Bundesamt für Sicherheit in der Informationstechnik

M 2.143 Entwicklung eines Netzmanagement-Konzeptes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsbeauftragter

Die in einem lokalen Netz zusammengefassten vielfältigen IT -Systeme, wie z. B. Serversysteme, Endgeräte, Drucker, aktive Netzkomponenten usw. , sollten auf Netzebene an einer geeigneten Stelle zentral administriert und überwacht werden. Eine zentrale Administration der Netzkomponenten ist dabei einer dezentralen vorzuziehen, da in diesem Fall Administrationsaufwände verringert und Anforderungen an die Sicherheit zentral definiert und kontrolliert werden können. In erster Linie wird ein zentrales Netzmanagement verwendet, um die Verfügbarkeit und Integrität des Netzes sowie die Integrität und Vertraulichkeit der übermittelten Daten zu gewährleisten. Diese Aufgabe hat eine hohe Komplexität und sollte durch den Einsatz eines Netzmanagement-Tools unterstützt werden.

Vor der Beschaffung und dem Betrieb eines solchen Netzmanagement-Systems ist im ersten Schritt ein Konzept zu erstellen, in dem alle Sicherheitsanforderungen an das Netzmanagement formuliert und angemessene Maßnahmen für den Fehler- oder Alarmfall vorgeschlagen werden. Dabei sind insbesondere die folgenden Bestandteile eines Netzmanagement-Konzeptes bei der Erstellung zu berücksichtigen und in einem Gesamtzusammenhang darzustellen.

  • Performance-Messungen zur Netzanalyse (siehe M 2.140 Analyse der aktuellen Netzsituation ),
  • Auswahl eines Managementnetzes (siehe M 2.582 Möglichkeiten zur Einrichtung eines Managementnetzes ),
  • Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten,
  • Fernwartung / Remote-Control, insbesondere der aktiven Netzkomponenten,
  • Generierung von Trouble-Tickets und Eskalation bei Netzproblemen (Hierüber kann eine Anbindung an Systemmanagement- und User-Help-Desksysteme bzw. an externe Nachrichtenübermittler erfolgen.),
  • Protokollierung und Audit des Netzverkehrs (Online und/oder Offline),
  • Einbindung eventuell vorhandener proprietärer Systeme bzw. von Systemen mit unterschiedlichen Managementprotokollen ( z. B. im Telekommunikationsbereich),
  • Konfigurationsmanagement aller im Einsatz befindlichen IT -Systeme (siehe unter anderen M 4.82 Sichere Konfiguration der aktiven Netzkomponenten ),
  • Verteilter Zugriff auf die Netzmanagement-Funktionalitäten (Für die Administration oder für das Audit kann ein Remote-Zugriff auf die Netzmanagement-Funktionalitäten notwendig sein. Hier ist insbesondere eine sorgfältige Definition und Vergabe der Zugriffsrechte notwendig.).

Die konkreten Anforderungen an ein Netzmanagement-Tool sind in M 2.145 Anforderungen an ein Netzmanagement-Tool beschrieben. Diese müssen eine Umsetzung des Netzmanagement-Konzeptes ermöglichen.

Prüffragen:

  • Werden die Netzkomponenten zentral administriert?

  • Sind Reaktionen auf Fehlermeldungen der überwachten Netzkomponenten vorgesehen?

  • Ist die Generierung von Trouble-Tickets und die Eskalation bei Netzproblemen vorgesehen?

  • Werden Protokollierungen und Audits des Netzverkehrs durchgeführt?

  • Werden vorhandene proprietäre Systeme bzw. unterschiedliche Managementprotokolle angemessen in das Netzmanagement eingebettet?

Stand: 15. EL Stand 2016