Der VPN-Dienst wird von einem externen Provider betrieben. Die Verschlüsselungsstandards stehen im Vertrag — aber niemand hat geprüft, ob der Provider sie tatsächlich umsetzt. Der DNS-Dienst läuft intern auf einem Server, den seit zwei Jahren niemand gepatcht hat. A.8.21 verlangt, dass Sicherheitsanforderungen für alle Netzwerkdienste identifiziert, vereinbart und überwacht werden — unabhängig davon, ob sie intern oder extern bereitgestellt werden.
Die Kontrolle verbindet technische Anforderungen (Verschlüsselung, Authentifizierung, Zugangskontrolle) mit organisatorischen (Verträge, SLAs, Audits).
Was verlangt die Norm?
- Sicherheitsanforderungen identifizieren. Für jeden Netzwerkdienst die erforderlichen Sicherheitsmechanismen definieren.
- Vertraglich vereinbaren. Bei externen Anbietern die Sicherheitsanforderungen vertraglich festlegen (SLA, Audit-Rechte).
- Überwachen. Dienstleister regelmäßig überwachen und Nachweise der Einhaltung einfordern.
- Drittanbieter-Zertifizierungen nutzen. SOC-2-Berichte, ISO-27001-Zertifikate oder vergleichbare Nachweise als Ergänzung zu eigenen Prüfungen.
- Zugang und Authentifizierung regeln. Richtlinien für den erlaubten Netzwerkzugang und die Authentifizierungsverfahren definieren.
In der Praxis
Netzwerkdienste-Inventar erstellen. Liste aller Netzwerkdienste mit Anbieter (intern/extern), Sicherheitsanforderungen und Verantwortlichkeiten. Das Inventar zeigt auf einen Blick, wo Sicherheitsvereinbarungen fehlen.
Sicherheitsanforderungen pro Dienst definieren. DNS: DNSSEC, Zugriffsbeschränkung. VPN: AES-256, MFA, Split-Tunnel-Policy. MPLS: Verschlüsselung, SLA-Überwachung. Firewall: Regelwerk-Review, Logging, Alerting. Jeder Dienst hat spezifische Anforderungen.
Dienstleister regelmäßig bewerten. Jährliche Überprüfung: Zertifizierungen aktuell? SLA eingehalten? Sicherheitsvorfälle gemeldet? Audit-Berichte vorgelegt? Dokumentiere die Bewertung und leite bei Mängeln Maßnahmen ein.
Netzwerkdienste überwachen. Verfügbarkeitsmonitoring, Performance-Monitoring und Security-Monitoring für alle kritischen Netzwerkdienste. Ausfälle oder Degradation werden sofort erkannt und eskaliert.
Typische Audit-Nachweise
Auditoren erwarten bei A.8.21 typischerweise diese Nachweise:
- Netzwerkdienste-Inventar — Liste aller Dienste mit Sicherheitsanforderungen (→ IT-Betriebsrichtlinie im Starter Kit)
- Vertragliche Vereinbarungen — SLAs mit Sicherheitsklauseln für externe Anbieter
- Dienstleister-Bewertungen — jährliche Überprüfungsergebnisse
- Monitoring-Nachweise — Dashboard oder Berichte zur Überwachung der Dienste
- Zertifizierungsnachweise — ISO 27001, SOC 2 oder vergleichbare Nachweise der Dienstleister
KPI
Anteil der Netzwerkdienste mit dokumentierten und verifizierten Sicherheitsvereinbarungen
Gemessen als Prozentsatz: Wie viele deiner Netzwerkdienste (intern und extern) haben dokumentierte Sicherheitsanforderungen und aktuelle Compliance-Nachweise? Ziel: 100%.
Ergänzende KPIs:
- Anteil der externen Netzwerkdienstleister mit gültigem Zertifizierungsnachweis
- Anzahl der SLA-Verletzungen pro Quartal
- Verfügbarkeit der kritischen Netzwerkdienste (Ziel: über 99,9%)
BSI IT-Grundschutz
A.8.21 mappt auf die BSI-Netzwerk-Bausteine:
- NET.1.1 (Netzarchitektur und -design) — übergreifende Anforderungen an die sichere Gestaltung von Netzwerkdiensten.
- NET.3.1–NET.3.4 (Router/Switches, Firewalls, VPN, NAC) — spezifische Sicherheitsanforderungen an einzelne Netzwerkdienste und -komponenten.
Verwandte Kontrollen
- A.8.20 — Netzwerksicherheit: Die übergeordnete Netzwerk-Kontrolle, die A.8.21 konkretisiert.
- A.8.22 — Trennung von Netzwerken: Segmentierung der Netzwerkdienste nach Schutzbedarf.
- A.5.21 — Informationssicherheit in der IKT-Lieferkette: Externe Netzwerkdienstleister sind Teil der Lieferkette.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.8.21 — Sicherheit von Netzwerkdiensten
- ISO/IEC 27002:2022 Abschnitt 8.21 — Umsetzungshinweise zur Sicherheit von Netzwerkdiensten
- BSI IT-Grundschutz, NET.1.1 — Netzarchitektur und -design