.
Netzwerkadministration: Technische Umsetzung der Vorgaben, Durchführung von Konfigurationen, Wartungs- und Betriebsmaßnahmen.
Informationssicherheitsbeauftragte (ISB): Beratung und Kontrolle hinsichtlich Informationssicherheit, Bewertung von Risiken und Maßnahmen im Netzwerk.
Datenschutzbeauftragte (sofern bestellt): Beratung zu datenschutzrechtlichen Anforderungen (z.B. Protokollierung, Inhaltsdaten, Löschfristen).
Fachbereiche / Systemverantwortliche: Formulierung fachlicher Anforderungen an Netzverfügbarkeit, Bandbreite, Zugriffswege und Segmentierung.
Leitungsebene: Freigabe dieser Richtlinie, Entscheidung über grundlegende Änderungen an Netzwerkstrategie und -architektur.

Die konkrete Zuordnung von Personen zu diesen Rollen ist organisationsspezifisch zu regeln und zu dokumentieren. Vertretungsregelungen sind sicherzustellen.

Grundlegende Prinzipien

Die folgenden Grundprinzipien bilden die Basis für alle Maßnahmen des Netzwerkmanagements:

Das Netzwerk wird nach dem Prinzip der minimierten Angriffsfläche geplant, implementiert und betrieben.
Der Zugriff auf Netzressourcen erfolgt nach dem Need-to-Know- und Least-Privilege-Prinzip.
Änderungen an der Netzwerkinfrastruktur unterliegen definierten Change-Management-Prozessen.
Sicherheitsvorfälle und Störungen werden nach den organisatorischen Regelungen zum Incident- und Notfallmanagement behandelt.
Protokollierung und Überwachung dienen der Früherkennung von Bedrohungen und der forensischen Nachvollziehbarkeit, unter Beachtung geltender Datenschutzvorgaben.

Netzwerkarchitektur und Design

Die Netzwerkarchitektur bildet die Grundlage für Sicherheit, Stabilität und Skalierbarkeit der Netze.

Aufbau und Struktur des Unternehmensnetzwerks

Die Organisation definiert eine nachvollziehbare und dokumentierte Netzwerkarchitektur. Dazu gehört insbesondere:

eine logische und physische Strukturierung (z.B. Core, Distribution, Access, Rechenzentrum, Standorte),
eine klare Trennung von Management-, Server-, Client-, Gast- und ggf. Produktionsnetzen,
die Definition von Routing- und Adressierungskonzepten (z.B. IPv4/IPv6, Subnetze, VLANs).

Segmentierung und Isolierung von Netzwerkbereichen

Das Netzwerk ist so zu segmentieren, dass sicherheits- und betriebsrelevante Bereiche angemessen voneinander isoliert sind. Dies umfasst z.B.:

Trennung von internen Netzen mit unterschiedlichen Schutzbedarfen,
gesonderte Zonen für DMZ, externe Anbindungen und besonders kritische Systeme,
Steuerung von Verbindungen zwischen Segmenten über definierte Übergabepunkte (z.B. Firewalls, Router).

Einsatz von Firewalls und Sicherheitskomponenten

An Übergängen zwischen Netzsegmenten sowie an der Grenze zum Internet oder anderen externen Netzen werden geeignete Sicherheitskomponenten eingesetzt (z.B. Firewalls, Web- und Mail-Security-Gateways, IDS/IPS). Für Firewalls und vergleichbare Komponenten gelten insbesondere:

Konfiguration nach dem Prinzip „Verbot mit Erlaubnisvorbehalt“ (Default Deny, nur explizit erlaubte Verbindungen),
regelmäßige Überprüfung der Regelwerke,
Protokollierung sicherheitsrelevanter Ereignisse,
Zugriff auf Managementfunktionen nur über abgesicherte Management-Netze.

Netzwerksicherheit

Netzwerksicherheit umfasst alle technischen und organisatorischen Maßnahmen zum Schutz des Netzwerks vor unbefugtem Zugriff, Missbrauch und Störungen.

Zugriffskontrolle und Authentifizierung

Der Zugriff auf Netzwerkressourcen und Netzwerkmanagementfunktionen ist angemessen abzusichern. Dies beinhaltet insbesondere:

Authentifizierung von Benutzenden und Systemen mit angemessenen Verfahren (z.B. zentrale Identity-Management-Systeme, starke Authentisierung für Administrationszugriffe),
Vergabe von Zugriffsrechten nach dem Least-Privilege-Prinzip,
Nutzung gesicherter Protokolle für Managementzugriffe (z.B. SSH statt Telnet, HTTPS statt HTTP).

Verschlüsselung der Netzwerkkommunikation

Sensible oder vertrauliche Daten sind auf geeigneten Kommunikationswegen verschlüsselt zu übertragen, insbesondere:

bei Nutzung unsicherer oder fremdkontrollierter Netze (z.B. Internet, öffentliche WLANs),
bei Fernzugriffen auf interne Systeme (z.B. über VPN),
bei der Übertragung personenbezogener oder besonders schützenswerter Informationen.

Schutz vor Netzwerkbedrohungen

Zum Schutz vor typischen Netzwerkbedrohungen werden u.a. folgende Maßnahmen ergriffen:

Einsatz und regelmäßige Aktualisierung von Sicherheitsfunktionen (z.B. Firewalls, IDS/IPS, Web-Filter),
Nutzung von sicheren Konfigurationen für Netzwerkkomponenten,
regelmäßige Schwachstellenanalysen und Sicherheitsaudits im Netzwerkumfeld,
Berücksichtigung der Ergebnisse von CERT-/CSIRT-Meldungen und Hersteller-Hinweisen.

Netzwerkadministration und Wartung

Eine geordnete und nachvollziehbare Netzwerkadministration und Wartung ist Voraussetzung für einen sicheren Betrieb.

Autorisierung von Netzwerkadministratoren

Administrative Berechtigungen für Netzkomponenten werden nur an autorisierte Personen vergeben. Dabei gelten insbesondere:

klare Rollen- und Rechtekonzepte für Netzwerkadministration,
Trennung von administrativen und „normalen“ Benutzerkonten,
regelmäßige Überprüfung der administrativen Berechtigungen,
Nutzung starker Authentisierung für administrative Zugriffe.

Wartungsprozesse und -verfahren

Wartungsarbeiten an Netzwerkkomponenten (z.B. Konfigurationsänderungen, Austausch von Hardware, Firmware-Updates) erfolgen:

nach definierten Prozessen (inkl. Planung, Tests, Dokumentation),
nach Möglichkeit innerhalb vereinbarter Wartungsfenster,
in Abstimmung mit betroffenen Fachbereichen bei erwarteten Auswirkungen auf den Betrieb.

Software- und Firmware-Management

Für Software und Firmware von Netzkomponenten gelten:

Nutzung nur freigegebener und vertrauenswürdiger Versionen,
regelmäßige Prüfung auf Sicherheitsupdates und Bugfixes,
zeitnahe Umsetzung sicherheitsrelevanter Updates nach Risikobewertung,
dokumentierte Nachweise über durchgeführte Updates.

Notfallvorsorge im Netzwerk

Die Organisation bereitet sich auf Ausfälle oder Sicherheitsvorfälle im Netzwerk vor, um Auswirkungen zu minimieren.

Erstellung von Notfallplänen für Netzwerkausfälle

Für relevante Netzwerkszenarien (z.B. Ausfall zentraler Switches, Firewall-Defekt, großflächige Störung eines externen Providers) sind Notfallpläne zu erstellen, zu dokumentieren und regelmäßig zu überprüfen.

Sofortmaßnahmen und Wiederherstellungsverfahren

Es sind Verfahren zu definieren, die im Störungs- oder Notfallfall eine schnelle Eingrenzung und Wiederherstellung ermöglichen, z.B.:

Isolierung betroffener Netzbereiche,
Umschaltung auf Redundanzen oder Ausweichwege,
Wiederherstellung von Konfigurationen aus gesicherten Ständen.

Kommunikationsstrategien im Notfall

Für Störungen und Notfälle im Netzwerk sind Kommunikationswege und -pflichten festzulegen, z.B.:

Information von Service-Desk, Fachbereichen und ggf. Management,
Nutzung zentraler Kommunikationskanäle (z.B. Statusseiten, Ticketsystem),
Schnittstelle zum Incident- und Notfallmanagement der Organisation.

Schulung und Sensibilisierung

Mitarbeitende, die mit Planung, Betrieb oder Nutzung der Netze befasst sind, werden angemessen geschult und sensibilisiert.

Schulungsprogramme für Netzwerkadministration

Netzwerkadministrierende erhalten regelmäßige Schulungen zu:

eingesetzter Netzwerktechnik und Managementwerkzeugen,
aktuellen Sicherheitsanforderungen und Best Practices,
Prozessen im Netzwerkmanagement (Change, Incident, Notfall).

Sensibilisierung der Belegschaft für Netzwerksicherheit

Die Belegschaft wird für netzwerksicherheitsrelevantes Verhalten sensibilisiert, z.B.:

sicherer Umgang mit WLAN, VPN und Remote-Zugriffen,
Meldung von Auffälligkeiten (z.B. Verbindungsabbrüche, Phishing),
Vermeidung von Schatten-IT und unautorisierten Geräten im Netzwerk.

Protokollierung und Überwachung

Protokollierung und Überwachung sind zentrale Elemente zur Früherkennung, Analyse und Behandlung von Sicherheitsvorfällen im Netzwerk.

Umfang der Protokollierung

Es ist festzulegen, welche Netzwerkaktivitäten protokolliert werden. Dazu gehören insbesondere:

An- und Abmeldungen sowie Zugriffe auf Netzwerkkomponenten,
Konfigurationsänderungen an Netzkomponenten und Sicherheitsgeräten,
sicherheitsrelevante Ereignisse (z.B. fehlgeschlagene Authentifizierungen, blockierte Verbindungsversuche),
relevante Verkehrs- und Statusinformationen (z.B. bei Firewalls und VPN-Gateways).

Speicherung, Zugriff und Aufbewahrung

Für Protokolldaten gelten folgende Grundsätze:

Speicherung entsprechend den organisatorischen Vorgaben (z.B. zentrale Log-Server, SIEM),
restriktive Vergabe von Zugriffsrechten auf Logdaten,
Einhaltung gesetzlicher und interner Vorgaben zu Lösch- und Aufbewahrungsfristen,
Schutz der Logs vor nachträglicher Manipulation, soweit technisch möglich.

Echtzeitüberwachung und Analyse

Soweit angemessen und technisch möglich, werden Echtzeitüberwachungs- und Korrelationsmechanismen eingesetzt, um verdächtige Aktivitäten frühzeitig zu erkennen. Protokolldaten sind regelmäßig auszuwerten, um Anomalien und Muster zu identifizieren. Bei Auffälligkeiten sind die Prozesse des Incident-Managements auszulösen.

Dokumentation

Eine aktuelle und vollständige Dokumentation des Netzwerks ist Voraussetzung für sicheren Betrieb, Fehlersuche und Notfallbewältigung.

Pflicht zur Netzwerkdokumentation

Mindestens sind zu dokumentieren:

Netzwerktopologien (physisch und logisch),
eingesetzte Komponenten und deren Konfigurationen,
Adressierungs- und VLAN-Konzepte,
wichtige Abhängigkeiten zu anderen Systemen (z.B. Rechenzentrum, Internetanbindung).

Aktualisierung und Revision von Netzwerkdokumenten

Die Dokumentation ist:

aktuell zu halten, insbesondere nach Änderungen,
in geeigneten Systemen abgelegt (z.B. Wiki, CMDB),
regelmäßig auf Vollständigkeit und Aktualität zu prüfen.

Bewertung und Verbesserung

Die Wirksamkeit der Netzwerksicherheitsmaßnahmen wird regelmäßig überprüft und verbessert.

Regelmäßige Sicherheitsaudits und -prüfungen

Es sind regelmäßige Prüfungen des Netzwerkmanagements durchzuführen, z.B.:

interne oder externe Audits,
technische Sicherheitsaudits (z.B. Konfigurationsreviews, Schwachstellenscans),
Überprüfung der Einhaltung dieser Richtlinie.

Feedback-Mechanismen und kontinuierliche Verbesserung

Rückmeldungen aus Betrieb, Projekten, Störungen und Audits werden gesammelt, bewertet und zur Verbesserung von Prozessen und technischen Maßnahmen genutzt.

Anpassung der Richtlinie an veränderte Rahmenbedingungen

Diese Richtlinie wird bei Bedarf an neue technische Entwicklungen, veränderte Bedrohungslagen und regulatorische Vorgaben angepasst.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur zulässig auf Basis eines begründeten Ausnahmeantrags im Rahmen des Ausnahmemanagements.

Revision

Diese Richtlinie wird regelmäßig, mindestens jedoch einmal pro Jahr, durch die zuständigen Regelungsverantwortlichen auf Aktualität, Wirksamkeit und Konformität geprüft und bei Bedarf angepasst. Wesentliche Änderungen sind zu dokumentieren und freizugeben.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

@@ Zeile 1: / Zeile 1: @@
-{{Vorlage:Entwurf}}
 {{#seo:
 |title=Sicherheitsrichtlinie für ein Netzwerkmanagement
 |keywords=ISMS, Netzwerkmanagement, IT-Sicherheitsrichtlinie, Netzwerksicherheit, Netz, Sicherheitsmaßnahmen, Netzwerkinfrastruktur, Informationssicherheit
-|description=Muster-Richtlinie für ein Netzwerkmanagement-System. Schutz der Netzwerkinfrastruktur vor unbefugtem Zugriff und sichere Netzwerkverfügbarkeit.
+|description=Muster-Richtlinie für ein klassisches Netzwerkmanagement-System. Schutz der Netzwerkinfrastruktur vor unbefugtem Zugriff und sichere Netzwerkverfügbarkeit.
-}}
+}}{{SHORTDESC:Sicherheitsrichtlinie für ein Netzwerkmanagement}}
 Mustervorlage: '''"Richtlinie Netzwerkmanagement"'''
 == Einleitung ==
-Diese Sicherheitsrichtlinie für Netzwerkmanagement bildet die Grundlage für die sichere und zuverlässige Verwaltung der Netzwerkinfrastruktur der Organisation. Angesichts der ständig fortschreitenden Digitalisierung ist es von essentieller Bedeutung, klare Sicherheitsrichtlinien zu etablieren. Diese Richtlinie soll sicherstellen, dass unser Netzwerk effektiv und sicher betrieben wird, um potenzielle Risiken zu minimieren und die kontinuierliche Verfügbarkeit unserer Netzwerkdienste zu gewährleisten.
+Diese Sicherheitsrichtlinie für Netzwerkmanagement bildet die Grundlage für die sichere und zuverlässige Planung, den Aufbau, den Betrieb und die Weiterentwicklung der Netzwerkinfrastruktur der Organisation. Sie stellt sicher, dass das Netzwerk effektiv und sicher betrieben wird, um potenzielle Risiken zu minimieren und die kontinuierliche Verfügbarkeit der Netzwerkdienste zu gewährleisten.
+Diese Richtlinie ist Bestandteil des Informationssicherheits-Managementsystems (ISMS) der Organisation und konkretisiert insbesondere die Vorgaben der übergeordneten Sicherheitsrichtlinien sowie der [[RiLi-Servermanagement|Richtlinie zum Server-Management]] und der [[RiLi-Clientmanagement|Richtlinie zum Client-Management]]. Aspekte eines Zero-Trust-Ansatzes werden in der gesonderten [[RiLi-Netzwerkmanagement_(ZT)|Richtlinie Netzwerkmanagement (Zero Trust)]] behandelt und sind nicht Gegenstand dieses Dokuments.
 == Geltungsbereich ==
-Diese Richtlinie gilt für sämtliche Netzwerkressourcen und -aktivitäten innerhalb unserer Organisation. Sie ist bindend für alle Mitarbeitenden, Dienstleister und Partner, die für die Verwaltung und Nutzung unserer Netzwerkinfrastruktur verantwortlich sind. Jegliche Ausnahmen von dieser Richtlinie erfordern eine Ausnahme im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]].
+Diese Richtlinie gilt für sämtliche Netzwerkressourcen, Netzwerkdienste und Netzwerkaktivitäten innerhalb der Organisation. Hierzu zählen insbesondere:
-== Zielsetzung ==
+* aktive und passive Netzkomponenten (z.B. Router, Switches, Firewalls, WLAN-Infrastruktur),
-Die Zielsetzung dieser IT-Sicherheitsrichtlinie für Netzwerkmanagement umfasst:
+* logische Netzstrukturen (z.B. VLANs, Subnetze, Routing-Domänen, VPN),
+* Management- und Überwachungssysteme für das Netzwerk,
+* alle Personen, die das Netzwerk planen, betreiben, administrieren oder nutzen.
-* '''Gewährleistung der Netzwerksicherheit:''' Schutz vor unbefugtem Zugriff, Datenmanipulation und anderen Sicherheitsbedrohungen.
+Die Richtlinie ist bindend für alle Mitarbeitenden, Dienstleistende und Partner, die Netzwerkinfrastruktur planen, bereitstellen, administrieren oder nutzen. Ausnahmen von dieser Richtlinie sind nur zulässig auf Basis eines begründeten und freigegebenen Ausnahmeantrags gemäß [[RiLi-Ausnahmemanagement|Richtlinie Ausnahmemanagement]].
-* '''Gewährleistung der Netzwerkverfügbarkeit:''' Sicherstellung eines stabilen und kontinuierlichen Betriebs unserer Netzwerkinfrastruktur.
-* '''Einhaltung gesetzlicher und regulatorischer Anforderungen:''' Umsetzung von Sicherheitsmaßnahmen, die den relevanten Vorschriften entsprechen.
-* '''Sensibilisierung und Schulung:''' Schulung aller Mitarbeitenden für sicherheitsrelevante Aspekte im Umgang mit Netzwerkinfrastruktur.
-* '''Kontinuierliche Verbesserung:''' Regelmäßige Evaluierung und Anpassung der Sicherheitsmaßnahmen entsprechend aktueller Bedrohungsszenarien.
-Diese Zielsetzung soll sicherstellen, dass unser Netzwerk effizient betrieben wird und gleichzeitig einem hohen Standard in Bezug auf Informationssicherheit genügt.
+== Zielsetzung ==
+Ziel dieser Richtlinie ist es, einen sicheren, stabilen und nachvollziehbar gesteuerten Betrieb der Netzwerkinfrastruktur sicherzustellen. Insbesondere sollen:
-== Gesetzliche Rahmenbedingungen ==
+* '''Netzwerksicherheit''' gewährleistet werden (Schutz vor unbefugtem Zugriff, Datenmanipulation, Missbrauch und sonstigen Sicherheitsbedrohungen),
-''Die genaue Anwendbarkeit dieser Gesetze und Standards hängt von der Art des Geschäfts, dem Standort und anderen faktorspezifischen Bedingungen ab. Organisationen sollten ihre spezifischen Compliance-Anforderungen evaluieren und sicherstellen, dass ihre Servermanagementpraktiken diesen Anforderungen entsprechen. Hier einige Beispiele:''
+* '''Netzwerkverfügbarkeit''' sichergestellt werden (stabiler, leistungsfähiger und skalierbarer Betrieb der Netzwerke),
+* '''Gesetzliche, regulatorische und vertragliche Anforderungen''' eingehalten werden (z.B. Datenschutz, branchenspezifische Vorgaben),
+* '''Rollen und Verantwortlichkeiten''' im Netzwerkmanagement klar definiert und gelebt werden,
+* '''Sensibilisierung und Schulung''' für alle beteiligten Rollen etabliert werden,
+* eine '''kontinuierliche Verbesserung''' der Netzwerksicherheit und -stabilität sichergestellt werden.
-===== Datenschutzgrundverordnung (DSGVO) =====
+== Gesetzliche und regulatorische Rahmenbedingungen ==
+Die Organisation stellt sicher, dass das Netzwerkmanagement im Einklang mit den jeweils relevanten gesetzlichen und regulatorischen Vorgaben erfolgt. Die konkrete Anwendbarkeit hängt von Branche, Standort, Kundenanforderungen und weiteren Faktoren ab. Beispiele für relevante Regelwerke sind insbesondere:
-* EU-weite Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
+* '''Datenschutzgrundverordnung (DSGVO)''' und ggf. nationale Datenschutzgesetze (z.B. BDSG),
-* Stellt Anforderungen an die Verarbeitung personenbezogener Daten, einschließlich Sicherheitsmaßnahmen.
+* '''IT-Sicherheitsrecht''' und branchenspezifische Sicherheitsanforderungen (z.B. KRITIS, NIS2, branchenspezifische Sicherheitsstandards),
+* '''Telekommunikations- und Telemedienrecht''' soweit einschlägig,
+* '''Vertragliche Sicherheitsanforderungen''' von Kundschaft, Partnern und Liefernden.
-===== Bundesdatenschutzgesetz (BDSG) =====
+Konkrete Compliance-Anforderungen werden in den entsprechenden Datenschutz- und Compliance-Richtlinien der Organisation geregelt und sind bei Planung, Betrieb und Änderung der Netzwerkinfrastruktur zu berücksichtigen.
-* Deutsches Gesetz, das die DSGVO in Deutschland ergänzt und nationale Besonderheiten regelt.
+== Verantwortliche ==
-* Gibt zusätzliche Bestimmungen für den Datenschutz in Deutschland vor.
+Für das Netzwerkmanagement werden folgende Rollen und Verantwortlichkeiten definiert:
-===== IT-Sicherheitsgesetz (IT-SiG) =====
+* '''Netzwerkverantwortliche / Netzwerkbetrieb''': Gesamtverantwortung für Planung, Aufbau, Betrieb und Weiterentwicklung der Netzwerkinfrastruktur.
+* '''Netzwerkadministration''': Technische Umsetzung der Vorgaben, Durchführung von Konfigurationen, Wartungs- und Betriebsmaßnahmen.
+* '''Informationssicherheitsbeauftragte''' (ISB): Beratung und Kontrolle hinsichtlich Informationssicherheit, Bewertung von Risiken und Maßnahmen im Netzwerk.
+* '''Datenschutzbeauftragte''' (sofern bestellt): Beratung zu datenschutzrechtlichen Anforderungen (z.B. Protokollierung, Inhaltsdaten, Löschfristen).
+* '''Fachbereiche / Systemverantwortliche''': Formulierung fachlicher Anforderungen an Netzverfügbarkeit, Bandbreite, Zugriffswege und Segmentierung.
+* '''Leitungsebene''': Freigabe dieser Richtlinie, Entscheidung über grundlegende Änderungen an Netzwerkstrategie und -architektur.
-* In Deutschland regelt das IT-SiG die Sicherheit von informationstechnischen Systemen in sogenannten "kritischen Infrastrukturen".
+Die konkrete Zuordnung von Personen zu diesen Rollen ist organisationsspezifisch zu regeln und zu dokumentieren. Vertretungsregelungen sind sicherzustellen.
-* Verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung von angemessenen Sicherheitsmaßnahmen.
-===== Telekommunikationsgesetz (TKG) =====
+== Grundlegende Prinzipien ==
+Die folgenden Grundprinzipien bilden die Basis für alle Maßnahmen des Netzwerkmanagements:
-* Regelungen für den Schutz von Telekommunikationsdaten in Deutschland.
+* Das Netzwerk wird nach dem Prinzip der '''minimierten Angriffsfläche''' geplant, implementiert und betrieben.
-* Enthält Bestimmungen zur Sicherheit von Netzen und Diensten.
+* Der Zugriff auf Netzressourcen erfolgt nach dem '''Need-to-Know-''' und '''Least-Privilege-Prinzip'''.
+* Änderungen an der Netzwerkinfrastruktur unterliegen definierten '''Change-Management-Prozessen'''.
+* Sicherheitsvorfälle und Störungen werden nach den organisatorischen Regelungen zum '''Incident-''' und '''Notfallmanagement''' behandelt.
+* Protokollierung und Überwachung dienen der Früherkennung von Bedrohungen und der forensischen Nachvollziehbarkeit, unter Beachtung geltender Datenschutzvorgaben.
-===== EU-NIS-Richtlinie (Network and Information Systems Directive) =====
+== Netzwerkarchitektur und Design ==
+Die Netzwerkarchitektur bildet die Grundlage für Sicherheit, Stabilität und Skalierbarkeit der Netze.
-* Europäische Richtlinie zur Gewährleistung der Cybersicherheit.
+=== Aufbau und Struktur des Unternehmensnetzwerks ===
-* Stellt Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter.
+Die Organisation definiert eine nachvollziehbare und dokumentierte Netzwerkarchitektur. Dazu gehört insbesondere:
-===== PCI DSS (Payment Card Industry Data Security Standard) =====
+* eine logische und physische Strukturierung (z.B. Core, Distribution, Access, Rechenzentrum, Standorte),
+* eine klare Trennung von Management-, Server-, Client-, Gast- und ggf. Produktionsnetzen,
+* die Definition von Routing- und Adressierungskonzepten (z.B. IPv4/IPv6, Subnetze, VLANs).
-* Sicherheitsstandard für Unternehmen, die Kreditkartentransaktionen verarbeiten.
+=== Segmentierung und Isolierung von Netzwerkbereichen ===
-* Legt Sicherheitsanforderungen für den Schutz von Kreditkartendaten fest.
+Das Netzwerk ist so zu segmentieren, dass sicherheits- und betriebsrelevante Bereiche angemessen voneinander isoliert sind. Dies umfasst z.B.:
-==Verantwortliche ==
-== Netzwerkarchitektur und -konfiguration ==
+* Trennung von internen Netzen mit unterschiedlichen Schutzbedarfen,
+* gesonderte Zonen für DMZ, externe Anbindungen und besonders kritische Systeme,
+* Steuerung von Verbindungen zwischen Segmenten über definierte Übergabepunkte (z.B. Firewalls, Router).
-== Grundlegende Prinzipien ==
+=== Einsatz von Firewalls und Sicherheitskomponenten ===
+An Übergängen zwischen Netzsegmenten sowie an der Grenze zum Internet oder anderen externen Netzen werden geeignete Sicherheitskomponenten eingesetzt (z.B. Firewalls, Web- und Mail-Security-Gateways, IDS/IPS). Für Firewalls und vergleichbare Komponenten gelten insbesondere:
-=== Sicherheitsprinzipien für das Netzwerkmanagement ===
+* Konfiguration nach dem Prinzip '''„Verbot mit Erlaubnisvorbehalt“''' (Default Deny, nur explizit erlaubte Verbindungen),
+* regelmäßige Überprüfung der Regelwerke,
-=== Prinzipien der Datenintegrität, Vertraulichkeit und Verfügbarkeit ===
+* Protokollierung sicherheitsrelevanter Ereignisse,
+* Zugriff auf Managementfunktionen nur über abgesicherte Management-Netze.
-=== Risikobewertung und -management im Netzwerk ===
 == Netzwerksicherheit ==
+Netzwerksicherheit umfasst alle technischen und organisatorischen Maßnahmen zum Schutz des Netzwerks vor unbefugtem Zugriff, Missbrauch und Störungen.
 === Zugriffskontrolle und Authentifizierung ===
+Der Zugriff auf Netzwerkressourcen und Netzwerkmanagementfunktionen ist angemessen abzusichern. Dies beinhaltet insbesondere:
-=== Verschlüsselungstechniken für Netzwerkkommunikation ===
+* Authentifizierung von Benutzenden und Systemen mit angemessenen Verfahren (z.B. zentrale Identity-Management-Systeme, starke Authentisierung für Administrationszugriffe),
+* Vergabe von Zugriffsrechten nach dem Least-Privilege-Prinzip,
+* Nutzung gesicherter Protokolle für Managementzugriffe (z.B. SSH statt Telnet, HTTPS statt HTTP).
-=== Schutz vor Netzwerkbedrohungen ===
+=== Verschlüsselung der Netzwerkkommunikation ===
+Sensible oder vertrauliche Daten sind auf geeigneten Kommunikationswegen verschlüsselt zu übertragen, insbesondere:
-=== Überwachung und Protokollierung ===
+* bei Nutzung unsicherer oder fremdkontrollierter Netze (z.B. Internet, öffentliche WLANs),
+* bei Fernzugriffen auf interne Systeme (z.B. über VPN),
+* bei der Übertragung personenbezogener oder besonders schützenswerter Informationen.
-== Netzwerkarchitektur und Design ==
+=== Schutz vor Netzwerkbedrohungen ===
+Zum Schutz vor typischen Netzwerkbedrohungen werden u.a. folgende Maßnahmen ergriffen:
-=== Aufbau und Struktur des Unternehmensnetzwerks ===
-=== Segmentierung und Isolierung von Netzwerkbereichen ===
-=== Einsatz von Firewalls und Intrusion Detection/Prevention Systems (IDS/IPS) ===
+* Einsatz und regelmäßige Aktualisierung von Sicherheitsfunktionen (z.B. Firewalls, IDS/IPS, Web-Filter),
+* Nutzung von sicheren Konfigurationen für Netzwerkkomponenten,
+* regelmäßige Schwachstellenanalysen und Sicherheitsaudits im Netzwerkumfeld,
+* Berücksichtigung der Ergebnisse von CERT-/CSIRT-Meldungen und Hersteller-Hinweisen.
 == Netzwerkadministration und Wartung ==
+Eine geordnete und nachvollziehbare Netzwerkadministration und Wartung ist Voraussetzung für einen sicheren Betrieb.
 === Autorisierung von Netzwerkadministratoren ===
+Administrative Berechtigungen für Netzkomponenten werden nur an autorisierte Personen vergeben. Dabei gelten insbesondere:
+* klare Rollen- und Rechtekonzepte für Netzwerkadministration,
+* Trennung von administrativen und „normalen“ Benutzerkonten,
+* regelmäßige Überprüfung der administrativen Berechtigungen,
+* Nutzung starker Authentisierung für administrative Zugriffe.
 === Wartungsprozesse und -verfahren ===
+Wartungsarbeiten an Netzwerkkomponenten (z.B. Konfigurationsänderungen, Austausch von Hardware, Firmware-Updates) erfolgen:
+* nach definierten Prozessen (inkl. Planung, Tests, Dokumentation),
+* nach Möglichkeit innerhalb vereinbarter Wartungsfenster,
+* in Abstimmung mit betroffenen Fachbereichen bei erwarteten Auswirkungen auf den Betrieb.
 === Software- und Firmware-Management ===
+Für Software und Firmware von Netzkomponenten gelten:
+* Nutzung nur freigegebener und vertrauenswürdiger Versionen,
+* regelmäßige Prüfung auf Sicherheitsupdates und Bugfixes,
+* zeitnahe Umsetzung sicherheitsrelevanter Updates nach Risikobewertung,
+* dokumentierte Nachweise über durchgeführte Updates.
 == Notfallvorsorge im Netzwerk ==
+Die Organisation bereitet sich auf Ausfälle oder Sicherheitsvorfälle im Netzwerk vor, um Auswirkungen zu minimieren.
 === Erstellung von Notfallplänen für Netzwerkausfälle ===
+Für relevante Netzwerkszenarien (z.B. Ausfall zentraler Switches, Firewall-Defekt, großflächige Störung eines externen Providers) sind Notfallpläne zu erstellen, zu dokumentieren und regelmäßig zu überprüfen.
 === Sofortmaßnahmen und Wiederherstellungsverfahren ===
+Es sind Verfahren zu definieren, die im Störungs- oder Notfallfall eine schnelle Eingrenzung und Wiederherstellung ermöglichen, z.B.:
+* Isolierung betroffener Netzbereiche,
+* Umschaltung auf Redundanzen oder Ausweichwege,
+* Wiederherstellung von Konfigurationen aus gesicherten Ständen.
 === Kommunikationsstrategien im Notfall ===
+Für Störungen und Notfälle im Netzwerk sind Kommunikationswege und -pflichten festzulegen, z.B.:
+* Information von Service-Desk, Fachbereichen und ggf. Management,
+* Nutzung zentraler Kommunikationskanäle (z.B. Statusseiten, Ticketsystem),
+* Schnittstelle zum Incident- und Notfallmanagement der Organisation.
 == Schulung und Sensibilisierung ==
+Mitarbeitende, die mit Planung, Betrieb oder Nutzung der Netze befasst sind, werden angemessen geschult und sensibilisiert.
+=== Schulungsprogramme für Netzwerkadministration ===
+Netzwerkadministrierende erhalten regelmäßige Schulungen zu:
+* eingesetzter Netzwerktechnik und Managementwerkzeugen,
+* aktuellen Sicherheitsanforderungen und Best Practices,
+* Prozessen im Netzwerkmanagement (Change, Incident, Notfall).
-=== Schulungsprogramme für Netzwerkadministratoren ===
+=== Sensibilisierung der Belegschaft für Netzwerksicherheit ===
+Die Belegschaft wird für netzwerksicherheitsrelevantes Verhalten sensibilisiert, z.B.:
-=== Sensibilisierung der gesamten Belegschaft für Netzwerksicherheit ===
+* sicherer Umgang mit WLAN, VPN und Remote-Zugriffen,
+* Meldung von Auffälligkeiten (z.B. Verbindungsabbrüche, Phishing),
+* Vermeidung von Schatten-IT und unautorisierten Geräten im Netzwerk.
+== Protokollierung und Überwachung ==
+Protokollierung und Überwachung sind zentrale Elemente zur Früherkennung, Analyse und Behandlung von Sicherheitsvorfällen im Netzwerk.
+=== Umfang der Protokollierung ===
+Es ist festzulegen, welche Netzwerkaktivitäten protokolliert werden. Dazu gehören insbesondere:
+* An- und Abmeldungen sowie Zugriffe auf Netzwerkkomponenten,
+* Konfigurationsänderungen an Netzkomponenten und Sicherheitsgeräten,
+* sicherheitsrelevante Ereignisse (z.B. fehlgeschlagene Authentifizierungen, blockierte Verbindungsversuche),
+* relevante Verkehrs- und Statusinformationen (z.B. bei Firewalls und VPN-Gateways).
+=== Speicherung, Zugriff und Aufbewahrung ===
+Für Protokolldaten gelten folgende Grundsätze:
+* Speicherung entsprechend den organisatorischen Vorgaben (z.B. zentrale Log-Server, SIEM),
+* restriktive Vergabe von Zugriffsrechten auf Logdaten,
+* Einhaltung gesetzlicher und interner Vorgaben zu Lösch- und Aufbewahrungsfristen,
+* Schutz der Logs vor nachträglicher Manipulation, soweit technisch möglich.
+=== Echtzeitüberwachung und Analyse ===
+Soweit angemessen und technisch möglich, werden Echtzeitüberwachungs- und Korrelationsmechanismen eingesetzt, um verdächtige Aktivitäten frühzeitig zu erkennen. Protokolldaten sind regelmäßig auszuwerten, um Anomalien und Muster zu identifizieren. Bei Auffälligkeiten sind die Prozesse des Incident-Managements auszulösen.
 == Dokumentation ==
+Eine aktuelle und vollständige Dokumentation des Netzwerks ist Voraussetzung für sicheren Betrieb, Fehlersuche und Notfallbewältigung.
 === Pflicht zur Netzwerkdokumentation ===
+Mindestens sind zu dokumentieren:
+* Netzwerktopologien (physisch und logisch),
+* eingesetzte Komponenten und deren Konfigurationen,
+* Adressierungs- und VLAN-Konzepte,
+* wichtige Abhängigkeiten zu anderen Systemen (z.B. Rechenzentrum, Internetanbindung).
 === Aktualisierung und Revision von Netzwerkdokumenten ===
+Die Dokumentation ist:
-=== Protokollierung von Netzwerkaktivitäten ===
+* aktuell zu halten, insbesondere nach Änderungen,
+* in geeigneten Systemen abgelegt (z.B. Wiki, CMDB),
+* regelmäßig auf Vollständigkeit und Aktualität zu prüfen.
 == Bewertung und Verbesserung ==
+Die Wirksamkeit der Netzwerksicherheitsmaßnahmen wird regelmäßig überprüft und verbessert.
 === Regelmäßige Sicherheitsaudits und -prüfungen ===
+Es sind regelmäßige Prüfungen des Netzwerkmanagements durchzuführen, z.B.:
+* interne oder externe Audits,
+* technische Sicherheitsaudits (z.B. Konfigurationsreviews, Schwachstellenscans),
+* Überprüfung der Einhaltung dieser Richtlinie.
 === Feedback-Mechanismen und kontinuierliche Verbesserung ===
+Rückmeldungen aus Betrieb, Projekten, Störungen und Audits werden gesammelt, bewertet und zur Verbesserung von Prozessen und technischen Maßnahmen genutzt.
-=== Anpassung der Richtlinie an sich wandelnde Bedrohungslandschaften ===
+=== Anpassung der Richtlinie an veränderte Rahmenbedingungen ===
+Diese Richtlinie wird bei Bedarf an neue technische Entwicklungen, veränderte Bedrohungslagen und regulatorische Vorgaben angepasst.
 == Schlussbemerkung ==
 === Behandlung von Ausnahmen ===
-Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
+Ausnahmen von den Regelungen dieser Richtlinie sind nur zulässig auf Basis eines begründeten Ausnahmeantrags im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]].
 === Revision ===
-Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
+Diese Richtlinie wird regelmäßig, mindestens jedoch einmal pro Jahr, durch die zuständigen Regelungsverantwortlichen auf Aktualität, Wirksamkeit und Konformität geprüft und bei Bedarf angepasst. Wesentliche Änderungen sind zu dokumentieren und freizugeben.
 == Inkrafttreten ==
@@ Zeile 141: / Zeile 247: @@
 Unterschrift, Name der Leitung
 [[Kategorie:Mustervorlage]]
 [[Kategorie:Richtlinie]]
-[[Kategorie:Entwurf]]