Bundesamt für Sicherheit in der Informationstechnik

M 2.579 Regelmäßige Audits des lokalen Netzes

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Behörden-/Unternehmensleitung

Bei allen Komponenten der LAN -Infrastruktur muss regelmäßig überprüft werden, ob alle festgelegten Sicherheitsmaßnahmen umgesetzt und ob diese korrekt konfiguriert sind. Dabei sollte allen Beteiligten deutlich gemacht werden, dass Audits immer nur dazu dienen sollen, um Tatsachen festzustellen und nicht für Schuldzuweisungen (siehe auch M 2.199 Aufrechterhaltung der Informationssicherheit ).

Das Resultat eines Audits kann als eine einfache Soll-Ist-Gegenüberstellung gehalten werden. Der Bericht sollte in gebotener Kürze die Vorgaben z. B. aus der Sicherheitsrichtlinie darstellen und die Feststellungen des Audits zu den einzelnen Vorgaben darstellen. Werden Abweichungen vom Soll-Zustand gefunden und sind Abhilfe-Maßnahmen bekannt, so sollten diese im Report aufgenommen werden.

Unabhängigkeit der Auditoren

Die Durchführung der Audits muss durch unabhängige Auditoren erfolgen, d. h. das durchführende Personal darf sich und seine Arbeit nicht selbst auditieren.

Auch wenn die Tätigkeit der Auditoren durch die Administratoren unterstützt wird, benötigen sie tiefere Kenntnisse über das LAN , um ihre Tätigkeit durchführen zu können. Diese Kenntnisse sind durch regelmäßige Schulungen zu erwerben bzw. zu aktualisieren. Auditoren dürfen keine Änderungen im Netz vornehmen, daher benötigen sie höchstens Leserechte.

Wenn keine konkreten Vorgaben der Institution vorliegen, so sollten bei einem Audit mindestens die folgenden Bereiche geprüft werden:

  • Es gibt ein Sicherheitskonzept für die technische Ausgestaltung und organisatorische Regelungen des LAN s.
  • Der Schutzbedarf der Informationen in Bezug auf Verfügbarkeit und Vertraulichkeit wurde nach Vorgaben der Anwender festgelegt und dokumentiert.
  • Bei Inbetriebnahme wurden in allen LAN -Komponenten (Server, Router und Switches, Sicherheitsgateways, Speicherlösungen, Administrations- PC etc. ) die Standardpasswörter ersetzt.
  • Die LAN -Komponenten (Server, Router und Switches, Sicherheitsgateways, Speicherlösungen etc. ) sind in zutrittsgeschützten Räumen mit angemessener Infrastruktur (Stromversorgung, Klimatisierung) stationiert.
  • Administrative Zugriffe auf die LAN -Komponenten erfolgen ausschließlich verschlüsselt oder über ein separates Administrationsnetz.
  • Das Administrationsnetz ist durch Firewall, Anti-Viren-Software und gegebenenfalls ein ID S abgesichert.
  • Zur Administration werden nur gesicherte Verbindungen ( z. B. über HTTPS , SSH ) genutzt.
  • Die Daten werden verschlüsselt transportiert bzw. gespeichert, wenn dies aufgrund ihres Schutzbedarfs erforderlich ist.
  • Das Logging ist so eingestellt, dass Fehlersituationen und Missbrauchsversuche protokolliert werden. Die Protokolldateien werden regelmäßig kontrolliert.
  • Grundkonfiguration und folgende relevante Änderungen der Konfiguration sind schriftlich dokumentiert. Sowohl eine Beschreibung der logischen als auch physischen Topologie des LAN s ist vorhanden und aktuel. Diese Dokumentation ist auch im Notfall verfügbar.
  • Nach Änderungen werden sicherheitsrelevante Einstellungen entsprechender LAN -Komponenten erneut überprüft.
  • Der störungsfreie Ablauf von Datensicherungen und die Brauchbarkeit von Sicherungsmedien werden regelmäßig kontrolliert.

Prüffragen:

  • Wird bei allen Komponenten der LAN-Infrastruktur regelmäßig überprüft, ob alle festgelegten Sicherheitsmaßnahmen umgesetzt und ob die LAN-Komponenten korrekt konfiguriert sind?

Stand: 15. EL Stand 2016