(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Netzwerkdienste wie Routing, Switching, Namensauflösung, Zeitdienste oder Fernzugriffe sind zentrale Bestandteile der Informationsverarbeitung. Werden diese Dienste unzureichend geschützt oder betrieben, können sie Ziel von Angriffen werden oder die Sicherheit abhängiger Systeme gefährden. Dieses Control stellt sicher, dass Netzwerkdienste sicher bereitgestellt, betrieben und überwacht werden.

Zweck des Controls

A 8.21 soll gewährleisten, dass Netzwerkdienste so gestaltet und betrieben werden, dass sie die Informationssicherheit unterstützen und nicht gefährden. Ziel ist es, Risiken durch unsichere oder fehlerhafte Netzwerkdienste zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Anforderungen und Maßnahmen

1. Identifikation und Klassifizierung von Netzwerkdiensten

Organisationen müssen Netzwerkdienste identifizieren und klassifizieren, insbesondere:

• interne und externe Netzwerkdienste
• zentrale Basisdienste
• sicherheitsrelevante Dienste
• Abhängigkeiten zwischen Diensten

Die Klassifizierung muss risikoorientiert erfolgen.

2. Festlegung von Sicherheitsanforderungen

Für Netzwerkdienste müssen Sicherheitsanforderungen definiert werden:

• Schutzbedarf der verarbeiteten Informationen
• Anforderungen an Verfügbarkeit und Integrität
• Authentifizierungs- und Zugriffskontrollen
• Protokollierungs- und Überwachungsanforderungen

Diese Anforderungen müssen dokumentiert sein.

3. Sichere Bereitstellung und Konfiguration

Netzwerkdienste müssen sicher bereitgestellt werden:

• Nutzung sicherer Standardkonfigurationen
• Deaktivierung nicht benötigter Funktionen
• Einsatz sicherer Protokolle
• Trennung von Verwaltungs- und Nutzungszugängen

So wird die Angriffsfläche reduziert.

4. Kontrolle des Zugriffs auf Netzwerkdienste

Der Zugriff auf Netzwerkdienste muss kontrolliert werden:

• Zugriff nur für berechtigte Benutzer und Systeme
• Einsatz starker Authentifizierungsmechanismen
• Einschränkung privilegierter Zugriffe
• Überwachung von Zugriffsversuchen

Dies verhindert unbefugte Nutzung.

5. Überwachung und Protokollierung von Netzwerkdiensten

Netzwerkdienste müssen überwacht werden:

• Protokollierung sicherheitsrelevanter Ereignisse
• Überwachung der Verfügbarkeit und Leistung
• Erkennung ungewöhnlicher Aktivitäten
• Integration in Incident-Management-Prozesse

So werden Störungen frühzeitig erkannt.

6. Umgang mit externen Netzwerkdiensten

Externe Netzwerkdienste müssen angemessen gesteuert werden:

• vertragliche Regelungen zu Sicherheit und Verfügbarkeit
• Definition von Verantwortlichkeiten
• Überprüfung der Sicherheitsmaßnahmen
• Integration in Lieferantenmanagement-Prozesse

Dies reduziert Risiken durch Dritte.

7. Änderungs- und Wartungsmanagement

Änderungen an Netzwerkdiensten müssen kontrolliert erfolgen:

• formale Änderungsprozesse
• Bewertung der Sicherheitsauswirkungen
• Tests nach Änderungen
• Dokumentation der Maßnahmen

So wird ein stabiler Betrieb sichergestellt.

8. Dokumentation und kontinuierliche Verbesserung

Sicherheitsmaßnahmen für Netzwerkdienste müssen dokumentiert werden:

• Beschreibung der Dienste und Sicherheitsanforderungen
• Verantwortlichkeiten
• Nachweise über Überwachung und Prüfungen
• regelmäßige Überprüfung und Anpassung

Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.

Zusammenfassung

A 8.21 fordert, dass Organisationen Netzwerkdienste systematisch absichern. Durch Identifikation und Klassifizierung der Dienste, klare Sicherheitsanforderungen, sichere Konfiguration, Zugriffskontrollen, kontinuierliche Überwachung sowie geregelten Umgang mit externen Diensten wird sichergestellt, dass Netzwerkdienste die Informationssicherheit unterstützen und nicht gefährden. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.