Bundesamt für Sicherheit in der Informationstechnik

M 2.141 Entwicklung eines Netzkonzeptes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Um den Anforderungen bezüglich Verfügbarkeit (auch Durchsatz und Performance), Vertraulichkeit und Integrität zu genügen, muss der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes.

Ein Netzkonzept besteht aus einem analytischen und einem konzeptionellen Teil:

Analyse

Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.

Im ersten Fall sind vorab die Maßnahmen M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der aktuellen Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen.

Um die Kommunikationsanforderungen zu ermitteln, ist zunächst der zukünftig zu erwartende Daten- und Verkehrsfluss in und zwischen den Netzsegmenten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muss. Darüber hinaus sind die notwendigen logischen bzw. physischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) zu eruieren und die Kommunikationsübergänge zur LAN / LAN -Kopplung oder über ein WAN zu ermitteln.

Soll ein bestehendes Netz verändert oder erweitert werden, ist in einem Soll/Ist-Vergleich das erarbeitete Netzkonzept mit der vorhandenen Situation nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation zu vergleichen. Ausgehend von Differenzen kann unter Berücksichtigung der oben genannten Maßnahmen ein Realisierungsplan für die so genannte Netzmigration erstellt werden. Dabei ist zu berücksichtigen, dass der Realisierungsaufwand um so größer ist, je mehr das Netzkonzept vom Ist-Zustand abweicht.

Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT -Verfahren abgeleitet. Daraus werden physische und logische Segmentstrukturen gefolgert, so dass diesen Anforderungen (z. B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT -Anwendung die zukünftige Segmentierung des Netzes.

Schließlich muss versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden.

Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen. Die Ergebnisse sind entsprechend zu dokumentieren.

Konzeption

Nachdem das bestehende oder neu aufzubauende Netz analysiert worden ist, wird ein Netzkonzept analog M 2.139 Ist-Aufnahme der aktuellen Netzsituation erstellt. Dazu sind prinzipiell folgende Schritte zu durchlaufen, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so dass eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muss.

  • Konzeption der physischen und logischen Netztopologie sowie der physischen und logischen Segmentierung
  • Konzeption der verwendeten Nezprotokolle
  • Konzeption von Kommunikationsübergängen im LAN und WAN

In den einzelnen Schritten sind im Wesentlichen die folgenden Tätigkeiten auszuführen:

Schritt 1 - Konzeption der physischen und logischen Netztopologie

Basierend auf der Analysesituation und den konkreten baulichen Gegebenheiten muss eine geeignete physische und logische Netztopologie ausgewählt werden (siehe hierzu M 5.60 Auswahl einer geeigneten Backbone-Technologie , M 5.1 Entfernen oder Deaktivieren nicht benötigter Leitungen , M 5.2 Auswahl einer geeigneten Netz-Topologie und M 5.3 Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht ). Aber auch zukünftige Anforderungen wie Skalierbarkeit müssen hier Berücksichtigung finden. Die so erstellte Konzeption muss dokumentiert werden (Verkabelungspläne, physische und logische Netzpläne etc. ).

Auf der Grundlage der Anforderungen an das Netz, die sich beispielsweise aus der Schutzbedarfsfeststellung ergeben sowie unter Berücksichtigung der Ergebnisse der Datenflussanalyse muss bei der Konzeption der physischen und logischen Netztopologie eine geeignete physische und logische Segmentierung durchgeführt werden (siehe M 5.61 Geeignete physische Segmentierung , M 5.62 Geeignete logische Segmentierung und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung ).

Schritt 2 - Konzeption der Netzprotokolle

In diesem Schritt geht es im Wesentlichen darum, ein für das Netz geeignetes Adressierungs- und Namenschema festzulegen und darauf aufbauend Teilnetze zu bilden. Insbesondere bei großen Netzen müssen in diesem Schritt auch geeignete Routing- und Switching-Protokolle ausgewählt werden.

Schritt 3 - Konzeption der Kommunikationsübergänge im LAN und WAN

Bezogen auf den ermittelten Datenfluss über Kommunikationsübergänge hinweg und die Anforderungen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit können in diesem Schritt die Kommunikationsübergänge konzipiert werden. Hierzu gehört die Auswahl geeigneter Koppelelemente (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung ), aber auch die sichere Konfiguration derselben (siehe Baustein B 3.301 Sicherheitsgateway (Firewall) und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten ).

Weitere Schritte

Nachdem das Netzkonzept erstellt worden ist, können nun die Maßnahmen zur Erstellung eines Netzmanagement-Konzeptes durchgeführt werden (siehe M 2.143 Entwicklung eines Netzmanagement-Konzeptes , M 2.144 Verwendung von SNMP als Netzmanagement-Protokoll und M 2.145 Anforderungen an ein Netzmanagement-Tool ).

Außerdem sollte überlegt werden, einen Netzrealisierungsplan auszuarbeiten.

Für die Erstellung eines Netz-Realisierungsplans ist zu unterscheiden, ob es sich um einen vollständigen Neuaufbau des Netzes, um eine Veränderung der bestehenden Konzeption und/oder eine Erweiterung handelt.

Bei einer vollständigen Neuplanung sind anhand der entwickelten Netzkonzeption die notwendigen Schritte abzuleiten. Dabei erfolgt nach abgeschlossener Planung der Aufbau des Netzes über das Verlegen der notwendigen Kommunikationskabel, das Einrichten von Räumen für die technische Infrastruktur, das Installieren der versorgenden technischen Infrastruktur, die Integration der notwendigen Koppelelemente (Switches, Router etc. ), das Einrichten der Netzmanagement-Stationen, den Einbau der entsprechenden Netzadapter in den Endgeräten, bis hin zur Konfiguration dieser Endgeräte.

Soll ein bestehendes Netz verändert oder erweitert werden, ist in einem Soll/Ist-Vergleich das erarbeitete Netzkonzept mit der vorhandenen Situation nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation zu vergleichen. Ausgehend von Differenzen kann unter Berücksichtigung der oben genannten Maßnahmen ein Realisierungsplan für die so genannte Netzmigration erstellt werden. Dabei ist zu berücksichtigen, dass der Realisierungsaufwand um so größer ist, je mehr das Netzkonzept vom Ist-Zustand abweicht.

Prüffragen:

  • Existiert ein aktuelles Netzkonzept?

  • Werden die Anforderungen bezüglich Verfügbarkeit, Vertraulichkeit und Integrität bei Erweiterung, Änderung oder Aufbau eines Netzes im Netzkonzept berücksichtigt?

  • Entsprechen die physischen und logischen Segmentstrukturen des Netzes dem Schutzbedarf?

Stand: 15. EL Stand 2016