Netzwerksicherheit: So sichern Sie Netze wirklich ab

Netzwerksicherheit klingt für viele erst einmal nach Firewalls, VLANs und ein bisschen Router-Konfiguration. Das greift zu kurz. Wenn man sich an ISO 27001 A.8.20 und A.8.21 orientiert, geht es um etwas Breiteres: Netzwerke und Netzwerkgeräte müssen gesichert, verwaltet und kontrolliert werden, und für Netzwerkdienste müssen Sicherheitsmechanismen, Dienstgüte und Dienstanforderungen festgelegt, umgesetzt und überwacht werden. Netzwerke sind für Betrieb, Sicherheit und Resilienz vieler Organisationen fundamental. Genau deshalb beschreibt das NCSC Netzwerksicherheit als eigenes Grundthema für sichere und belastbare Organisationen.

Die kurze Antwort

Gute Netzwerksicherheit heißt nicht, dass irgendwo eine Firewall steht. Gute Netzwerksicherheit heißt: Sie wissen, welche Netzkomponenten und Verbindungen Sie überhaupt haben, wie Ihr Netz aufgebaut ist, welche Zonen voneinander getrennt werden müssen, wie Zugriffe kontrolliert werden, wie Netzwerkgeräte sicher betrieben werden und welche Anforderungen an Dienste wie VPN, WLAN, DNS oder Internetanbindung gelten. ISO 27001 ist insgesamt ein risikobasierter Managementsystemstandard, und genau so sollte auch Netzwerksicherheit gedacht werden: nicht als Einzelmaßnahme, sondern als gesteuertes System.

Netzwerksicherheit ist nicht dasselbe wie "wir haben eine Firewall"

Das ist der häufigste Denkfehler. Eine Firewall kann wichtig sein. Sie ist aber nur ein Baustein. Grundlagen sicherer Netzwerke sind unter anderem Architektur, Asset-Übersicht, Grenzschutz, sichere Administration, Monitoring und Protokollierung. Auch das BSI-Grundschutz-Kompendium stellt bei Netzarchitektur und -design ausdrücklich auf das Gesamtnetz inklusive Teilnetzen ab. Genau deshalb ist Netzwerksicherheit kein Einzelprodukt, sondern ein Zusammenspiel aus Aufbau, Betrieb und Kontrolle.

Erst verstehen, was Sie überhaupt im Netz haben

Man kann kein Netz absichern, das man nicht kennt. Das Identifizieren aller Assets im Netz ist daher ein Schlüsselschritt für Sicherheit und Resilienz. Ein häufiger Angriffsweg sind Systeme, die die Organisation gar nicht mehr richtig im Blick hat oder die nie sauber außer Betrieb genommen wurden. Auch das BSI betont beim Netzplan, dass eine Übersicht über Komponenten und Verbindungen Grundlage für ein sicheres Netz ist. Ohne diese Transparenz bleibt Netzwerksicherheit meist Stückwerk.

Gute Netzwerksicherheit beginnt bei der Architektur

Netze werden nicht sicher, indem man am Ende ein paar Regeln hineinschraubt. Sie werden sicherer, wenn sie von Anfang an sinnvoll aufgebaut sind. Ein hohes Sicherheitsniveau kann man einfacher erreichen, indem man schon bei Planung, Aufbau und Betrieb sicherheitsrelevante Aspekte berücksichtigt. Das NCSC beschreibt ebenfalls, dass Netzwerke so designt werden sollten, dass sie sicher und resilient bleiben. Der eigentliche Hebel liegt also oft früher als viele denken: im Netzdesign, nicht erst im Incident.

Segmentierung ist kein Luxus, sondern Schadensbegrenzung

Wenn alles mit allem sprechen darf, wird ein einzelner Einbruch schnell zum Flächenbrand. Eine gute Segmentierung ist deshalb eine wichtige Maßnahme, die Zugriffe auf Geräte, Daten und Anwendungen begrenzt und Kommunikation zwischen Netzen einschränkt. Segmentierung kann relativ entlang von Schutzbedarf, Vertrauensniveau und notwendiger Interaktion geplant werden. Praktisch heißt das: kritische Systeme, Administrationsnetze, Benutzerzonen, Gastnetze, Entwicklernetze mit viel Experimentalfreiraum und Produktionsumgebungen oder externe Zugänge sollten nicht einfach in einem freundlichen Einheitsnetz enden.

Netzwerkgeräte selbst sind attraktive Ziele

Router, Firewalls, Switches, WLAN-Komponenten oder VPN-Gateways werden oft als reine Infrastruktur gesehen. Genau deshalb werden sie gern unterschätzt. Das NCSC weist ausdrücklich darauf hin, dass Netzwerkgeräte und Appliances für Angreifer attraktive Ziele sind, weil sie den Datenverkehr steuern und verarbeiten. Unsichere Konfiguration, schwache Authentisierung, fehlende Firmware-Updates, schlechte Segmentierung oder unzureichendes Logging machen solche Geräte besonders anfällig. Netzwerksicherheit heißt deshalb immer auch: Netzwerkgeräte absichern, aktuell halten und hart konfigurieren.

Ohne Logging und Sichtbarkeit bleibt das Netz ein blinder Fleck

Ein Netz kann noch so ordentlich geplant sein – wenn Sie nicht sehen, was darin passiert, wird es im Ernstfall unerquicklich. Logging und Monitoring sicherheitskritischer Aktivitäten sollte daher mindestens umgesetzt werden, damit verdächtige Aktivitäten vor und nach einer Kompromittierung erkannt und untersucht werden können. Das ist mehr als nur „Logs einschalten“. Es geht um verwertbare Sichtbarkeit für Betrieb, Detektion und Analyse. Wer Netzwerkgeräte ohne brauchbares Logging betreibt, spart oft an der falschen Stelle.

Sichere Administration gehört zwingend dazu

Netzwerke werden nicht nur über Benutzertraffic gefährdet, sondern auch über die Administration. Wer Netzwerkgeräte administriert, braucht besondere Sorgfalt: getrennte Admin-Zugänge, starke Authentisierung, möglichst wenig direkte Exponierung, klare Rollen und nachvollziehbare Änderungen. Sicherer Fernzugriff und sichere Administration sind deshalb ausdrücklich ein relevantes Thema (siehe auch dieses Paper der CISA). Gerade bei Remote-Management, RMM-Tools oder VPN-Zugängen wird schnell aus "praktisch" ein unnötiges Risiko, wenn diese Wege zu offen oder zu breit angelegt sind.

Netzwerkdienste sind mehr als Technik, sie sind Geschäftsgrundlage

Hier kommt ISO 27001 Anforderung A.8.21 ins Spiel. Netzwerkdienste sind zum Beispiel VPN, WLAN, DNS, DHCP, Internetzugang, Standortvernetzung, Proxy, Cloud-Konnektivität oder auch externe Netzservices von Providern. Für diese Dienste reicht es nicht, sie irgendwie verfügbar zu haben. Sie brauchen Sicherheitsmechanismen, Dienstanforderungen und oft auch eine definierte Dienstgüte.

Erst Anforderungen klären, dann Dienste betreiben

Ein guter Umgang mit Netzwerkdiensten beginnt mit einer banalen Frage: Was brauchen wir von diesem Dienst eigentlich? Beim VPN geht es vielleicht um abgesicherten Fernzugriff und starke Authentisierung. Beim WLAN um Segmentierung und kontrollierten Zugang. Beim DNS um Verfügbarkeit, Integrität und Protokollierung. Bei einer Standortverbindung vielleicht zusätzlich um Performance, Redundanz und Wiederanlauf. Wer diese Anforderungen nicht vorab klärt, betreibt Dienste oft nur technisch, aber nicht zielgerichtet. Und genau das verfehlt den Sinn von A.8.21. Die Anforderungen müssen ermittelt, umgesetzt und überwacht werden - nicht nur technisch angeschaltet.

Dienstgüte ist kein Luxuswort

Viele lesen "Dienstgüte" und denken sofort an Großkonzern-Sprache. Gemeint ist etwas Praktisches: Wie zuverlässig, schnell und stabil muss ein Netzwerkdienst für Ihr Unternehmen sein? Ein Gäste-WLAN ist etwas anderes als die Standortanbindung des ERP-Systems. Eine Admin-Verbindung zu einer kritischen Komponente ist etwas anderes als ein normaler Internetzugang. Genau deshalb ist es sinnvoll, bei Netzwerkdiensten nicht nur Sicherheitsmechanismen zu definieren, sondern auch Erwartungen an Verfügbarkeit, Reaktionszeiten, Redundanz und Überwachung. Das folgt direkt aus der Idee, Netzwerkdienste nicht bloß bereitzustellen, sondern passend zum Schutzbedarf zu steuern.

Externe Netzwerkdienste brauchen klare Anforderungen an den Anbieter

Sobald Netzwerkdienste von Dritten bezogen werden, wird das Thema noch wichtiger. Dann reicht "der Provider macht das schon" nicht. Wenn ein externer Dienst Ihre Kommunikation, Standortanbindung, Cloud-Konnektivität oder Fernwartung trägt, müssen Sicherheitsanforderungen, Zuständigkeiten, Eskalationswege und Überwachung sauber geregelt sein. Das ist die praktische Seite von A.8.21: Sicherheitsmechanismen und Dienstanforderungen müssen nicht nur intern definiert, sondern auch bei extern bezogenen Diensten eingefordert und beobachtet werden.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Netzwerk läuft, also ist es wohl sicher genug."

Das ist zu bequem. Ein Netz kann funktionieren und trotzdem schlecht segmentiert, schlecht dokumentiert, schlecht administriert oder schlecht überwacht sein. Dasselbe gilt für Netzwerkdienste: Nur weil VPN, WLAN oder Internetzugang verfügbar sind, heißt das noch lange nicht, dass Sicherheitsmechanismen, Anforderungen und Überwachung sauber geregelt sind. Genau deshalb trennen ISO 27001 A.8.20 und A.8.21 sinnvoll zwischen Netzen und Geräten auf der einen und Netzwerkdiensten auf der anderen Seite.

Ein pragmatischer Start für Unternehmen

Wenn Sie das Thema ohne Theater, aber belastbar angehen wollen, reicht für den Anfang oft schon diese Linie:

1. Netzbestand und Netzplan sauber erheben

Welche Netzsegmente, Geräte, Verbindungen und Dienste gibt es überhaupt? Ohne belastbare Übersicht ist alles Weitere wackelig. NCSC und BSI stellen genau diese Transparenz an den Anfang.

2. Kritische Zonen und Dienste identifizieren

Welche Netze und Netzwerkdienste sind wirklich kritisch? Standortverbindungen, Admin-Zugänge, Produktionsnetze, Servernetze, Cloud-Anbindungen oder WLANs sind nicht gleich sensibel. Segmentierung und Schutzbedarf hängen genau davon ab.

3. Netzwerkgeräte härten und pflegen

Firmware, sichere Konfiguration, starke Anmeldung, keine unnötigen Dienste, saubere Administration und Supportstatus gehören zur Grundhygiene. Das NCSC nennt fehlende Updates, schwache Authentisierung und unzureichendes Logging ausdrücklich als Schwächen.

4. Anforderungen an Netzwerkdienste definieren

Für VPN, DNS, WLAN, Internetzugang oder externe Verbindungen sollte klar sein: Welche Sicherheitsmechanismen, welche Verfügbarkeit, welche Überwachung, welche Eskalation? Genau das ist die praktische Umsetzung von A.8.21.

5. Logging und Überwachung ernst nehmen

Ein Netz ohne Sichtbarkeit ist ein Betriebsrisiko. Netzwerkgeräte und Dienste sollten so betrieben werden, dass relevante Aktivitäten erkannt und später auch nachvollzogen werden können.

Was will der Auditor sehen?

Ein Auditor will in der Regel nicht hören: "Unser Netzwerk funktioniert doch."

Er will erkennen, dass das Netz geplant, beherrscht, segmentiert, überwacht und administrativ sauber abgesichert ist - und dass für kritische Netzwerkdienste klare Sicherheits- und Betriebsanforderungen definiert wurden. Genau dort zeigen A.8.20 und A.8.21 ihre Stärke: Sie zwingen nicht zu Produktnamen, sondern zu einem nachvollziehbaren Sicherheits- und Betriebsansatz für Netz und Netzwerkdienste.

FAQ

Interesse geweckt?

Wenn Sie Ihre Netzwerksicherheit so aufbauen wollen, dass sie nicht nur technisch läuft, sondern auch im Audit und im Alltag trägt, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!