Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.77 Bildung von Teilnetzen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.77 Bildung von Teilnetzen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

IT-Systeme in Behörden und Unternehmen sind typischerweise in lokale Netze (LANs) integriert, die ihrerseits wieder mit anderen Netzen verbunden sind. Allein aus technischen Gründen ist es bei mittleren und größeren Netzen meist erforderlich, ein LAN in mehrere Teilnetze aufzuteilen, beispielsweise weil die Anzahl der IT-Systeme pro Teilnetz oder die Gesamtlänge der Verkabelung beschränkt ist.

Die Bildung von Teilnetzen ist jedoch auch aus Gründen der IT-Sicherheit empfehlenswert. Einerseits können sensitive Daten auf bestimmte Bereiche innerhalb des LANs begrenzt werden (Vertraulichkeit), andererseits kann verhindert werden, dass Störungen in oder Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen (Integrität und Verfügbarkeit).

Zunächst ist festzulegen, welche IT-Systeme jeweils in einem gemeinsamen Teilnetz betrieben werden sollen. Es wird empfohlen, dabei auf die Ergebnisse der Schutzbedarfsfeststellung zurückzugreifen und wie folgt vorzugehen:

Der zweite Schritt besteht in der Auswahl geeigneter Komponenten für die Kopplung der gebildeten Teilnetze. Empfehlungen hierzu finden sich in der Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung.

Insbesondere für die Anbindung von Teilnetzen, die Komponenten mit sehr hohem Schutzbedarf enthalten, sollte der Einsatz von Firewalls in Erwägung gezogen werden. Hierdurch wird eine gezielte und sichere Steuerung des Datenflusses in das betroffene Teilnetz hinein bzw. aus dem Teilnetz heraus ermöglicht.

Die folgende Grafik zeigt ein Beispiel, wie die Gesamtstruktur eines LANs aussehen kann, nachdem ein Teilnetz mit hohem Schutzbedarf durch eine zusätzliche Firewall vom restlichen Teilnetz abgetrennt wurde. Zur Vereinfachung sind die beiden Firewalls als ein Symbol dargestellt, sie setzen sich jedoch in der Regel aus mehreren Komponenten (Paketfilter, Application Gateway) zusammen.

Beispiel einer Gesamtstruktur eines LANs

Abbildung: Beispiel einer Gesamtstruktur eines LANs

Empfehlungen für die technische Realisierung der Segmentierung im LAN sind in den Maßnahmen

enthalten.

Ergänzende Kontrollfragen: