M 5.77 Bildung von Teilnetzen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
IT-Systeme in Behörden und Unternehmen sind typischerweise in lokale Netze (LANs) integriert, die ihrerseits wieder mit anderen Netzen verbunden sind. Allein aus technischen Gründen ist es bei mittleren und größeren Netzen meist erforderlich, ein LAN in mehrere Teilnetze aufzuteilen, beispielsweise weil die Anzahl der IT-Systeme pro Teilnetz oder die Gesamtlänge der Verkabelung beschränkt ist.
Die Bildung von Teilnetzen ist jedoch auch aus Gründen der IT-Sicherheit empfehlenswert. Einerseits können sensitive Daten auf bestimmte Bereiche innerhalb des LANs begrenzt werden (Vertraulichkeit), andererseits kann verhindert werden, dass Störungen in oder Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen (Integrität und Verfügbarkeit).
Zunächst ist festzulegen, welche IT-Systeme jeweils in einem gemeinsamen Teilnetz betrieben werden sollen. Es wird empfohlen, dabei auf die Ergebnisse der Schutzbedarfsfeststellung zurückzugreifen und wie folgt vorzugehen:
- Alle IT-Systeme und Kommunikationsverbindungen in einem Teilnetz sollten in Bezug auf den Grundwert Vertraulichkeit den gleichen Schutzbedarf haben. Hierdurch wird erreicht, dass sensitive Daten möglichst auf speziell geschützte Teilnetze begrenzt werden. Entsprechend erforderliche Schutzmaßnahmen können auf diese Teilnetze konzentriert werden.
- IT-Systeme und Kommunikationsverbindungen mit einem hohen oder sehr hohen Schutzbedarf in Bezug auf Verfügbarkeit oder Integrität sollten möglichst jeweils in einem eigenen Teilnetz betrieben werden. Hierdurch wird erreicht, dass der ordnungsgemäße Betrieb dieser Komponenten bei Störungen in anderen Teilnetzen nicht beeinträchtigt wird. Weiterhin können dadurch Störungen schneller eingegrenzt und behoben werden.
Der zweite Schritt besteht in der Auswahl geeigneter Komponenten für die Kopplung der gebildeten Teilnetze. Empfehlungen hierzu finden sich in der Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung.
Insbesondere für die Anbindung von Teilnetzen, die Komponenten mit sehr hohem Schutzbedarf enthalten, sollte der Einsatz von Firewalls in Erwägung gezogen werden. Hierdurch wird eine gezielte und sichere Steuerung des Datenflusses in das betroffene Teilnetz hinein bzw. aus dem Teilnetz heraus ermöglicht.
Die folgende Grafik zeigt ein Beispiel, wie die Gesamtstruktur eines LANs aussehen kann, nachdem ein Teilnetz mit hohem Schutzbedarf durch eine zusätzliche Firewall vom restlichen Teilnetz abgetrennt wurde. Zur Vereinfachung sind die beiden Firewalls als ein Symbol dargestellt, sie setzen sich jedoch in der Regel aus mehreren Komponenten (Paketfilter, Application Gateway) zusammen.

Abbildung: Beispiel einer Gesamtstruktur eines LANs
Empfehlungen für die technische Realisierung der Segmentierung im LAN sind in den Maßnahmen
enthalten.
Ergänzende Kontrollfragen:
- Gibt es IT-Systeme oder Kommunikationsverbindungen mit unterschiedlichem Schutzbedarf?
- Ist das lokale Netz gemäß den Ergebnissen der Schutzbedarfsfeststellung in mehrere Teilnetze aufgeteilt worden?
- Werden für die Kopplung der Teilnetze geeignete Koppelelemente verwendet?