M 5.77 Bildung von Teilnetzen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

IT-Systeme in Behörden und Unternehmen sind typischerweise in lokale Netze (LANs) integriert, die ihrerseits wieder mit anderen Netzen verbunden sind. Allein aus technischen Gründen ist es bei mittleren und größeren Netzen meist erforderlich, ein LAN in mehrere Teilnetze aufzuteilen, beispielsweise weil die Anzahl der IT-Systeme pro Teilnetz oder die Gesamtlänge der Verkabelung beschränkt ist.

Die Bildung von Teilnetzen ist jedoch auch aus Gründen der Informationssicherheit empfehlenswert. Einerseits können sensitive Daten auf bestimmte Bereiche innerhalb des LANs begrenzt werden (Vertraulichkeit), andererseits kann verhindert werden, dass Störungen in oder Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen (Integrität und Verfügbarkeit).

Auch wenn von außen Kommunikationsverbindungen in das LAN aufgebaut werden können, sollte eine entsprechende Abtrennung von Teilnetzen erfolgen, damit das LAN vor Angriffen von außen geschützt wird. Insbesondere sollten VPN-Server in einem sogenannten Zugangsnetz platziert werden. Dies kann beispielsweise durch zusätzliche Demilitarisierte Zonen (DMZ) am Sicherheitsgateway erfolgen.

Zunächst ist festzulegen, welche IT-Systeme jeweils in einem gemeinsamen Teilnetz betrieben werden sollen. Es wird empfohlen, dabei auf die Ergebnisse der Schutzbedarfsfeststellung zurückzugreifen und wie folgt vorzugehen:

Der zweite Schritt besteht in der Auswahl geeigneter Komponenten für die Kopplung der gebildeten Teilnetze. Empfehlungen hierzu finden sich in der Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung.

Insbesondere für die Anbindung von Teilnetzen, die Komponenten mit sehr hohem Schutzbedarf enthalten, sollte der Einsatz von Sicherheitsgateways in Erwägung gezogen werden. Hierdurch wird eine gezielte und sichere Steuerung des Datenflusses in das betroffene Teilnetz hinein bzw. aus dem Teilnetz heraus ermöglicht.

Die folgende Grafik zeigt ein Beispiel, wie die Gesamtstruktur eines LANs aussehen kann, nachdem ein Teilnetz mit hohem Schutzbedarf durch das Sicherheitsgateway vom restlichen Teilnetz abgetrennt wurde. Zur Vereinfachung ist das Sicherheitsgateway als ein Symbol dargestellt, es setzt sich jedoch in der Regel aus mehreren Komponenten (Paketfilter, Application Level Gateway) zusammen.

Beispiel einer Gesamtstruktur eines LANs

Abbildung: Beispiel einer Gesamtstruktur eines LANs

Empfehlungen für die technische Realisierung der Segmentierung im LAN sind in den Maßnahmen

enthalten.

Prüffragen: