A.8.20 — Netzwerksicherheit

Das Netzwerk ist das Nervensystem der IT-Infrastruktur — und gleichzeitig der bevorzugte Angriffspfad. Lateral Movement, also die seitliche Ausbreitung eines Angreifers innerhalb des Netzwerks, ist der Schritt, der aus einem kompromittierten Endgerät eine vollständige Übernahme macht. A.8.20 verlangt, dass Netzwerke und ihre unterstützenden Einrichtungen gegen Kompromittierung geschützt werden — durch Härtung, Segmentierung, Zugangskontrolle und Überwachung.

Die Kontrolle ist breit angelegt und bildet das Dach für die spezifischeren Netzwerk-Kontrollen A.8.21 (Netzwerkdienste) und A.8.22 (Segmentierung).

Was verlangt die Norm?

Netzwerkdokumentation aktuell halten. Netzwerkpläne, IP-Adressbereiche, VLAN-Zuordnungen und Firewall-Regelwerke dokumentieren und bei Änderungen aktualisieren.
Netzwerkmanagement trennen. Management-Zugriff auf Netzwerkgeräte von regulärem Datenverkehr separieren.
Zugangskontrolle im Netzwerk. Authentifizierung von Systemen und Beschränkung des Netzwerkzugangs auf autorisierte Geräte.
Überwachung und Protokollierung. Netzwerkaktivität überwachen und protokollieren, um Anomalien zu erkennen.
Netzwerkgeräte härten. Switches, Router, Firewalls nach Sicherheitsbaselines konfigurieren.

In der Praxis

Netzwerkdokumentation erstellen und pflegen. Netzwerktopologie, IP-Bereiche, VLAN-Zuordnungen, Firewall-Regelwerke und Routing-Tabellen dokumentieren. Automatisierte Tools (NetBox, phpIPAM) helfen, die Dokumentation aktuell zu halten. Veraltete Netzwerkdokumentation ist ein häufiger Audit-Befund.

Netzwerkgeräte härten. Default-Passwörter ändern, nicht benötigte Dienste deaktivieren, Management-Interfaces absichern, Firmware aktuell halten. CIS Benchmarks für Cisco, Juniper und andere Hersteller liefern konkrete Härtungsanleitungen.

Network Access Control (NAC) implementieren. 802.1X-Authentifizierung an Switch-Ports und WLAN stellt sicher, dass nur autorisierte Geräte ins Netzwerk gelangen. Unbekannte Geräte werden in ein Quarantäne-VLAN umgeleitet.

Netzwerk-Monitoring aufbauen. NetFlow/sFlow-Analyse für Verkehrsströme, IDS/IPS für Angriffserkennung, SNMP-Monitoring für Gerätestatus. Ungewöhnliche Verkehrsströme (z.B. hoher ausgehender Traffic nachts) sind ein Indikator für Datenexfiltration.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.20 typischerweise diese Nachweise:

Netzwerkdokumentation — aktuelle Topologie, IP-Plan, VLAN-Zuordnungen (→ IT-Betriebsrichtlinie im Starter Kit)
Firewall-Regelwerk — dokumentierte und überprüfte Regeln
Härtungsnachweise — Konfigurationsexporte der Netzwerkgeräte
NAC-Konfiguration — Nachweis der 802.1X-Implementierung
Netzwerk-Monitoring-Dashboard — Übersicht der überwachten Segmente und erkannten Anomalien

KPI

Anteil der Netzwerksegmente mit umgesetzten Sicherheitsmaßnahmen gemäß Richtlinie

Gemessen als Prozentsatz: Wie viele deiner Netzwerksegmente haben dokumentierte und durchgesetzte Sicherheitsmaßnahmen (Firewall, NAC, Monitoring)? Ziel: 100%.

Ergänzende KPIs:

Anteil der Netzwerkgeräte mit aktueller Firmware (Ziel: über 95%)
Anzahl der nicht autorisierten Geräte im Netzwerk pro Monat (Ziel: 0)
Anteil der Firewall-Regeln, die im letzten Quartal überprüft wurden

BSI IT-Grundschutz

A.8.20 mappt auf eine Vielzahl von BSI-Netzwerk-Bausteinen:

NET.1.1 (Netzarchitektur und -design) — der Kernbaustein. Verlangt eine dokumentierte Netzarchitektur, Segmentierung, Redundanz und Trennung von Management- und Produktionsverkehr.
NET.1.2 (Netzmanagement) — Anforderungen an die Verwaltung und Überwachung des Netzwerks.
NET.3.1–NET.3.4 (Router/Switches, Firewalls, VPN, NAC) — komponentenspezifische Anforderungen.
NET.2.1/NET.2.2 (WLAN, Mobilfunk) — Sicherheit drahtloser Netzwerke.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.20 — Netzwerksicherheit
ISO/IEC 27002:2022 Abschnitt 8.20 — Umsetzungshinweise zur Netzwerksicherheit
BSI IT-Grundschutz, NET.1.1 — Netzarchitektur und -design

Häufig gestellte Fragen

Was umfasst Netzwerksicherheit nach ISO 27001?

Alles, was Informationen im Netzwerk schützt: Firewall-Konfiguration, Segmentierung, Zugangskontrolle, Verschlüsselung, Monitoring, Härtung von Netzwerkgeräten. A.8.20 ist die übergreifende Kontrolle, A.8.21 (Netzwerkdienste) und A.8.22 (Segmentierung) vertiefen Teilaspekte.

Müssen wir ein eigenes Netzwerk-Management-VLAN betreiben?

Die Norm empfiehlt, Netzwerkmanagement von den normalen Systemoperationen zu trennen. In der Praxis bedeutet das: ein separates Management-VLAN für Switch-, Router- und Firewall-Administration. Zugriff nur über Jump-Hosts oder dedizierte Management-Stationen.

Wie oft sollten Firewall-Regeln überprüft werden?

Mindestens quartalsweise. Bei jeder Überprüfung: ungenutzte Regeln identifizieren und entfernen, zu breite Regeln einschränken, Dokumentation aktualisieren. Ein jährlicher vollständiger Firewall-Audit durch einen unabhängigen Prüfer ist empfehlenswert.

Responsible	IT-Administrator
Accountable	ISB
Consulted	Asset-Eigentümer, HR-Leitung, IT-Leitung, IT-Sicherheitsbeauftragter, Incident-Response-Team, ISB, Lieferantenmanagement
Informed	Asset-Eigentümer, Abteilungsleitung, Facility Manager, IT-Leitung, IT-Administrator, ISB, Interne Revision, Rechtsabteilung