RiLi-Netzwerkmanagement

Aus ISMS-Ratgeber WiKi
Version vom 8. Mai 2026, 13:42 Uhr von Dirk (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie Netzwerkmanagement"

Einleitung

Diese Sicherheitsrichtlinie für Netzwerkmanagement bildet die Grundlage für die sichere und zuverlässige Planung, den Aufbau, den Betrieb und die Weiterentwicklung der Netzwerkinfrastruktur der Organisation. Sie stellt sicher, dass das Netzwerk effektiv und sicher betrieben wird, um potenzielle Risiken zu minimieren und die kontinuierliche Verfügbarkeit der Netzwerkdienste zu gewährleisten.

Diese Richtlinie ist Bestandteil des Informationssicherheits-Managementsystems (ISMS) der Organisation und konkretisiert insbesondere die Vorgaben der übergeordneten Sicherheitsrichtlinien sowie der Richtlinie zum Server-Management und der Richtlinie zum Client-Management. Aspekte eines Zero-Trust-Ansatzes werden in der gesonderten Richtlinie Netzwerkmanagement (Zero Trust) behandelt und sind nicht Gegenstand dieses Dokuments.

Geltungsbereich

Diese Richtlinie gilt für sämtliche Netzwerkressourcen, Netzwerkdienste und Netzwerkaktivitäten innerhalb der Organisation. Hierzu zählen insbesondere:

  • aktive und passive Netzkomponenten (z.B. Router, Switches, Firewalls, WLAN-Infrastruktur),
  • logische Netzstrukturen (z.B. VLANs, Subnetze, Routing-Domänen, VPN),
  • Management- und Überwachungssysteme für das Netzwerk,
  • alle Personen, die das Netzwerk planen, betreiben, administrieren oder nutzen.

Die Richtlinie ist bindend für alle Mitarbeitenden, Dienstleistende und Partner, die Netzwerkinfrastruktur planen, bereitstellen, administrieren oder nutzen. Ausnahmen von dieser Richtlinie sind nur zulässig auf Basis eines begründeten und freigegebenen Ausnahmeantrags gemäß Richtlinie Ausnahmemanagement.

Zielsetzung

Ziel dieser Richtlinie ist es, einen sicheren, stabilen und nachvollziehbar gesteuerten Betrieb der Netzwerkinfrastruktur sicherzustellen. Insbesondere sollen:

  • Netzwerksicherheit gewährleistet werden (Schutz vor unbefugtem Zugriff, Datenmanipulation, Missbrauch und sonstigen Sicherheitsbedrohungen),
  • Netzwerkverfügbarkeit sichergestellt werden (stabiler, leistungsfähiger und skalierbarer Betrieb der Netzwerke),
  • Gesetzliche, regulatorische und vertragliche Anforderungen eingehalten werden (z.B. Datenschutz, branchenspezifische Vorgaben),
  • Rollen und Verantwortlichkeiten im Netzwerkmanagement klar definiert und gelebt werden,
  • Sensibilisierung und Schulung für alle beteiligten Rollen etabliert werden,
  • eine kontinuierliche Verbesserung der Netzwerksicherheit und -stabilität sichergestellt werden.

Gesetzliche und regulatorische Rahmenbedingungen

Die Organisation stellt sicher, dass das Netzwerkmanagement im Einklang mit den jeweils relevanten gesetzlichen und regulatorischen Vorgaben erfolgt. Die konkrete Anwendbarkeit hängt von Branche, Standort, Kundenanforderungen und weiteren Faktoren ab. Beispiele für relevante Regelwerke sind insbesondere:

  • Datenschutzgrundverordnung (DSGVO) und ggf. nationale Datenschutzgesetze (z.B. BDSG),
  • IT-Sicherheitsrecht und branchenspezifische Sicherheitsanforderungen (z.B. KRITIS, NIS2, branchenspezifische Sicherheitsstandards),
  • Telekommunikations- und Telemedienrecht soweit einschlägig,
  • Vertragliche Sicherheitsanforderungen von Kundschaft, Partnern und Liefernden.

Konkrete Compliance-Anforderungen werden in den entsprechenden Datenschutz- und Compliance-Richtlinien der Organisation geregelt und sind bei Planung, Betrieb und Änderung der Netzwerkinfrastruktur zu berücksichtigen.

Verantwortliche

Für das Netzwerkmanagement werden folgende Rollen und Verantwortlichkeiten definiert:

  • Netzwerkverantwortliche / Netzwerkbetrieb: Gesamtverantwortung für Planung, Aufbau, Betrieb und Weiterentwicklung der Netzwerkinfrastruktur.
  • Netzwerkadministration: Technische Umsetzung der Vorgaben, Durchführung von Konfigurationen, Wartungs- und Betriebsmaßnahmen.
  • Informationssicherheitsbeauftragte (ISB): Beratung und Kontrolle hinsichtlich Informationssicherheit, Bewertung von Risiken und Maßnahmen im Netzwerk.
  • Datenschutzbeauftragte (sofern bestellt): Beratung zu datenschutzrechtlichen Anforderungen (z.B. Protokollierung, Inhaltsdaten, Löschfristen).
  • Fachbereiche / Systemverantwortliche: Formulierung fachlicher Anforderungen an Netzverfügbarkeit, Bandbreite, Zugriffswege und Segmentierung.
  • Leitungsebene: Freigabe dieser Richtlinie, Entscheidung über grundlegende Änderungen an Netzwerkstrategie und -architektur.

Die konkrete Zuordnung von Personen zu diesen Rollen ist organisationsspezifisch zu regeln und zu dokumentieren. Vertretungsregelungen sind sicherzustellen.

Grundlegende Prinzipien

Die folgenden Grundprinzipien bilden die Basis für alle Maßnahmen des Netzwerkmanagements:

  • Das Netzwerk wird nach dem Prinzip der minimierten Angriffsfläche geplant, implementiert und betrieben.
  • Der Zugriff auf Netzressourcen erfolgt nach dem Need-to-Know- und Least-Privilege-Prinzip.
  • Änderungen an der Netzwerkinfrastruktur unterliegen definierten Change-Management-Prozessen.
  • Sicherheitsvorfälle und Störungen werden nach den organisatorischen Regelungen zum Incident- und Notfallmanagement behandelt.
  • Protokollierung und Überwachung dienen der Früherkennung von Bedrohungen und der forensischen Nachvollziehbarkeit, unter Beachtung geltender Datenschutzvorgaben.

Netzwerkarchitektur und Design

Die Netzwerkarchitektur bildet die Grundlage für Sicherheit, Stabilität und Skalierbarkeit der Netze.

Aufbau und Struktur des Unternehmensnetzwerks

Die Organisation definiert eine nachvollziehbare und dokumentierte Netzwerkarchitektur. Dazu gehört insbesondere:

  • eine logische und physische Strukturierung (z.B. Core, Distribution, Access, Rechenzentrum, Standorte),
  • eine klare Trennung von Management-, Server-, Client-, Gast- und ggf. Produktionsnetzen,
  • die Definition von Routing- und Adressierungskonzepten (z.B. IPv4/IPv6, Subnetze, VLANs).

Segmentierung und Isolierung von Netzwerkbereichen

Das Netzwerk ist so zu segmentieren, dass sicherheits- und betriebsrelevante Bereiche angemessen voneinander isoliert sind. Dies umfasst z.B.:

  • Trennung von internen Netzen mit unterschiedlichen Schutzbedarfen,
  • gesonderte Zonen für DMZ, externe Anbindungen und besonders kritische Systeme,
  • Steuerung von Verbindungen zwischen Segmenten über definierte Übergabepunkte (z.B. Firewalls, Router).

Einsatz von Firewalls und Sicherheitskomponenten

An Übergängen zwischen Netzsegmenten sowie an der Grenze zum Internet oder anderen externen Netzen werden geeignete Sicherheitskomponenten eingesetzt (z.B. Firewalls, Web- und Mail-Security-Gateways, IDS/IPS). Für Firewalls und vergleichbare Komponenten gelten insbesondere:

  • Konfiguration nach dem Prinzip „Verbot mit Erlaubnisvorbehalt“ (Default Deny, nur explizit erlaubte Verbindungen),
  • regelmäßige Überprüfung der Regelwerke,
  • Protokollierung sicherheitsrelevanter Ereignisse,
  • Zugriff auf Managementfunktionen nur über abgesicherte Management-Netze.

Netzwerksicherheit

Netzwerksicherheit umfasst alle technischen und organisatorischen Maßnahmen zum Schutz des Netzwerks vor unbefugtem Zugriff, Missbrauch und Störungen.

Zugriffskontrolle und Authentifizierung

Der Zugriff auf Netzwerkressourcen und Netzwerkmanagementfunktionen ist angemessen abzusichern. Dies beinhaltet insbesondere:

  • Authentifizierung von Benutzenden und Systemen mit angemessenen Verfahren (z.B. zentrale Identity-Management-Systeme, starke Authentisierung für Administrationszugriffe),
  • Vergabe von Zugriffsrechten nach dem Least-Privilege-Prinzip,
  • Nutzung gesicherter Protokolle für Managementzugriffe (z.B. SSH statt Telnet, HTTPS statt HTTP).

Verschlüsselung der Netzwerkkommunikation

Sensible oder vertrauliche Daten sind auf geeigneten Kommunikationswegen verschlüsselt zu übertragen, insbesondere:

  • bei Nutzung unsicherer oder fremdkontrollierter Netze (z.B. Internet, öffentliche WLANs),
  • bei Fernzugriffen auf interne Systeme (z.B. über VPN),
  • bei der Übertragung personenbezogener oder besonders schützenswerter Informationen.

Schutz vor Netzwerkbedrohungen

Zum Schutz vor typischen Netzwerkbedrohungen werden u.a. folgende Maßnahmen ergriffen:

  • Einsatz und regelmäßige Aktualisierung von Sicherheitsfunktionen (z.B. Firewalls, IDS/IPS, Web-Filter),
  • Nutzung von sicheren Konfigurationen für Netzwerkkomponenten,
  • regelmäßige Schwachstellenanalysen und Sicherheitsaudits im Netzwerkumfeld,
  • Berücksichtigung der Ergebnisse von CERT-/CSIRT-Meldungen und Hersteller-Hinweisen.

Netzwerkadministration und Wartung

Eine geordnete und nachvollziehbare Netzwerkadministration und Wartung ist Voraussetzung für einen sicheren Betrieb.

Autorisierung von Netzwerkadministratoren

Administrative Berechtigungen für Netzkomponenten werden nur an autorisierte Personen vergeben. Dabei gelten insbesondere:

  • klare Rollen- und Rechtekonzepte für Netzwerkadministration,
  • Trennung von administrativen und „normalen“ Benutzerkonten,
  • regelmäßige Überprüfung der administrativen Berechtigungen,
  • Nutzung starker Authentisierung für administrative Zugriffe.

Wartungsprozesse und -verfahren

Wartungsarbeiten an Netzwerkkomponenten (z.B. Konfigurationsänderungen, Austausch von Hardware, Firmware-Updates) erfolgen:

  • nach definierten Prozessen (inkl. Planung, Tests, Dokumentation),
  • nach Möglichkeit innerhalb vereinbarter Wartungsfenster,
  • in Abstimmung mit betroffenen Fachbereichen bei erwarteten Auswirkungen auf den Betrieb.

Software- und Firmware-Management

Für Software und Firmware von Netzkomponenten gelten:

  • Nutzung nur freigegebener und vertrauenswürdiger Versionen,
  • regelmäßige Prüfung auf Sicherheitsupdates und Bugfixes,
  • zeitnahe Umsetzung sicherheitsrelevanter Updates nach Risikobewertung,
  • dokumentierte Nachweise über durchgeführte Updates.

Notfallvorsorge im Netzwerk

Die Organisation bereitet sich auf Ausfälle oder Sicherheitsvorfälle im Netzwerk vor, um Auswirkungen zu minimieren.

Erstellung von Notfallplänen für Netzwerkausfälle

Für relevante Netzwerkszenarien (z.B. Ausfall zentraler Switches, Firewall-Defekt, großflächige Störung eines externen Providers) sind Notfallpläne zu erstellen, zu dokumentieren und regelmäßig zu überprüfen.

Sofortmaßnahmen und Wiederherstellungsverfahren

Es sind Verfahren zu definieren, die im Störungs- oder Notfallfall eine schnelle Eingrenzung und Wiederherstellung ermöglichen, z.B.:

  • Isolierung betroffener Netzbereiche,
  • Umschaltung auf Redundanzen oder Ausweichwege,
  • Wiederherstellung von Konfigurationen aus gesicherten Ständen.

Kommunikationsstrategien im Notfall

Für Störungen und Notfälle im Netzwerk sind Kommunikationswege und -pflichten festzulegen, z.B.:

  • Information von Service-Desk, Fachbereichen und ggf. Management,
  • Nutzung zentraler Kommunikationskanäle (z.B. Statusseiten, Ticketsystem),
  • Schnittstelle zum Incident- und Notfallmanagement der Organisation.

Schulung und Sensibilisierung

Mitarbeitende, die mit Planung, Betrieb oder Nutzung der Netze befasst sind, werden angemessen geschult und sensibilisiert.

Schulungsprogramme für Netzwerkadministration

Netzwerkadministrierende erhalten regelmäßige Schulungen zu:

  • eingesetzter Netzwerktechnik und Managementwerkzeugen,
  • aktuellen Sicherheitsanforderungen und Best Practices,
  • Prozessen im Netzwerkmanagement (Change, Incident, Notfall).

Sensibilisierung der Belegschaft für Netzwerksicherheit

Die Belegschaft wird für netzwerksicherheitsrelevantes Verhalten sensibilisiert, z.B.:

  • sicherer Umgang mit WLAN, VPN und Remote-Zugriffen,
  • Meldung von Auffälligkeiten (z.B. Verbindungsabbrüche, Phishing),
  • Vermeidung von Schatten-IT und unautorisierten Geräten im Netzwerk.

Protokollierung und Überwachung

Protokollierung und Überwachung sind zentrale Elemente zur Früherkennung, Analyse und Behandlung von Sicherheitsvorfällen im Netzwerk.

Umfang der Protokollierung

Es ist festzulegen, welche Netzwerkaktivitäten protokolliert werden. Dazu gehören insbesondere:

  • An- und Abmeldungen sowie Zugriffe auf Netzwerkkomponenten,
  • Konfigurationsänderungen an Netzkomponenten und Sicherheitsgeräten,
  • sicherheitsrelevante Ereignisse (z.B. fehlgeschlagene Authentifizierungen, blockierte Verbindungsversuche),
  • relevante Verkehrs- und Statusinformationen (z.B. bei Firewalls und VPN-Gateways).

Speicherung, Zugriff und Aufbewahrung

Für Protokolldaten gelten folgende Grundsätze:

  • Speicherung entsprechend den organisatorischen Vorgaben (z.B. zentrale Log-Server, SIEM),
  • restriktive Vergabe von Zugriffsrechten auf Logdaten,
  • Einhaltung gesetzlicher und interner Vorgaben zu Lösch- und Aufbewahrungsfristen,
  • Schutz der Logs vor nachträglicher Manipulation, soweit technisch möglich.

Echtzeitüberwachung und Analyse

Soweit angemessen und technisch möglich, werden Echtzeitüberwachungs- und Korrelationsmechanismen eingesetzt, um verdächtige Aktivitäten frühzeitig zu erkennen. Protokolldaten sind regelmäßig auszuwerten, um Anomalien und Muster zu identifizieren. Bei Auffälligkeiten sind die Prozesse des Incident-Managements auszulösen.

Dokumentation

Eine aktuelle und vollständige Dokumentation des Netzwerks ist Voraussetzung für sicheren Betrieb, Fehlersuche und Notfallbewältigung.

Pflicht zur Netzwerkdokumentation

Mindestens sind zu dokumentieren:

  • Netzwerktopologien (physisch und logisch),
  • eingesetzte Komponenten und deren Konfigurationen,
  • Adressierungs- und VLAN-Konzepte,
  • wichtige Abhängigkeiten zu anderen Systemen (z.B. Rechenzentrum, Internetanbindung).

Aktualisierung und Revision von Netzwerkdokumenten

Die Dokumentation ist:

  • aktuell zu halten, insbesondere nach Änderungen,
  • in geeigneten Systemen abgelegt (z.B. Wiki, CMDB),
  • regelmäßig auf Vollständigkeit und Aktualität zu prüfen.

Bewertung und Verbesserung

Die Wirksamkeit der Netzwerksicherheitsmaßnahmen wird regelmäßig überprüft und verbessert.

Regelmäßige Sicherheitsaudits und -prüfungen

Es sind regelmäßige Prüfungen des Netzwerkmanagements durchzuführen, z.B.:

  • interne oder externe Audits,
  • technische Sicherheitsaudits (z.B. Konfigurationsreviews, Schwachstellenscans),
  • Überprüfung der Einhaltung dieser Richtlinie.

Feedback-Mechanismen und kontinuierliche Verbesserung

Rückmeldungen aus Betrieb, Projekten, Störungen und Audits werden gesammelt, bewertet und zur Verbesserung von Prozessen und technischen Maßnahmen genutzt.

Anpassung der Richtlinie an veränderte Rahmenbedingungen

Diese Richtlinie wird bei Bedarf an neue technische Entwicklungen, veränderte Bedrohungslagen und regulatorische Vorgaben angepasst.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur zulässig auf Basis eines begründeten Ausnahmeantrags im Rahmen des Ausnahmemanagements.

Revision

Diese Richtlinie wird regelmäßig, mindestens jedoch einmal pro Jahr, durch die zuständigen Regelungsverantwortlichen auf Aktualität, Wirksamkeit und Konformität geprüft und bei Bedarf angepasst. Wesentliche Änderungen sind zu dokumentieren und freizugeben.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-Netzwerkmanagement&oldid=2386