M 2.415 Durchführung einer VPN-Anforderungsanalyse

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Bevor eine VPN-Verbindung zwischen einzelnen IT-Systemen, verschiedenen Standorten einer Institution oder auch zu Kunden eingerichtet wird, sollte eine Anforderungsanalyse durchgeführt werden. Ziel der Anforderungsanalyse ist es einerseits, alle im konkreten Fall in Frage kommenden Einsatzszenarien zu bestimmen und andererseits daraus Anforderungen an die benötigten Hardware- und Software-Komponenten abzuleiten. Durch das Aufstellen und Durchspielen von Nutzungsszenarien können spezielle Anforderungen an die VPN-Architektur oder die VPN-Komponenten aufgedeckt werden.

Im Rahmen dieser Anforderungsanalyse sind unter anderem folgende Punkte zu beachten:

Diese Punkte müssen nicht zwangsläufig pauschal für die gesamte Institution betrachtet, sondern können auch differenziert auf einzelne Standorte oder Anwendungszwecke angewendet werden. Besonders bei der Vernetzung von mehreren Standorten kommt häufig nicht jeder Liegenschaft die gleiche Priorität zu. An kleine Vertriebsbüros werden beispielsweise meist andere Anforderungen bezüglich Verfügbarkeit gestellt als an Unternehmenszentralen. Ebenso bestehen an End-to-End-VPNs andere Anforderungen als an Site-to-Site-VPNs. Als Lösungsansatz könnten die verschiedenen Anwendungszwecke zum Beispiel bezüglich ihrer Anforderungen an Bandbreite, Verfügbarkeit, Vertraulichkeit, Integrität und Dienstgüte (Quality of Service oder kurz QoS) klassifiziert werden.

Die Ergebnisse der Anforderungsanalyse müssen dokumentiert und mit dem technischen Personal abgestimmt werden. Die fachlichen Anforderungen und die in der Leitlinie zur Informationssicherheit formulierten Sicherheitsziele fließen in die Konzeption des VPNs (siehe M 2.416 Planung des VPN-Einsatzes und M 2.417 Planung der technischen VPN-Realisierung) sowie dessen Realisierung ein.

Prüffragen: