Bundesamt für Sicherheit in der Informationstechnik

M 4.449 Einführung eines Zonenkonzeptes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Oft werden in Institutionen in der Regel große, aber einfache Netze aufgebaut, die ohne zusätzliche Sicherheitszonen auskommen. Dabei werden alle IT-Systeme einem einheitlichen Netz zugeordnet, an dessen Schnittstelle zum Internet eine zentrale Sicherheitsgateway-Lösung (siehe Baustein B 3.301 Sicherheitsgateway (Firewall) ) für die Informationssicherheit zuständig ist. Eine solche einfache Sicherheitsarchitektur bietet jedoch gegen Angreifer oder Schadsoftware häufig ein zu geringes Maß an Sicherheit, da nach Überwindung des Sicherheitsgateways das gesamte Netz mit allen Komponenten und Daten offen steht.

Institutionen sollten angesichts dieser Gefährdung Maßnahmen ergreifen, um ihr Netz und damit die angeschlossenen IT-Systeme wie beispielsweise Server, Clients, Netz ( IP und FC ) und Speicherkomponenten abzusichern. Als eine mögliche Lösung bietet sich dabei die Bildung von Zonen an. Dazu wird das Netz in separate Bereiche untergliedert, die jeweils beispielsweise durch ein eigenes Sicherheitsgateway oder einen Paketfilter abgesichert werden.

Ein Zonenkonzept unterscheidet in der Folge verschiedene Sicherheitszonen mit unterschiedlichen Sicherheitseigenschaften. Die Einführung eines solchen Zonenkonzeptes basiert auf der Feststellung des unterschiedlichen Schutzbedarfs vorgehaltener Daten und bedarf zunächst sorgfältiger Planung.

Neben einer Schutzbedarfsanalyse sind alle derzeit im Netz vorhandenen Kommunikationsbeziehungen zu ermitteln und mit den tatsächlich notwendigen Verbindungen abzugleichen. Dieses Vorgehen dient der Reduktion des Netzverkehrs auf ein sinnvolles und notwendiges Maß und der Minimierung der Abhängigkeiten zwischen IT-Systemen. Die ermittelten Daten bilden die Basis für die Einteilung in Sicherheitszonen.

Sicherheitszonen unterscheiden sich dabei in der Regel durch:

  • den Eigentümer der Prozesse und Daten,
  • die Klassifizierung und den Schutzbedarf der zu verarbeitenden Informationsobjekte,
  • die Benutzergruppen und Komponenten, die auf diese Informationsobjekte zugreifen dürfen,
  • die Bedrohungen und die umgesetzten Sicherheitsmaßnahmen.

Alle eingesetzten IT-Systeme einer Institution werden genau einer Zone des Zonenkonzeptes zugeordnet. Eine Sicherheitszone stellt für dieses System eine Umgebung mit definierten Sicherheitseigenschaften bezüglich des Schutzes der Kommunikationsbeziehungen zu anderen Zonen dar. Im Zusammenspiel mit der Umsetzung eines Rechte- und Rollenkonzeptes, durch das Zugriffe auf IT-Systeme in jeweils angrenzende Zonen erlaubt oder unterbunden werden, können Daten mit einem höheren Schutzbedarf nach außen hin abgesichert werden.

Das Prinzip des Verbots zonenübergreifender Zugriffe sorgt dabei zusätzlich für die Erhöhung des Sicherheitsniveaus, da es verhindert, dass Angreifer ein kompromittiertes System mit weniger starken Sicherheitsmaßnahmen als "Sprungbrett" für das ganze Netz nutzen können. Wird ein IT-System kompromittiert, dann können lediglich die IT-Systeme aus der selben Zone angegriffen werden. IT-Systeme anderer Zonen außerhalb der betroffenen Zone sind durch die Maßnahmen zur Trennung der Zonen abgesichert.

Das Zonenkonzept formuliert das Sicherheitsniveau von Einsatzumgebungen, das durch eine konkrete Netz-, Anwendungs- und Sicherheitsarchitektur realisiert werden muss. In Abhängigkeit vom Schutzbedarf der IT-Systeme sind unterschiedliche Ausprägungen möglich, die ein niedrigeres, mittleres oder höheres Schutzniveau gewährleisten.

Prüffragen:

  • Ist eine Analyse der bestehenden Kommunikationsbeziehungen innerhalb des Netzes der Institution erfolgt?

  • Wurde jedes IT-System einer einzigen Sicherheitszone zugeordnet?

  • Existiert eine Sicherheitsarchitektur, die Anforderungen an die notwendigen Sicherheitsdienste und deren Schnittstellen für die einzelnen Sicherheitszonen beschreibt?

Stand: 14. EL Stand 2014