M 2.141 Entwicklung eines Netzkonzeptes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes.

Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:

Analyse

Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

Im ersten Fall sind vorab die Maßnahmen M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen.

Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluss zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln.

Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z. B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes.

Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden.

Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption

Unter den oben genannten Gesichtspunkten, anhand einer Planung, die zukünftige Anforderungen (z. B. hinsichtlich Bandbreite) mit einbezieht, sowie unter Berücksichtigung der örtlichen Gegebenheiten, sind die Netzstruktur und die zu beachtenden Randbedingungen nach den folgenden Schritten zu entwickeln und im Konzept festzuhalten.

Die Erstellung eines Netzkonzeptes erfolgt analog M 2.139 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss.

In den einzelnen Schritten sind im wesentlichen die folgenden Tätigkeiten auszuführen:

Schritt 1 - Konzeption der Netztopographie und Netztopologie

Basierend auf der Analysesituation (siehe oben) und den konkreten baulichen Gegebenheiten muss eine geeignete Netztopographie und Netztopologie ausgewählt werden (siehe hierzu M 5.60 Auswahl einer geeigneten Backbone-Technologie , M 5.1 Entfernen oder Deaktivieren nicht benötigter Leitungen , M 5.2 Auswahl einer geeigneten Netz-Topologie und M 5.3 Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht ). Aber auch zukünftige Anforderungen wie Skalierbarkeit müssen hier Berücksichtigung finden. Die so erstellte Konzeption muss dokumentiert werden (Verkabelungspläne usw.).

Ausgehend von den ermittelten Anforderungen und dem zu erwartenden bzw. ermittelten Datenfluss muss bei der Konzeption der Netztopographie und -topologie eine geeignete physikalische und logische Segmentierung durchgeführt werden (siehe M 5.61 Geeignete physikalische Segmentierung , M 5.62 Geeignete logische Segmentierung und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung ).

Schritt 2 - Konzeption der Netzprotokolle

In diesem Schritt sind die einzusetzenden Netzprotokolle auszuwählen und diese entsprechend zu konzipieren. Hierzu gehört beispielsweise für das IP-Protokoll die Erstellung eines Adressierungsschemas und die Teilnetzbildung. Für die Auswahl der Netzprotokolle ist zu beachten, dass diese durch die Netztopologie und die geplanten oder vorhandenen aktiven Netzkomponenten unterstützt werden können.

Schritt 3 - Konzeption der Kommunikationsübergänge im LAN und WAN

Bezogen auf den ermittelten Datenfluss über Kommunikationsübergänge hinweg und die Anforderungen bezüglich der Sicherheit und Verfügbarkeit können in diesem Schritt die Kommunikationsübergänge konzipiert werden. Hierzu gehört die Auswahl geeigneter Koppelelemente (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung ) aber auch die sichere Konfiguration derselben (siehe Baustein B 3.301 Sicherheitsgateway (Firewall) und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten ).

Weitere Schritte

Ausgehend von dem erstellten Netzkonzept können nun die Maßnahmen zur Erstellung eines Netzmanagement-Konzeptes durchgeführt werden (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes , M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls und M 2.145 Anforderungen an ein Netzmanagement-Tool ) und ein Realisierungsplan nach M 2.142 Entwicklung eines Netz-Realisierungsplans ausgearbeitet werden.

Prüffragen: