Bundesamt für Sicherheit in der Informationstechnik

M 2.140 Analyse der aktuellen Netzsituation

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich Netzdesign und Netzaufbau sowie der Analyse von netzspezifischen Schwachstellen. Darüber hinaus ist auch Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit notwendig. Da dies ein komplexes Gebiet ist, das neben tief gehenden Kenntnissen in allen genannten Bereichen auch viel Zeit erfordert, kann es zur Analyse der aktuellen Netzsituation hilfreich sein, externe Berater hinzuzuziehen. Im Bereich der deutschen Bundesverwaltung kann das Bundesamt für Sicherheit in der Informationstechnik BSI Hilfestellung leisten.

Eine Analyse der aktuellen Netzsituation besteht im Wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.

Eine Strukturanalyse besteht aus einer Analyse der nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muss von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muss das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.

Eine erfolgreich durchgeführte Strukturanalyse ist unbedingte Voraussetzung für die sich anschließende detaillierte Schutzbedarfsfeststellung bzw. die Schwachstellenanalyse.

Detaillierte Schutzbedarfsfeststellung

An die Strukturanalyse schließt sich eine Schutzbedarfsfeststellung an, die über die in der IT-Grundschutz-Vorgehensweise beschriebene hinausgeht. Hier werden zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten berücksichtigt. Hierzu ist es notwendig festzustellen, welche Anforderungen aufgrund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluss nehmen. Als Ergebnis muss erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.

Analyse von Schwachstellen im Netz

Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachstellen des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (Single-Point-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Durchsatz und Performance geeignet ist (anhand der Ergebnisse der Verkehrsflussanalyse aus M 2.139 Ist-Aufnahme der aktuellen Netzsituation ).

Beispielhafte Schwachstelle: Die Performance- und Verkehrsflussanalyse zeigt eine überlastete aktive Netzkomponente. Für den betreffenden Kommunikationsweg wurden im Rahmen der Schutzbedarfsfeststellung hohe Anforderungen an die Verfügbarkeit und damit auch an die Performance festgestellt. Diese Schwachstelle erfordert eine Anpassung der Segmentierung des Netzes oder den Austausch der Netzkomponente gegen ein leistungsfähigeres Modell (siehe M 5.61 Geeignete physische Segmentierung , M 5.62 Geeignete logische Segmentierung , sowie M 5.60 Auswahl einer geeigneten Backbone-Technologie und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung ).

Prüffragen:

  • Ist dokumentiert, in welchen Netzsegmenten welche Sicherheitsanforderungen bestehen?

  • Sind die Schwachstellen des Netzes hinsichtlich der Sicherheitsanforderungen analysiert, definiert und den einzelnen Netzbereichen zugeordnet?

Stand: 13. EL Stand 2013