Netzwerke bilden das Rückgrat der Informationsverarbeitung und ermöglichen den Austausch von Informationen zwischen Systemen, Anwendungen und Standorten. Unzureichend gesicherte Netzwerke können Ziel von Angriffen, Abhören oder Manipulation werden und stellen ein erhebliches Risiko für die Informationssicherheit dar. Dieses Control stellt sicher, dass Netzwerke angemessen geschützt, segmentiert und überwacht werden.
Zweck des Controls
A 8.20 soll gewährleisten, dass Netzwerke so gestaltet und betrieben werden, dass Informationen vor unbefugtem Zugriff, Manipulation und Störungen geschützt sind. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen während der Übertragung und Verarbeitung im Netzwerk sicherzustellen.
Anforderungen und Maßnahmen
1. Netzwerksicherheitskonzept
Organisationen müssen ein Netzwerksicherheitskonzept definieren, insbesondere:
Sicherheitsziele für Netzwerke
Struktur und Segmentierung
Schutzmechanismen und Kontrollen
Verantwortlichkeiten
Das Konzept muss dokumentiert und aktuell sein.
2. Segmentierung und Trennung von Netzwerken
Netzwerke müssen angemessen segmentiert werden:
Trennung von internen, externen und sensiblen Netzen
Segmentierung nach Schutzbedarf
Einsatz von Firewalls oder vergleichbaren Mechanismen
Vermeidung unnötiger Verbindungen
So wird die Ausbreitung von Angriffen begrenzt.
3. Schutz von Netzwerkverbindungen
Netzwerkverbindungen müssen geschützt werden:
Einsatz sicherer Protokolle
Verschlüsselung von Datenübertragungen
Absicherung von Fernzugriffen
Schutz vor Abhören und Manipulation
Dies schützt Informationen während der Übertragung.
4. Kontrolle des Netzwerkzugangs
Der Zugang zu Netzwerken muss kontrolliert werden:
Authentifizierung von Geräten und Benutzern
Einschränkung unbefugter Verbindungen
Nutzung von Netzwerkzugangskontrollen
Überwachung von Zugriffsversuchen
So wird unbefugter Zugriff verhindert.
5. Überwachung und Erkennung von Netzwerksicherheitsereignissen
Netzwerke müssen überwacht werden:
Monitoring des Netzwerkverkehrs
Erkennung ungewöhnlicher Muster
Alarmierung bei Sicherheitsereignissen
Integration in Überwachungs- und Incident-Prozesse
Dies ermöglicht frühzeitige Reaktion.
6. Schutz von Netzwerkinfrastrukturen
Netzwerkinfrastrukturen müssen geschützt werden:
sichere Konfiguration von Netzwerkkomponenten
regelmäßige Aktualisierung von Firmware
physischer Schutz von Netzwerkeinrichtungen
Einschränkung administrativer Zugriffe
So bleibt die Integrität des Netzwerks erhalten.
7. Umgang mit Änderungen und Wartung
Änderungen an Netzwerken müssen kontrolliert erfolgen:
formale Änderungsprozesse
Bewertung von Sicherheitsauswirkungen
Dokumentation von Änderungen
Tests nach Änderungen
Dies verhindert unbeabsichtigte Risiken.
8. Dokumentation und kontinuierliche Verbesserung
Netzwerksicherheitsmaßnahmen müssen dokumentiert und überprüft werden:
Netzwerktopologien und Sicherheitskonzepte
Verantwortlichkeiten
Vorfälle und Verbesserungsmaßnahmen
regelmäßige Überprüfung und Anpassung
Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.
Zusammenfassung
A 8.20 fordert, dass Organisationen Netzwerke systematisch absichern. Durch ein klar definiertes Netzwerksicherheitskonzept, angemessene Segmentierung, Schutz von Netzwerkverbindungen, Kontrolle des Netzwerkzugangs sowie kontinuierliche Überwachung wird sichergestellt, dass Netzwerke nicht zur Schwachstelle der Informationssicherheit werden. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
