M 5.77 Bildung von Teilnetzen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Leiter IT, Administrator
IT-Systeme in Behörden und Unternehmen sind typischerweise in lokale Netze (LANs) integriert, die ihrerseits wieder mit anderen Netzen verbunden sind. Allein aus technischen Gründen ist es bei mittleren und größeren Netzen meist erforderlich, ein LAN in mehrere Teilnetze aufzuteilen, beispielsweise weil die Anzahl der IT-Systeme pro Teilnetz oder die Gesamtlänge der Verkabelung beschränkt ist.
Die Bildung von Teilnetzen ist jedoch auch aus Gründen der Informationssicherheit empfehlenswert. Einerseits können sensitive Daten auf bestimmte Bereiche innerhalb des LANs begrenzt werden (Vertraulichkeit), andererseits kann verhindert werden, dass Störungen in oder Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen (Integrität und Verfügbarkeit).
Auch wenn von außen Kommunikationsverbindungen in das LAN aufgebaut werden können, sollte eine entsprechende Abtrennung von Teilnetzen erfolgen, damit das LAN vor Angriffen von außen geschützt wird. Insbesondere sollten VPN-Server in einem sogenannten Zugangsnetz platziert werden. Dies kann beispielsweise durch zusätzliche Demilitarisierte Zonen (DMZ) am Sicherheitsgateway erfolgen.
Zunächst ist festzulegen, welche IT-Systeme jeweils in einem gemeinsamen Teilnetz betrieben werden sollen. Es wird empfohlen, dabei auf die Ergebnisse der Schutzbedarfsfeststellung zurückzugreifen und wie folgt vorzugehen:
- Alle IT-Systeme und Kommunikationsverbindungen in einem Teilnetz sollten in Bezug auf den Grundwert Vertraulichkeit den gleichen Schutzbedarf haben. Hierdurch wird erreicht, dass sensitive Daten möglichst auf speziell geschützte Teilnetze begrenzt werden. Entsprechend erforderliche Schutzmaßnahmen können auf diese Teilnetze konzentriert werden.
- IT-Systeme und Kommunikationsverbindungen mit einem hohen oder sehr hohen Schutzbedarf in Bezug auf Verfügbarkeit oder Integrität sollten möglichst jeweils in einem eigenen Teilnetz betrieben werden. Hierdurch wird erreicht, dass der ordnungsgemäße Betrieb dieser Komponenten bei Störungen in anderen Teilnetzen nicht beeinträchtigt wird. Weiterhin können dadurch Störungen schneller eingegrenzt und behoben werden.
Der zweite Schritt besteht in der Auswahl geeigneter Komponenten für die Kopplung der gebildeten Teilnetze. Empfehlungen hierzu finden sich in der Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung.
Insbesondere für die Anbindung von Teilnetzen, die Komponenten mit sehr hohem Schutzbedarf enthalten, sollte der Einsatz von Sicherheitsgateways in Erwägung gezogen werden. Hierdurch wird eine gezielte und sichere Steuerung des Datenflusses in das betroffene Teilnetz hinein bzw. aus dem Teilnetz heraus ermöglicht.
Die folgende Grafik zeigt ein Beispiel, wie die Gesamtstruktur eines LANs aussehen kann, nachdem ein Teilnetz mit hohem Schutzbedarf durch das Sicherheitsgateway vom restlichen Teilnetz abgetrennt wurde. Zur Vereinfachung ist das Sicherheitsgateway als ein Symbol dargestellt, es setzt sich jedoch in der Regel aus mehreren Komponenten (Paketfilter, Application Level Gateway) zusammen.

Abbildung: Beispiel einer Gesamtstruktur eines LANs
Empfehlungen für die technische Realisierung der Segmentierung im LAN sind in den Maßnahmen
enthalten.
Prüffragen:
- Ist das lokale Netz gemäß den Ergebnissen der Schutzbedarfsfeststellung sinnvoll in Teilnetze aufgeteilt worden?
- Sind VPN-Server in abgetrennten Zugangsnetzen platziert?
- Ist festgelegt worden, welche Netzkoppelelemente für die Aufteilung in Teilnetze zu verwenden sind?