Starter Kit · Richtlinie

Richtlinie zum IT-Betrieb

Aktualisiert am 16. April 2026 4 Min. Geprüft von: Cenedril-Redaktion

A.8.6A.8.8A.8.13A.8.14A.8.15A.8.16A.8.17A.8.18A.8.19A.8.20A.8.21A.8.22A.8.23 ISO 27001NIS2 Art. 21(2)(d)BSI OPS.1BSI NET.1

Die IT-Betriebsrichtlinie ist das operative Rückgrat deines ISMS. Während andere Richtlinien definieren, was geschützt werden muss, regelt diese, wie der tägliche IT-Betrieb sicher abläuft. Schwachstellenmanagement, Backup, Logging, Monitoring, Netzwerksicherheit und Segmentierung — alles in einem Dokument.

Zehn Annex-A-Controls (A 8.8, A 8.13–17, A 8.20–23) machen die IT-Betriebsrichtlinie zu einem der umfangreichsten Dokumente im Starter Kit. BSI IT-Grundschutz deckt das Thema über mehrere Bausteine ab: OPS.1 (IT-Betrieb), NET.1 (Netzarchitektur), NET.3 (Netzkomponenten), CON.3 (Backup) und DER.1 (Detektion). Weiter unten findest du die vollständige Vorlage.

Was regelt diese Richtlinie?

Die Vorlage deckt fünf operative Kernbereiche ab:

Schwachstellenmanagement (Abschnitt 3) — Automatisierte Vulnerability-Scans mindestens monatlich, jährliche Penetrationstests, CVSS-basierte Risikobewertung, konkrete Behebungsfristen (kritisch 72h bis niedrig 90d), Software Composition Analysis für Drittanbieter-Bibliotheken, öffentlicher Kontaktpunkt für Responsible Disclosure (security@domain), Eskalationspfade wenn kein Patch verfügbar ist (Workaround, Dienst deaktivieren, IDS/IPS-Schutz, verstärktes Monitoring).

Backup und Redundanz (Abschnitte 4–5) — 3-2-1-Regel, Offline-/Immutable-Backups gegen Ransomware, Verschlüsselung nach Klassifizierungsstufe, regelmäßige Wiederherstellungstests gegen Recovery-Time-Ziele, Cloud-Backup-Assessment. Redundanz: mindestens zwei ISPs, geographisch getrennte Rechenzentren, redundante Stromversorgung, parallele Software-Instanzen mit Load Balancing.

Logging und Monitoring (Abschnitte 6–8) — 15 Ereignistypen protokollieren, kryptographischer Manipulationsschutz (Hashing, Append-Only), SIEM für Korrelation und Alarmierung, UEBA für Verhaltensanalyse, Threat-Intelligence-Integration. Monitoring: Netzwerkverkehr, Systemzugriffe, Konfigurationsänderungen, Ressourcenauslastung, ML/KI-basierte Anomalieerkennung, Botnet-C2-Erkennung. Zeitsynchronisation über NTP/PTP mit DCF77- oder GPS-Referenz.

Netzwerksicherheit (Abschnitte 9–11) — Sechs Sicherheitszonen (Management, Server, Client, DMZ, Gäste, IoT/OT), 802.1X-Portauthentisierung, deny-by-default-Firewalls, Gerätehärtung, getrennte Administrationskanäle, WLAN als nicht vertrauenswürdig bis nach 802.1X-Authentisierung. SLAs mit Netzwerkdienstleistern inkl. Verschlüsselung (TLS 1.2+), Authentisierung und Monitoring.

Web-Filtering (Abschnitt 12) — Blockierte Kategorien: Upload-Seiten, bekannte Malware-Seiten, C2-Server, Threat-Intelligence-basierte Blocklists, illegale Inhalte. Aktualisierung innerhalb von 24 Stunden nach Threat-Intelligence-Benachrichtigung.

So führst du die Richtlinie ein

01

Asset-Inventar als Grundlage

Effektives Schwachstellenmanagement braucht ein vollständiges Asset-Inventar. Welche Systeme, Anwendungen und Bibliotheken sind im Einsatz? Ohne diese Liste weißt du nicht, welche CVEs dich betreffen. Die Vorlage setzt voraus, dass ein Asset-Inventar existiert.
02

Patch-Prozess mit Fristen definieren

Lege fest, wer für Patches verantwortlich ist, wie die Priorisierung nach CVSS funktioniert und welche Fristen gelten. Die Vorlage gibt vier Stufen vor: 72h, 7d, 30d, 90d. Alle Patches durchlaufen den Change-Management-Prozess und werden in einer Testumgebung geprüft, bevor sie produktiv gehen.
03

Backup-Konzept aufsetzen

Dokumentiere für jedes kritische System: Backup-Umfang, Zeitplan, Speicherort, Aufbewahrungsfrist und Wiederherstellungsverfahren. Die 3-2-1-Regel (drei Kopien, zwei Medientypen, eine offsite) ist das Minimum. Ergänze Offline- oder Immutable-Backups gegen Ransomware. Teste die Wiederherstellung regelmäßig — auf einem Testsystem, nie produktiv.
04

Logging und SIEM einrichten

Leite Logs an einen zentralen Log-Server weiter. Definiere Aufbewahrungsfristen pro Regulation und Datentyp. Schütze Logs gegen Manipulation (kryptographisches Hashing, Append-Only-Speicher). Wenn möglich: SIEM für Korrelation und regelbasierte Alarmierung. Die Vorlage listet 15 Ereignistypen — starte mit Zugriffsversuchen, Konfigurationsänderungen und Privilegiennutzung.
05

Netzwerk in Zonen segmentieren

Trenne mindestens Management, Server, Client und DMZ. Firewalls zwischen den Zonen mit deny-by-default. WLAN als eigene, nicht vertrauenswürdige Zone behandeln. Dokumentiere die Topologie in einem aktuellen Netzwerkdiagramm — Auditor:innen fragen als erstes danach.

Wo es in der Praxis schiefgeht

1. Kein Patch-Tracking. Schwachstellen werden erkannt, aber es gibt keinen Prozess, der sicherstellt, dass sie innerhalb der Fristen behoben werden. Ohne ein Tracking-System (Ticket, Spreadsheet, Tool) verschwinden Schwachstellen im Tagesgeschäft.

2. Backups nie getestet. Backups laufen täglich, aber die letzte Wiederherstellung wurde vor drei Jahren getestet. Im Ernstfall stellt sich heraus, dass die Sicherung korrupt ist oder die Wiederherstellung 48 Stunden dauert statt der geplanten vier.

3. Logs ohne zentrale Sammlung. Jedes System protokolliert für sich, aber die Logs sind nirgends zusammengeführt. Korrelation zwischen Firewall, Webserver und Active Directory ist unmöglich. Im Vorfallfall dauert die Analyse Tage statt Stunden.

4. Flaches Netzwerk. Server, Clients, Drucker und Gäste-WLAN im selben Netz. Ein kompromittierter Client hat direkten Zugriff auf den Datenbankserver. Netzwerksegmentierung ist der effektivste einzelne Schutz gegen laterale Bewegung.

5. Uhren nicht synchronisiert. Firewall loggt in UTC, Server in UTC+1, Anwendung in UTC+2. Im Vorfallfall lässt sich die Chronologie der Ereignisse nicht rekonstruieren. NTP-Konfiguration kostet zehn Minuten und spart im Ernstfall Tage.

Vorlage: IT-Betriebsrichtlinie

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Technologische Maßnahmen:

A 8.8 — Handhabung technischer Schwachstellen
A 8.13 — Datensicherung
A 8.14 — Redundanz von Informationsverarbeitungseinrichtungen
A 8.15 — Protokollierung
A 8.16 — Überwachungsaktivitäten
A 8.17 — Uhrensynchronisation
A 8.20 — Netzwerksicherheit
A 8.21 — Sicherheit von Netzwerkdiensten
A 8.22 — Trennung von Netzwerken
A 8.23 — Webfilterung

BSI IT-Grundschutz:

OPS.1.1.3 (Patch- und Änderungsmanagement)
DER.1.A12 (Auswertung von Informationen aus externen Quellen)
CON.3 (Datensicherungskonzept)
OPS.1.1.5 (Protokollierung)
DER.1 (Detektion sicherheitsrelevanter Ereignisse)
OPS.1.2.6 (NTP-Zeitsynchronisation)
NET.1.1 (Netzarchitektur und -design)
NET.1.2 (Netzmanagement)
NET.3.1 (Router und Switches)
NET.1.1.A4 (Netzsegmentierung in Sicherheitszonen)
NET.3.2 (Firewall)

Weitere jurisdiktionsspezifische Gesetze — insbesondere NIS2, sektorspezifische Anforderungen an den IT-Betrieb, Telekommunikationsrecht und Aufbewahrungsrecht — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt die betrieblichen Sicherheitsregeln für IT-Systeme, Netzwerke und Dienste bei [IHR_ORGANISATIONSNAME] fest. Sie deckt Schwachstellenmanagement, Datensicherung, Redundanz, Protokollierung, Überwachung, Zeitsynchronisation, Netzwerksicherheit, Netzwerkdienstsicherheit, Netztrennung und Webfilterung ab.

Die Richtlinie gilt für alle Personen, die für den Betrieb, die Administration oder die Nutzung der IT-Infrastruktur verantwortlich sind, einschließlich Beschäftigter, Auftragnehmer und Drittanbieter mit Zugriff auf die Informationsverarbeitungseinrichtungen der Organisation.

3. Handhabung technischer Schwachstellen (A 8.8)

Ein genaues Asset-Verzeichnis (siehe Asset Management) ist Voraussetzung für ein wirksames Schwachstellenmanagement. Informationen über technische Schwachstellen werden zeitnah eingeholt, die Exposition wird bewertet und angemessene Maßnahmen zur Behandlung der damit verbundenen Risiken werden ergriffen. Software, die vom Hersteller nicht mehr unterstützt wird, wird außer Betrieb genommen oder ersetzt; fortgesetzte Nutzung erfordert eine dokumentierte Risikoakzeptanz mit kompensierenden Maßnahmen.

3.1 Rollen, Ressourcen & Werkzeuge

Rollen & Verantwortlichkeiten: Definierte Rollen decken Schwachstellenüberwachung, Risikobewertung, Patch-Koordination und Umsetzungsverfolgung ab. Das IT-Sicherheitsteam koordiniert den Schwachstellenmanagement-Prozess und meldet Feststellungen an die/den Informationssicherheitsbeauftragte/n.
Informationsquellen: Für jeden Asset-Typ im Softwareverzeichnis werden dedizierte Informationsquellen zur Schwachstellenerkennung identifiziert (Herstelleradvisories, CERT-Feeds, CVE-Datenbanken, NVD). Die Quellen werden vierteljährlich überprüft und bei Einführung neuer Asset-Typen aktualisiert.
Lieferantenpflichten: Verträge mit Software- und Hardwarelieferanten enthalten Klauseln, die zeitnahe Schwachstellenmeldungen, die Bereitstellung von Sicherheitspatches und koordinierte Offenlegung fordern.
Schwachstellenscans: Automatisierte Schwachstellenscanner laufen nach einem definierten Zeitplan (mindestens monatlich) gegen alle extern erreichbaren und kritischen internen Systeme. Scanergebnisse werden verifiziert, und die Wirksamkeit von Patches wird durch Folge-Scans bestätigt.
Penetrationstests: Geplante, dokumentierte Penetrationstests oder Schwachstellenbewertungen werden mindestens jährlich von autorisierten und qualifizierten Personen durchgeführt. Umfang, Methodik und Regeln für den Einsatz werden vorab vereinbart, und Feststellungen werden bis zur Behebung nachverfolgt.
Drittanbieter-Bibliotheken & Quellcode: Drittanbieter-Bibliotheken, Open-Source-Komponenten und eigener Quellcode werden mit Software Composition Analysis auf bekannte Schwachstellen überwacht. Dies ist an den sicheren Entwicklungslebenszyklus gebunden (siehe sichere Programmierpraxis).

3.2 Offenlegung & Meldung von Schwachstellen

Eigene Produkte & Dienste: Schwachstellen in den eigenen Produkten und Diensten der Organisation, einschließlich solcher, die durch externe Komponenten eingeführt werden, werden durch kontinuierliche Überwachung, automatisierte Scans und Nutzermeldungen erkannt.
Interne & externe Meldungen: Schwachstellenmeldungen werden sowohl von internen Personen als auch von externen Forschern angenommen. Jede Meldung wird bestätigt, innerhalb von 48 Stunden triagiert und bis zur Behebung nachverfolgt.
Öffentliche Kontaktstelle: Eine öffentlich zugängliche Kontaktstelle (z. B. security@domain, ein dediziertes Webformular) wird für die verantwortliche Offenlegung von Schwachstellen durch externe Parteien unterhalten.
Meldeverfahren: Definierte Verfahren regeln die Schwachstelleneinreichung, einschließlich Onlineformularen, strukturierten Vorlagen und Integration mit Threat-Intelligence-Foren. Meldungen werden beim Eingang nach Schweregrad klassifiziert.

3.3 Analyse & Verifizierung

Meldungsanalyse: Jede Schwachstellenmeldung wird analysiert und verifiziert, um ihre Gültigkeit, die betroffenen Systeme und die erforderliche Reaktion und Behebung zu ermitteln. Duplikatmeldungen werden konsolidiert.
Risikobewertung: Für jede bestätigte Schwachstelle werden die zugehörigen Risiken anhand von CVSS-Werten und der Asset-Kritikalität der Organisation identifiziert. Angemessene Maßnahmen werden festgelegt: Patch, Workaround, Risikoakzeptanz mit dokumentierter Begründung oder Isolation des betroffenen Systems.
Audit-Protokoll: Ein Audit-Protokoll wird für alle Schritte des Schwachstellenmanagements geführt — von der ersten Meldung über Analyse, Entscheidung, Behebung bis zur Verifizierung. Das Protokoll wird gemäß dem Log-Aufbewahrungsplan der Organisation aufbewahrt.

3.4 Behebung & Patching

Zeitnahe Maßnahmen: Behebungsmaßnahmen werden nach Schweregrad innerhalb definierter Fristen umgesetzt: kritische Schwachstellen innerhalb von 72 Stunden, hohe innerhalb von 7 Tagen, mittlere innerhalb von 30 Tagen, niedrige innerhalb von 90 Tagen.
Änderungsmanagement: Alle Patches und Updates folgen den etablierten Änderungsmanagement-Kontrollen (siehe Richtlinie zu Konfigurations- und Änderungsmanagement), einschließlich Folgenabschätzung und Genehmigung.
Legitime Quellen: Updates und Patches werden ausschließlich aus legitimen, verifizierten Quellen bezogen (Herstellerwebsites, autorisierte Repositorien). Prüfsummen und digitale Signaturen werden vor der Installation verifiziert.
Tests vor Installation: Updates werden in einer Nicht-Produktionsumgebung vor der Installation auf Produktionssystemen getestet und bewertet. Testergebnisse werden dokumentiert.
Priorisierung: Systeme mit hohem Risiko und geschäftskritische Systeme werden zuerst gepatcht. Die Priorisierung berücksichtigt Asset-Kritikalität, Ausnutzungswahrscheinlichkeit und Expositionsgrad.
Behebungsplan: Ein wirksamer, dauerhafter Behebungsplan wird für jede bestätigte Schwachstelle entwickelt und legt Maßnahmen, Verantwortliche, Zeitpläne und Verifizierungskriterien fest.
Wirksamkeitsbestätigung: Nach der Behebung wird die Wirksamkeit der angewendeten Korrektur durch Re-Scan, Re-Test oder manuelle Verifikation bestätigt.
Patch-Authentizität: Die Authentizität und Integrität von Patches wird vor der Bereitstellung über Prüfsummen, digitale Signaturen oder sichere Hashes verifiziert.
Workarounds (kein Update verfügbar): Wenn kein Herstellerupdate verfügbar ist, werden vom Hersteller empfohlene Workarounds angewendet und als Übergangsmaßnahmen dokumentiert.
Dienstabschaltung: Wenn kein Update oder Workaround existiert, werden betroffene Dienste oder Funktionen deaktiviert, um die Angriffsfläche zu reduzieren.
Verschärfte Zugriffskontrollen: Wenn kein Patch verfügbar ist, werden Zugriffskontrollen um das verwundbare System verschärft und zusätzliche Firewall-Regeln angewendet, um die Exposition einzuschränken.
Abschirmung durch Intrusion Detection: Nicht gepatchte Systeme werden hinter Intrusion-Detection-/Prevention-Systeme (IDS/IPS) gestellt, um Ausnutzungsversuche zu erkennen und zu blockieren.
Erhöhte Überwachung: Die Überwachung nicht gepatchter Systeme wird verstärkt, um Ausnutzungsversuche zu erkennen, einschließlich intensivierter Log-Prüfung und Alarmierung.
Sensibilisierung: Wenn eine Schwachstelle Systeme betrifft, die nicht sofort gepatcht werden können, werden relevante Personen über die Schwachstelle, ihre Risiken und die geltenden Vorsichtsmaßnahmen informiert.
Hersteller-Update-Mechanismen: Für kommerzielle Software werden vom Hersteller bereitgestellte Update-Mechanismen (automatische Update-Dienste, verwaltete Update-Kanäle) genutzt, wo verfügbar, und für die zeitnahe Auslieferung konfiguriert.
Bewertung verzögerter Updates: Ist ein angemessener Test eines Updates innerhalb der erforderlichen Frist nicht möglich, kann das Update verzögert werden. Das zugehörige Risiko des verzögerten Patchens wird bewertet, dokumentiert und vom Risikoeigentümer vor dem Aufschub akzeptiert.

4. Datensicherung (A 8.13)

Ein umfassendes Datensicherungskonzept wird für jedes kritische System dokumentiert und deckt Sicherungsumfang, -plan, -speicherung, -aufbewahrung und -wiederherstellungsverfahren ab. Es gilt die 3-2-1-Regel: mindestens drei Datenkopien, auf zwei verschiedenen Medientypen, mit einer Kopie an einem externen Standort. Das Sicherungsdesign berücksichtigt Ransomware-Szenarien, indem Offline- oder unveränderliche Sicherungskopien geführt werden.

4.1 Sicherungsdesign & -schutz

Sicherungseinrichtungen: Angemessene Sicherungseinrichtungen werden für alle wesentlichen Informationen, Software und Systemabbilder bereitgestellt, um eine vollständige Wiederherstellung nach einem Datenverlust zu ermöglichen.
Sicherungsaufzeichnungen: Genaue, vollständige Aufzeichnungen aller Sicherungen werden geführt, einschließlich Sicherungsumfang, -plan, verwendeter Medien, Speicherort und dokumentierter Wiederherstellungsverfahren pro System.
Sicherungsplan: Der Sicherungsplan spiegelt die im Business-Continuity-Plan definierten Recovery Point Objectives, die Sicherheitsanforderungen und die Informationsklassifizierung der Daten wider. Kritische Systeme werden mindestens täglich gesichert; weniger kritische Daten gemäß ihrer Klassifizierungsstufe.
Auslagerung: Sicherungskopien werden an einem entfernten Standort gespeichert, der hinreichend weit vom Hauptstandort entfernt ist, um zu verhindern, dass beide von derselben Katastrophe betroffen sind. Der ausgelagerte Standort erfüllt dieselben physischen und umweltbezogenen Sicherheitsanforderungen wie der Primärstandort.
Physischer & umweltbezogener Schutz: Sicherungsmedien werden durch angemessene physische und umweltbezogene Maßnahmen gegen unbefugten Zugriff, Diebstahl, Umweltschäden (Temperatur, Feuchtigkeit, elektromagnetische Interferenz) und Verschleiß geschützt.
Regelmäßige Tests: Sicherungsmedien werden regelmäßig getestet, um die Datenintegrität und Lesbarkeit sicherzustellen. Die Wiederherstellung wird auf einem dedizierten Testsystem getestet — niemals auf der Produktion — um zu verifizieren, dass der gesamte Wiederherstellungsprozess korrekt funktioniert.
Sicherungsverschlüsselung: Sicherungen werden auf Grundlage der Risikobewertung und der Klassifizierung der gesicherten Daten verschlüsselt. Verschlüsselungsschlüssel für Sicherungen werden getrennt von den Sicherungsmedien gespeichert und gemäß der Schlüsselverwaltungsrichtlinie verwaltet.
Erkennung von Datenverlust: Verfahren erkennen unbeabsichtigten Datenverlust oder -korruption, bevor die Sicherung ausgeführt wird, um sicherzustellen, dass beschädigte Daten nicht über gültige Kopien gesichert werden.
Sicherungsüberwachung: Die Sicherungsausführung wird automatisch überwacht. Fehler werden protokolliert, alarmiert und innerhalb definierter Fristen behandelt. Sicherungsprotokolle werden wöchentlich überprüft.
Cloud-Sicherung: Wenn cloudbasierte Sicherungsdienste genutzt werden, werden die Fähigkeiten des Cloud-Anbieters anhand der Sicherungsanforderungen der Organisation bewertet, einschließlich Datensouveränität, Verschlüsselung, Aufbewahrung, Wiederherstellungsgeschwindigkeit und vertraglicher SLAs.

4.2 Sicherungstests & Validierung

Abstimmung auf Incident Response: Sicherungsmaßnahmen werden regelmäßig gegen die Ziele der Incident-Response- und Business-Continuity-Pläne getestet, um zu bestätigen, dass gesicherte Daten, Software und Systemabbilder für eine vollständige Wiederherstellung ausreichen.
Wiederherstellungszeittests: Wiederherstellungsverfahren werden gegen die im Business-Continuity-Plan definierten Wiederherstellungszeitanforderungen getestet. Testergebnisse werden dokumentiert, und etwaige Defizite bei der Wiederherstellungsgeschwindigkeit lösen Korrekturmaßnahmen aus.

5. Redundanz von Informationsverarbeitungseinrichtungen (A 8.14)

Verfügbarkeitsanforderungen für Geschäftsservices und Informationssysteme werden identifiziert, und die Architektur wird mit ausreichender Redundanz gestaltet, um sie zu erfüllen. Das Redundanzdesign berücksichtigt den Zusammenhang mit der IKT-Bereitschaft für Business Continuity und trägt den Integritätsrisiken Rechnung, die durch Datenreplikation auf duplizierte Komponenten entstehen können.

5.1 Redundanzdesign

Mehrere ISPs / Lieferanten kritischer Einrichtungen: Es werden Verträge mit mindestens zwei unabhängigen Internetdienstanbietern oder Lieferanten kritischer Einrichtungen geführt, um die Abhängigkeit von einem einzigen Anbieter zu eliminieren.
Redundante Netze: Redundante Netzwege sind so implementiert, dass der Ausfall einer einzelnen Netzwerkverbindung kritische Dienste nicht unterbricht.
Geografisch getrennte Rechenzentren: Zwei geografisch getrennte Rechenzentren mit gespiegelten Systemen werden für kritische Dienste betrieben und sichern die Kontinuität, falls ein Standort nicht verfügbar ist.
Redundante Stromversorgungen: Physisch redundante Stromversorgungen und unabhängige Energiequellen (USV, Generatoren, doppelte Versorgungsanschlüsse) werden für kritische Informationsverarbeitungseinrichtungen installiert.
Parallele Softwareinstanzen: Mehrere parallele Softwareinstanzen mit automatischem Load Balancing werden für kritische Anwendungen bereitgestellt und verteilen die Last sowie Failover-Kapazität.
Doppelte Komponenten: Kritische Hardwarekomponenten — CPUs, Festplatten, Speicher, Firewalls, Router, Switches — werden dupliziert, um Single Points of Failure zu eliminieren.

5.2 Failover-Tests

Failover-Verifizierung: Das Failover von primären auf redundante Komponenten wird in geplanten Intervallen getestet, um zu bestätigen, dass die automatische Umschaltung wie beabsichtigt funktioniert, während des Übergangs keine Daten verloren gehen und die Leistung die definierten Schwellenwerte erfüllt.

6. Protokollierung (A 8.15)

Protokolle werden erstellt, gespeichert, geschützt und analysiert, um Ereignisse aufzuzeichnen, die für Informationssicherheit und Datenschutz relevant sind. Protokolldaten werden an einen zentralen Log-Server weitergeleitet. Aufbewahrungsfristen werden je nach Vorschrift und Datentyp festgelegt. Protokolle enthalten keine Passwörter oder personenbezogenen Daten, sofern dies nicht ausdrücklich erforderlich und geschützt ist. Alle Systeme nutzen synchronisierte Zeitquellen (siehe Uhrensynchronisation), um eine systemübergreifende Log-Korrelation zu ermöglichen.

6.1 Zu protokollierende Ereignisdaten

Benutzer-IDs: Jedes protokollierte Ereignis erfasst die Benutzer-ID des Kontos oder der Entität, die die Aktion initiiert oder mit ihr verbunden war.
Systemaktivitäten: Aktivitäten auf Systemebene — Dienststarts/-stopps, geplante Aufgaben, Batch-Job-Ausführungen und Systemfehler — werden mit ausreichend Detail für Fehlersuche und Sicherheitsanalyse protokolliert.
Datum & Uhrzeit: Jeder Logeintrag enthält Datum und Uhrzeit des Ereignisses, erfasst von der synchronisierten Systemuhr in UTC oder einer definierten Lokalzeit mit UTC-Offset.
Geräteidentität & Standort: Die Identität des Geräts (Hostname, Asset-ID) und gegebenenfalls sein physischer oder logischer Standort werden in jedem Logeintrag erfasst.
Netzwerkadressen & Protokolle: Quell- und Ziel-IP-Adressen, Portnummern und das verwendete Netzwerkprotokoll werden für alle netzwerkbezogenen Ereignisse protokolliert.
Zugriffsversuche: Alle Zugriffsversuche — erfolgreiche und fehlgeschlagene — auf Systeme, Anwendungen und Daten werden protokolliert, einschließlich der verwendeten Authentifizierungsmethode.
Ressourcenzugriff: Zugriffe auf kritische Ressourcen (Datenbanken, Dateifreigaben, APIs, Administrationsschnittstellen) werden protokolliert, wobei die zugegriffene Ressource identifiziert wird.
Konfigurationsänderungen: Alle Änderungen an System-, Anwendungs- und Sicherheitskonfigurationen werden protokolliert, einschließlich der vorherigen und neuen Werte, soweit möglich.
Nutzung von Privilegien: Die Nutzung privilegierter Konten und erhöhter Rechte wird protokolliert, einschließlich der konkret ausgeübten Privilegien und des Zielsystems oder der Zielressource.
Verwendung von Utilities & Tools: Die Nutzung von Systemutilities, Diagnosetools und Administrationswerkzeugen wird mit dem ausgeführten Befehl oder Vorgang protokolliert.
Dateizugriff & -löschung: Zugriff, Änderung und Löschung von Dateien — insbesondere solche mit klassifizierten oder sensiblen Informationen — werden protokolliert.
Zugriffskontrollalarme: Ereignisse, die durch Zugriffskontrollmechanismen ausgelöst werden (Kontosperrungen, wiederholte Authentifizierungsfehler, unbefugte Zugriffsversuche), werden protokolliert und erzeugen Alarme.
Aktivierung & Deaktivierung von Sicherheitssystemen: Die Aktivierung, Deaktivierung oder Änderung von Sicherheitssystemen (Firewalls, IDS/IPS, Anti-Malware, DLP) wird protokolliert.
Änderungen im Identitätsmanagement: Änderungen an Benutzerkonten, Gruppenzugehörigkeiten, Rollen und Berechtigungen in Identitätsmanagementsystemen werden protokolliert.
Anwendungstransaktionen: Von Nutzern initiierte Transaktionen in geschäftskritischen Anwendungen werden auf einem Detaillierungsgrad protokolliert, der der Klassifizierung der Anwendung angemessen ist.

6.2 Log-Schutz & -Integrität

Erkennung von Nachrichtentyp-Änderungen: Kontrollen erkennen Änderungen an protokollierten Nachrichtentypen, einschließlich Änderungen am Log-Format, der Ereigniskategorisierung oder der Schweregrad-Klassifizierung.
Erkennung von Log-Datei-Manipulation: Bearbeitungen, Löschungen oder unbefugte Änderungen an Protokolldateien werden durch Integritätsüberwachung erkannt. Nutzer — einschließlich solcher mit privilegiertem Zugriff — dürfen Protokolle ihrer eigenen Aktivitäten nicht löschen oder deaktivieren.
Kapazitäts- & Überschreibungsschutz: Die Log-Speicherkapazität wird überwacht. Das System erkennt und alarmiert bei Ausfällen der Ereignisaufzeichnung oder beim Überschreiben von Protokolldaten aufgrund von Speichererschöpfung. Log-Rotationsrichtlinien stellen sicher, dass Protokolle archiviert werden, bevor sie überschrieben werden.
Kryptographisches Hashing: Kryptographische Hashes werden in definierten Intervallen auf Protokolldateien angewendet, um die Erkennung nachträglicher Änderungen zu ermöglichen.
Append-Only-Speicherung: Protokolldateien werden in Append-Only- oder Read-Only-Formaten gespeichert. Write-Once-Medien oder unveränderlicher Speicher werden verwendet, wo die Risikobewertung dies rechtfertigt.
Öffentliche Transparenzdateien: Wo anwendbar, werden öffentliche Transparenzmechanismen (z. B. Certificate-Transparency-Logs, Blockchain-verankerte Zeitstempel) eingesetzt, um unabhängig überprüfbaren Nachweis zu liefern, dass Logeinträge nicht verändert wurden.

6.3 Log-Analyse

Fachkenntnisse zur Analyse: Personen, die Log-Analysen durchführen, verfügen über die erforderlichen Kenntnisse in Ereignisinterpretation, Angriffsmustererkennung und forensischen Analysetechniken. Schulungen werden beim Onboarding und jährlich aufgefrischt.
Analyse von Ereignisattributen: Log-Analysen berücksichtigen Ereignisattribute (Quelle, Ziel, Aktion, Ergebnis, Zeit), um Muster zu erkennen, die auf Sicherheitsvorfälle hindeuten.
Regelbasierte Ausnahmen (SIEM): Ein Security-Information-and-Event-Management-System (SIEM) wendet regelbasierte Korrelation und Ausnahmenerkennung über Logquellen hinweg an, um Ereignisse zu identifizieren, die von erwarteten Mustern abweichen.
Verhaltens-Baselines (UEBA): User and Entity Behaviour Analytics etablieren Verhaltens-Baselines und erkennen Abweichungen, die auf kompromittierte Konten, Insider-Bedrohungen oder Richtlinienverstöße hindeuten.
Trend- & Musteranalyse: Langfristige Trend- und Musteranalysen werden auf aggregierten Logdaten durchgeführt, um aufkommende Bedrohungen, wiederkehrende Vorfälle oder schleichende Veränderungen von Angriffsvektoren zu identifizieren.
Integration von Threat Intelligence: Die Log-Analyse bezieht Threat-Intelligence-Feeds ein (Indicators of Compromise, bekannte bösartige IPs, Angriffssignaturen), um den Ereigniskontext anzureichern und die Erkennung zu beschleunigen.

6.4 Log-Prüfaktivitäten

Prüfung von Zugriffen auf geschützte Ressourcen: Zugriffsversuche auf geschützte Ressourcen (DNS-Server, Webproxys, Dateifreigaben) werden regelmäßig überprüft, um unbefugte Zugriffsmuster oder Datenexfiltrationsversuche zu identifizieren.
DNS-Log-Analyse: DNS-Query-Logs werden analysiert, um Kommunikation mit bekannten Botnet-Command-and-Control-Servern, Domain-Generation-Algorithmen oder DNS-Tunneling-Aktivitäten zu erkennen.
Nutzungsberichte von Dienstleistern: Nutzungsberichte externer Dienstleister (Cloud, SaaS, Managed Services) werden überprüft, um anomale Nutzungsmuster oder unbefugte Nutzung zu identifizieren.
Korrelation physischer Überwachung: Protokolle physischer Überwachungssysteme (Zutrittskontrolle, CCTV, Umweltsensoren) werden mit IT-Ereignisprotokollen korreliert, um koordinierte physisch-digitale Angriffsszenarien zu erkennen.
Systemübergreifende Log-Korrelation: Protokolle aus verschiedenen Systemen, Anwendungen und Sicherheitswerkzeugen werden korreliert, um eine einheitliche Sicht auf Ereignisse zu liefern und mehrstufige Angriffe zu erkennen, die sich über mehrere Systeme erstrecken.

6.5 Protokollierungswerkzeuge

Audit- & Abfragewerkzeuge: Dedizierte Werkzeuge zum Abfragen, Suchen und Untersuchen von Logdaten werden eingesetzt. Diese Werkzeuge unterstützen strukturierte Abfragen, Volltextsuche und Filterung nach Ereignisattributen.
Automatisierte Überwachung & konsolidierte Berichte: Automatisierte Überwachungswerkzeuge erstellen konsolidierte Berichte über Logereignisse und fassen wichtige Kennzahlen, Anomaliezahlen und Sicherheitsindikatoren für die Managementüberprüfung zusammen.
SIEM-Plattform: Eine SIEM-Plattform wird für zentrale Logspeicherung, Korrelation, Normalisierung und Alarmgenerierung eingesetzt. Das SIEM nimmt Logs von allen kritischen Systemen auf und wendet Detektionsregeln an, die auf die Bedrohungslage der Organisation abgestimmt sind.
Manipulationserkennung über Transparenz: Wo öffentliche Transparenzdateien oder Blockchain-verankerte Mechanismen verfügbar sind, werden sie in die Protokollierungsinfrastruktur integriert, um unabhängige Manipulationserkennung für hochintegre Log-Streams zu bieten.

Audit-Logs, die für regulatorische Compliance oder Beweissicherung erforderlich sind, werden gemäß den definierten Aufbewahrungsfristen archiviert. Wenn Logs zur Fehlerdiagnose an Anbieter weitergegeben werden, werden sie vor der Übertragung de-identifiziert, um sensible Daten und personenbezogene Informationen zu entfernen.

7. Überwachungsaktivitäten (A 8.16)

Netzwerke, Systeme und Anwendungen werden kontinuierlich überwacht, um anomales Verhalten und potenzielle Sicherheitsvorfälle zu erkennen. Umfang und Tiefe der Überwachung werden durch Geschäfts- und Informationssicherheitsanforderungen bestimmt und berücksichtigen geltende rechtliche Verpflichtungen. Ein formales Detektionskonzept definiert die Überwachungsstrategie, Verantwortlichkeiten und Eskalationspfade. Durch Überwachung und Protokollierung erkannte Sicherheitsereignisse werden an den Incident-Management-Prozess der Security Operations zur Triage, Klassifizierung und Reaktion eskaliert.

7.1 Überwachungsumfang

Netzwerkverkehr: Eingehender, ausgehender und interner Netzwerkverkehr wird auf Anomalien, unbefugte Verbindungen und Indicators of Compromise überwacht.
Zugriff auf Systeme, Server & Anwendungen: Zugriffe auf Server, Betriebssysteme und Geschäftsanwendungen werden überwacht, mit besonderem Augenmerk auf privilegierte Zugriffe und Aktivitäten außerhalb der Geschäftszeiten.
Kritische Konfigurationsdateien: Änderungen an kritischen Konfigurationsdateien (Betriebssystem, Sicherheitswerkzeuge, Netzwerkgeräte, Anwendungen) werden in Echtzeit überwacht und erzeugen Alarme bei unbefugten Änderungen.
Logs von Sicherheitswerkzeugen: Die Ausgaben von Sicherheitswerkzeugen — Antivirus, IDS/IPS, Firewalls, Data Loss Prevention, Web Application Firewalls — werden überwacht und zentral korreliert.
Ereignisprotokolle: System- und Anwendungsereignisprotokolle werden kontinuierlich in die Überwachungsplattform aufgenommen und gegen Detektionsregeln ausgewertet.
Autorisierung der Code-Ausführung: Die Ausführung von Software und Skripten wird überwacht. Unbefugte oder nicht signierte Code-Ausführungsversuche werden erkannt und, wo technisch machbar, blockiert.
Ressourcennutzung: CPU-, Speicher-, Festplatten- und Bandbreitennutzung werden überwacht, um Ressourcenerschöpfung, Denial-of-Service-Bedingungen und Cryptomining-Aktivitäten zu erkennen.

7.2 Baseline-Erstellung

Auslastungs-Baselines: Normale und Spitzenauslastungs-Baselines werden für alle überwachten Systeme etabliert. Abweichungen von diesen Baselines werden zur Untersuchung markiert.
Baselines für Nutzerzugriffe: Typische Zugriffsmuster pro Nutzer — einschließlich üblicher Zugriffszeiten, Quellorte und -häufigkeit — werden profiliert, um die Erkennung anomalen Verhaltens zu ermöglichen.

7.3 Anomalieerkennung

Ungeplante Prozessbeendigung: Unerwartete Beendigung kritischer Prozesse oder Dienste löst einen sofortigen Alarm und, sofern konfiguriert, einen automatisierten Neustartversuch aus.
Malware-typische Aktivitäten: Netzwerkverkehr zu bekannten bösartigen IP-Adressen, Domains oder URLs sowie Verhaltensmuster, die typisch für Malware sind (Beaconing, laterale Bewegung, Daten-Staging), werden erkannt und alarmiert.
Bekannte Angriffssignaturen: Das Überwachungssystem wendet aktuelle Angriffssignaturen aus Threat-Intelligence-Feeds an, um bekannte Exploits und Angriffsmuster zu erkennen.
Ungewöhnliches Systemverhalten: Systemverhalten, das von etablierten Baselines abweicht — unerwartete Prozesse, abnormale Speichernutzung, ungewöhnliche Netzwerkverbindungen — löst Untersuchungen aus.
Engpässe & Überlastungen: Systemengpässe, Ressourcenüberlastungen und Überschreitungen von Kapazitätsschwellen werden erkannt und eskaliert, um Dienstverschlechterung oder Denial-of-Service-Bedingungen zu verhindern.
Unbefugter Zugriff: Versuche, ohne gültige Berechtigung auf Systeme, Anwendungen oder Daten zuzugreifen, werden in Echtzeit erkannt, protokolliert und alarmiert.
Unbefugtes Scannen: Netzwerk- und Port-Scan-Aktivitäten aus internen oder externen Quellen werden erkannt und erzeugen Alarme zur Untersuchung.
Zugriff auf besonders geschützte Ressourcen: Zugriffsversuche auf besonders geschützte Ressourcen (Administrationsschnittstellen, sensible Datenspeicher, Sicherheitsinfrastruktur) werden mit erhöhter Empfindlichkeit überwacht.
Nutzer- & Systemverhalten vs. Baseline: Abweichungen von etablierten Verhaltens-Baselines für Nutzer und Systeme — ungewöhnliche Login-Zeiten, atypische Datenzugriffsvolumina, abnormale Transaktionsmuster — werden zur Analyse markiert.

7.4 Alarmgenerierung & Reaktion

Schwellenwertbasierte Alarme: Alarme werden auf Basis vordefinierter Schwellenwerte und Detektionsregeln erzeugt. Schwellenwerte werden vierteljährlich überprüft und auf Basis operativer Erfahrungen angepasst.
Tuning von False Positives: Detektionsregeln und Schwellenwerte werden kontinuierlich getunt, um False Positives zu minimieren und gleichzeitig die Erkennungsgenauigkeit zu erhalten. Tuning-Entscheidungen werden dokumentiert.
Geschultes Reaktionspersonal: Geschultes Personal steht zur Verfügung, um innerhalb definierter Reaktionszeiten auf Überwachungsalarme zu reagieren. Eskalationspfade sind dokumentiert und werden in Übungen trainiert.
Redundante Alarmsysteme: Redundante Alarmbenachrichtigungssysteme (z. B. E-Mail, SMS, dedizierte Alarmplattformen) stellen sicher, dass kritische Alarme das Reaktionspersonal auch dann erreichen, wenn ein Benachrichtigungskanal ausfällt.

7.5 Überwachungstechniken

Threat Intelligence: Überwachungssysteme beziehen Threat-Intelligence-Feeds ein, um Indicators of Compromise und bekannte Taktiken, Techniken und Verfahren von Bedrohungsakteuren zu identifizieren.
Machine Learning & KI: Machine-Learning- und KI-basierte Detektionsfähigkeiten werden, wo angemessen, eingesetzt, um Anomalien und Zero-Day-Bedrohungen zu identifizieren, die signaturbasierte Erkennung nicht abdecken kann.
Block- & Allow-Listen: Netzwerk- und Anwendungsüberwachung setzen Blocklisten (bekannte bösartige IPs, Domains, Hashes) und Allow-Listen durch, um Kommunikation auf autorisierte Ziele zu beschränken.
Sicherheitsbewertungen: Erkenntnisse aus Penetrationstests, Schwachstellenbewertungen und Sicherheitsaudits werden in das Überwachungssystem zurückgespielt, um Detektionsregeln und Abdeckung zu verbessern.
Anomalieerkennung durch Performance-Monitoring: Performance-Monitoring-Daten werden auf sicherheitsrelevante Anomalien analysiert — etwa CPU-Spitzen, die auf Cryptomining hinweisen, oder Bandbreitenanstiege, die auf Datenexfiltration hindeuten.
Kombination von Logs & Überwachung: Logdaten und Echtzeit-Überwachung werden kombiniert, um umfassendes Lagebewusstsein zu bieten und die Erkennung langsamer Bedrohungen zu ermöglichen, die einzelne Datenquellen verpassen.
Erkennung von Botnet-Kommunikation: Die Netzwerküberwachung zielt gezielt auf Kommunikationsmuster von Botnet-Command-and-Control ab, einschließlich DNS-basiertem C2, HTTP-Beaconing und Erkennung verschlüsselter Tunnel.

8. Uhrensynchronisation (A 8.17)

Genaue und konsistente Zeit über alle Systeme hinweg ist wesentlich für Log-Korrelation, forensische Untersuchungen und die Beweiskraft. Die folgenden Regeln regeln die Uhrensynchronisation.

Referenzuhr: Eine Referenzuhrquelle, die aus Funkzeitsignalen (DCF77, MSF) oder GPS abgeleitet wird, wird als maßgebliche Zeitquelle für alle Protokollierungs- und Zeitstempel-Operationen verwendet.
NTP- / PTP-Synchronisation: Alle Systeme — Server, Netzwerkgeräte, Endgeräte und Anwendungen — synchronisieren ihre Uhren über NTP (Network Time Protocol) oder PTP (Precision Time Protocol) mit der definierten Referenzuhr. Die Zeitdrifttoleranz überschreitet eine Sekunde für Standardsysteme und eine Millisekunde für Systeme, die hochpräzise Zeitstempel benötigen, nicht.
Überwachung von Uhrenabweichungen: Uhrenabweichungen zwischen Systemen, einschließlich Cloud-Diensten und On-Premises-Infrastruktur, werden überwacht und aufgezeichnet. Alarme werden generiert, wenn die Synchronisationsdrift die definierte Toleranz überschreitet.

9. Netzwerksicherheit (A 8.20)

Die Netzwerkarchitektur wird nach dem Prinzip des geringsten Privilegs in Sicherheitszonen (Management, Server, Client, DMZ, Gast, IoT) gestaltet, dokumentiert und gepflegt. Die Netzwerkdokumentation wird aktuell gehalten und spiegelt die tatsächliche Topologie wider. Firewall-Regeln folgen einem Deny-by-default-Ansatz, und die Netzwerküberwachung ist in das Sicherheitskonzept integriert.

9.1 Netzwerkdesign & Governance

Informationstyp & Klassifizierung: Art, Sensibilität und Klassifizierung der Informationen, die jedes Netzwerk oder Netzwerksegment unterstützt, werden identifiziert und dokumentiert. Netzwerkmaßnahmen werden proportional zur Klassifizierungsstufe angewendet.
Verantwortlichkeiten & Verfahren: Verantwortlichkeiten für das Netzwerksicherheitsmanagement und Verfahren für den Betrieb der Netzwerkinfrastruktur sind definiert, dokumentiert und qualifizierten Personen zugewiesen.
Netzwerkdokumentation & -diagramme: Aktuelle, genaue Netzwerkdokumentation wird geführt, einschließlich Topologiediagrammen, IP-Adressplänen, Geräteinventaren und Verbindungspunkten. Die Dokumentation wird nach jeder Änderung aktualisiert.
Trennung operativer Verantwortlichkeit: Wo machbar, wird die operative Verantwortung für Netzwerke von der Verantwortung für die Computersysteme, die diese Netzwerke nutzen, getrennt, um unabhängige Aufsicht zu gewährleisten.
Maßnahmen für öffentliche, Dritt- & drahtlose Netze: Spezielle Maßnahmen werden angewendet, um Informationen zu schützen, die über öffentliche Netze, Verbindungen aus Drittnetzen und drahtlose Netze übertragen werden. Diese Maßnahmen umfassen Verschlüsselung, Authentifizierung, Zugriffsbeschränkungen und Überwachung.
Protokollierung & Überwachung: Netzwerkaktivitäten werden protokolliert und überwacht, um Sicherheitsereignisse zu erkennen. Die Netzwerküberwachung ist in das übergreifende Sicherheitsüberwachungskonzept der Organisation integriert.
Koordination des Netzwerkmanagements: Netzwerkmanagement-Aktivitäten werden organisationsweit koordiniert, um Service-Level zu optimieren, eine konsistente Durchsetzung von Sicherheitsrichtlinien sicherzustellen und widersprüchliche Konfigurationen zu vermeiden.

9.2 Netzwerkzugriff & Authentifizierung

Systemauthentifizierung: Systeme im Netzwerk werden authentifiziert, bevor ihnen Netzwerkzugriff gewährt wird. Für kabelgebundene und drahtlose Verbindungen werden 802.1X-portbasierte Authentifizierung oder gleichwertige Mechanismen verwendet.
Verbindungsbeschränkung & -filterung: Netzwerkverbindungen werden durch Firewalls mit Deny-by-default-Regeln beschränkt und gefiltert. Nur ausdrücklich autorisierter Verkehr ist erlaubt, und die Regeln werden mindestens halbjährlich überprüft.
Kontrolle von Geräteverbindungen: Unbefugte Geräte werden erkannt und durch Network-Access-Control-Mechanismen (NAC) daran gehindert, sich mit dem Netzwerk zu verbinden. Nur registrierte und konforme Geräte sind zugelassen.

9.3 Netzwerkhärtung & -schutz

Härtung von Netzwerkgeräten: Netzwerkgeräte (Router, Switches, Firewalls, Access Points) werden gehärtet, indem unnötige Dienste deaktiviert, Standardzugangsdaten geändert, aktuelle Firmware angewendet und sichere Managementprotokolle (SSH, SNMPv3) aktiviert werden.
Getrennte Administrationskanäle: Netzwerkadministrationsverkehr wird durch dedizierte Management-VLANs oder Out-of-Band-Managementnetze vom Produktionsverkehr getrennt.
Isolation kritischer Subnetze: Die Fähigkeit besteht, kritische Netzwerk-Subnetze während eines aktiven Angriffs vorübergehend zu isolieren, um die Bedrohung einzudämmen und gleichzeitig wesentliche Dienste auf nicht betroffenen Segmenten aufrechtzuerhalten.
Deaktivierung verwundbarer Protokolle: Bekannte verwundbare Netzwerkprotokolle und Dienste werden deaktiviert oder durch sichere Alternativen ersetzt. Wenn ein verwundbares Protokoll betrieblich notwendig ist, werden kompensierende Maßnahmen (Netzsegmentierung, Verschlüsselung, Überwachung) angewendet.
Sicherheit virtualisierter Netze: Auf virtualisierte Netze werden Sicherheitsmaßnahmen angewendet, die denen für physische Netze entsprechen, einschließlich Mikrosegmentierung, virtueller Firewalls und Verkehrsinspektion innerhalb virtualisierter Umgebungen.

10. Sicherheit von Netzwerkdiensten (A 8.21)

Sicherheitsmaßnahmen für Netzwerkdienste — einschließlich Managed Firewalls, Intrusion Detection, VPN-Dienste und private Netzwerkverbindungen — werden identifiziert, umgesetzt und überwacht. Die Fähigkeit von Netzwerkdienstleistern, vereinbarte Dienste sicher zu verwalten, wird regelmäßig bewertet und auditiert.

10.1 Governance des Dienstzugriffs

Zugängliche Netze & Dienste: Die Netze und Netzwerkdienste, auf die Personen zugreifen dürfen, sind ausdrücklich definiert. Zugriffe über den definierten Umfang hinaus erfordern eine vorherige Genehmigung.
Authentifizierung pro Dienst: Jeder Netzwerkdienst erfordert eine angemessene Authentifizierung — die Stärke der Authentifizierung ist proportional zur Sensibilität des Dienstes und der verarbeiteten Daten.
Autorisierungsverfahren: Formale Autorisierungsverfahren regeln, welchen Nutzern und Systemen der Zugriff auf jeden Netzwerkdienst gestattet ist. Zugriffe werden auf Need-to-use-Basis gewährt und periodisch überprüft.
Managementverfahren & technische Maßnahmen: Managementverfahren und technische Maßnahmen werden implementiert, um den Zugriff auf Netzwerkdienste zu schützen. Die Maßnahmen umfassen Zugriffsprotokollierung, Sitzungsmanagement und Anomalieerkennung.
Zugriffsmittel: Die Mittel, die für den Zugriff auf Netzwerkdienste verwendet werden (VPN, drahtlos, direkte Verbindung), sind pro Dienst definiert. Der Fernzugriff auf interne Dienste erfolgt ausschließlich über genehmigte VPN-Verbindungen.
Zeit- & Ortsattribute: Der Zugriff auf sensible Netzwerkdienste wird durch Tageszeit- und Herkunftsortattribute beschränkt, wo die Risikobewertung dies rechtfertigt.
Nutzungsüberwachung: Die Nutzung von Netzwerkdiensten wird überwacht, um unbefugte Zugriffe, übermäßigen Verbrauch und anomale Muster zu erkennen. Überwachungsergebnisse fließen in den Sicherheitsüberwachungsprozess ein.

10.2 Technische Dienstsicherheit

Authentifizierungs- & Verschlüsselungstechnologie: Netzwerkdienste verwenden aktuelle Authentifizierungs- und Verschlüsselungstechnologien (TLS 1.2+, IPsec, WPA3, 802.1X), die der Dienstklassifizierung angemessen sind.
Technische Verbindungsparameter: Technische Parameter für eine sichere Verbindung zu Netzwerkdiensten — einschließlich Cipher Suites, Zertifikatsanforderungen, Protokollversionen und Sitzungs-Timeout-Werte — sind definiert und werden durchgesetzt.
Cache-Parameter: Cache-Parameter für Netzwerkdienste (Proxy-Caches, Content Delivery, Sitzungs-Caches) werden so konfiguriert, dass unbefugte Datenhaltung verhindert wird und sensible Informationen nicht über den operativen Bedarf hinaus zwischengespeichert werden.
Verfahren zur Zugriffsbeschränkung: Verfahren beschränken den Zugriff auf Netzwerkdienste und Anwendungen basierend auf Nutzeridentität, Geräte-Compliance-Status und Verbindungskontext. Access Control Lists auf Netzwerkebene ergänzen die Autorisierung auf Anwendungsebene.

11. Trennung von Netzwerken (A 8.22)

Große Netze werden in getrennte Netzwerkdomänen unterteilt und vom öffentlichen Netz getrennt. Die Trennung basiert auf den Sicherheitsanforderungen jeder Domäne, der Informationsklassifizierung und dem Vertrauensniveau verbundener Systeme.

11.1 Trennung kabelgebundener Domänen

Perimeterdefinition: Der Netzwerkperimeter für jede Domäne (Management, Server, Client, DMZ, Gast, IoT/OT) ist definiert, dokumentiert und wird durch physische oder logische Trennung durchgesetzt.
Gateway-kontrollierter Zugriff: Der Zugriff zwischen Netzwerkdomänen wird durch Gateways (Firewalls, Proxy-Server, filternde Router) kontrolliert, die Verkehrsrichtlinien auf Basis definierter Regeln durchsetzen. Direkte domänenübergreifende Kommunikation unter Umgehung des Gateways ist blockiert.
Sicherheitsbasierte Trennung: Die Trennungskriterien basieren auf den Sicherheitsanforderungen, der Klassifizierungsstufe und dem Vertrauensniveau der Systeme und Informationen in jeder Domäne. Domänen mit höherer Sicherheit haben strengere Ein- und Ausgangskontrollen.

11.2 Trennung drahtloser Netze

Anpassung der Funkabdeckung: Die Funkabdeckung drahtloser Netze wird so angepasst, dass Signalaustritt über den physischen Perimeter der Organisation hinaus minimiert wird, wodurch das Risiko unbefugten Abfangens oder Verbindens reduziert wird.
Drahtlos als extern: Der gesamte drahtlose Netzwerkverkehr wird als extern (nicht vertrauenswürdig) behandelt, bis das Gerät sich über ein Sicherheitsgateway mit 802.1X oder gleichwertiger Enterprise-Authentifizierung authentifiziert hat.
Trennung des Gastnetzes: Drahtlose Gastnetze sind vollständig vom internen Personalnetz getrennt. Gastverkehr wird ohne Zugriff auf interne Ressourcen direkt ins Internet geleitet.

12. Webfilterung (A 8.23)

Der Zugriff auf externe Websites wird gesteuert, um die Exposition gegenüber bösartigen Inhalten zu reduzieren und den Zugriff auf unbefugte Online-Ressourcen zu verhindern. Webfilter-Regeln werden am Netzwerkperimeter und, wo anwendbar, auf Endgeräten durchgesetzt.

12.1 Gesperrte Kategorien

Upload-Sites: Der Zugriff auf externe Datei-Upload- und Dateifreigabe-Sites ist gesperrt, sofern keine dokumentierte geschäftliche Begründung genehmigt wurde. Genehmigte Ausnahmen werden halbjährlich überprüft.
Bekannte bösartige Sites: Websites, die als Hosts für Malware, Phishing-Inhalte oder Exploit-Kits identifiziert wurden, werden durch regelmäßig aktualisierte URL-Kategorisierungsdatenbanken und Threat-Intelligence-Feeds gesperrt.
Command-and-Control-Server: Kommunikation mit bekannten oder vermuteten Command-and-Control-Servern (C2) wird am Netzwerkperimeter blockiert. C2-Indikatoren werden aus Threat-Intelligence-Feeds aktualisiert.
Threat-Intelligence-Sites: Durch Threat-Intelligence-Sharing (ISACs, CERT-Advisories, kommerzielle Feeds) als bösartig identifizierte Sites werden innerhalb von 24 Stunden nach Benachrichtigung zur Blockliste hinzugefügt.
Illegale Inhalte: Der Zugriff auf Websites, die illegale Inhalte (gemäß geltendem Recht) teilen, wird blockiert.

12.2 Nutzungssteuerung

Regeln zur Nutzung von Online-Ressourcen: Regeln für die sichere und angemessene Nutzung von Online-Ressourcen sind in der Richtlinie zur akzeptablen Nutzung definiert. Diese Regeln legen fest, welche Website-Kategorien für geschäftliche Zwecke zulässig sind und welche eingeschränkt oder gesperrt sind.
Personalschulung: Beschäftigte werden in der sicheren Nutzung von Online-Ressourcen geschult, einschließlich des Erkennens von Phishing-Sites, des Vermeidens von Drive-by-Downloads und des Meldens verdächtiger URLs. Schulungen werden beim Onboarding durchgeführt und jährlich aufgefrischt.

13. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt Ressourcen für die IT-Betriebssicherheitsinfrastruktur bereit und stellt die Abstimmung mit Geschäftszielen und rechtlichen Anforderungen sicher.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, definiert Überwachungs- und Protokollierungsanforderungen, überprüft die Wirksamkeit des Schwachstellenmanagements, beaufsichtigt die Netzwerksicherheitsarchitektur und koordiniert die Vorfalleskalation aus Überwachungs- und Detektionssystemen.
IT-Betrieb / Systemadministratoren: Setzen die in dieser Richtlinie definierten Maßnahmen um und betreiben sie. Verwalten Patching, Sicherungsausführung, Log-Sammlung, Überwachungswerkzeuge, Netzwerkgeräte und Redundanzinfrastruktur. Reagieren auf Alarme und führen Behebungsverfahren aus.
Netzwerkadministratoren: Entwerfen, implementieren und pflegen die Netzwerkarchitektur, Firewall-Regeln, Netzsegmentierung und Zugriffskontrollen gemäß dieser Richtlinie. Halten die Netzwerkdokumentation aktuell.
System- & Anwendungseigentümer: Stellen sicher, dass ihre Systeme den Sicherungsplänen, Protokollierungsanforderungen und Fristen für die Schwachstellenbehebung entsprechen. Melden Abweichungen an den IT-Betrieb.
Alle Beschäftigten: Nutzen IT-Ressourcen in Übereinstimmung mit der Richtlinie zur akzeptablen Nutzung. Melden vermutete Schwachstellen, Sicherheitsvorfälle und anomales Systemverhalten an den IT-Helpdesk oder die/den Informationssicherheitsbeauftragte/n.

14. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Nach wesentlichen Sicherheitsvorfällen, die den IT-Betrieb betreffen (z. B. erfolgreiche Ausnutzung einer Schwachstelle, Sicherungsausfall bei der Wiederherstellung, Netzwerkdurchbruch).
Wenn sich die Bedrohungslage wesentlich ändert (z. B. neue Klassen von Schwachstellen, aufkommende Angriffstechniken, Änderungen in Threat Intelligence).
Nach wesentlichen Änderungen der IT-Infrastruktur, der Netzwerkarchitektur, der Dienstleister oder Geschäftsprozesse.
Wenn neue rechtliche, regulatorische oder vertragliche Anforderungen an die IT-Betriebssicherheit identifiziert werden.

Betriebsdokumentation wird nach Änderungen, die über den Change-Management-Prozess der Security Operations gesteuert werden, aktualisiert, um sicherzustellen, dass Verfahren, Runbooks und Systembeschreibungen den aktuellen Zustand der IT-Umgebung widerspiegeln.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Technological Controls:

A 8.8 — Management of Technical Vulnerabilities
A 8.13 — Information Backup
A 8.14 — Redundancy of Information Processing Facilities
A 8.15 — Logging
A 8.16 — Monitoring Activities
A 8.17 — Clock Synchronisation
A 8.20 — Network Security
A 8.21 — Security of Network Services
A 8.22 — Segregation of Networks
A 8.23 — Web Filtering

BSI IT-Grundschutz:

OPS.1.1.3 (Patch and Change Management)
DER.1.A12 (Evaluation of Information from External Sources)
CON.3 (Backup Concept)
OPS.1.1.5 (Logging)
DER.1 (Detecting Security-Relevant Events)
OPS.1.2.6 (NTP Time Synchronisation)
NET.1.1 (Network Architecture and Design)
NET.1.2 (Network Management)
NET.3.1 (Routers and Switches)
NET.1.1.A4 (Network Segmentation into Security Zones)
NET.3.2 (Firewall)

Additional jurisdiction-specific laws — in particular NIS2, sector-specific IT operations requirements, telecommunications law and data retention law — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes the operational security rules for IT systems, networks and services at [YOUR_ORGANISATION_NAME]. It covers vulnerability management, backup, redundancy, logging, monitoring, time synchronisation, network security, network service security, network segregation and web filtering.

The policy applies to all personnel responsible for operating, administering or using IT infrastructure, including employees, contractors and third-party service providers with access to the organisation's information processing facilities.

3. Technical Vulnerability Management (A 8.8)

An accurate asset inventory (see asset management) is the prerequisite for effective vulnerability management. Information about technical vulnerabilities is obtained in a timely manner, the exposure is evaluated and appropriate measures are taken to address associated risks. Software that is no longer supported by the vendor is retired or replaced; continued use requires a documented risk acceptance with compensating controls.

3.1 Roles, Resources & Tooling

Roles & Responsibilities: Defined roles cover vulnerability monitoring, risk assessment, patch coordination and remediation tracking. The IT security team coordinates the vulnerability management process and reports findings to the Information Security Officer.
Information Resources: For each asset type in the software inventory, dedicated information sources for vulnerability detection are identified (vendor advisories, CERT feeds, CVE databases, NVD). The sources are reviewed quarterly and updated when new asset types are introduced.
Supplier Obligations: Contracts with software and hardware suppliers include clauses requiring timely vulnerability reporting, security patch provision and coordinated disclosure handling.
Vulnerability Scanning: Automated vulnerability scanning tools run against all externally reachable and critical internal systems on a defined schedule (at minimum monthly). Scan results are verified, and patch effectiveness is confirmed through follow-up scans.
Penetration Testing: Planned, documented penetration tests or vulnerability assessments are conducted at least annually by authorised and qualified personnel. Scope, methodology and rules of engagement are agreed in advance, and findings are tracked to resolution.
Third-Party Libraries & Source Code: Third-party libraries, open-source components and custom source code are tracked for known vulnerabilities through software composition analysis tools. This is linked to the secure development lifecycle (see secure coding practices).

3.2 Vulnerability Disclosure & Reporting

Own Products & Services: Vulnerabilities in the organisation's own products and services, including those introduced through external components, are detected through continuous monitoring, automated scanning and user reports.
Internal & External Reports: Vulnerability reports are accepted from both internal personnel and external researchers. Every report is acknowledged, triaged within 48 hours and tracked to resolution.
Public Point of Contact: A publicly accessible point of contact (e.g. security@domain, a dedicated web form) is maintained for responsible vulnerability disclosure by external parties.
Reporting Procedures: Defined procedures govern vulnerability submission, including online forms, structured templates and integration with threat intelligence forums. Reports are classified by severity upon receipt.

3.3 Analysis & Verification

Report Analysis: Each vulnerability report is analysed and verified to determine its validity, affected systems and the response and remediation needed. Duplicate reports are consolidated.
Risk Assessment: For each confirmed vulnerability, the associated risks are identified using CVSS scores and the organisation's asset criticality. Appropriate actions are determined: patching, applying a workaround, risk acceptance with documented justification, or isolating the affected system.
Audit Log: An audit log is maintained for all vulnerability management steps — from initial report through analysis, decision, remediation and verification. The log is retained according to the organisation's log retention schedule.

3.4 Remediation & Patching

Timely Action: Remediation actions are taken within defined timelines based on severity: critical vulnerabilities within 72 hours, high within 7 days, medium within 30 days, low within 90 days.
Change Management: All patches and updates follow the established change management controls (see the Configuration & Change Management Policy) including impact assessment and approval.
Legitimate Sources: Updates and patches are obtained exclusively from legitimate, verified sources (vendor websites, authorised repositories). Checksums and digital signatures are verified before installation.
Pre-Installation Testing: Updates are tested and evaluated in a non-production environment before installation on production systems. Test results are documented.
Prioritisation: High-risk and business-critical systems are patched first. Prioritisation considers asset criticality, exploitation likelihood and exposure level.
Remediation Plan: An effective, permanent remediation plan is developed for each confirmed vulnerability, specifying actions, responsible parties, timelines and verification criteria.
Effectiveness Confirmation: After remediation, the effectiveness of the applied fix is confirmed through re-scanning, re-testing or manual verification.
Patch Authenticity: The authenticity and integrity of patches are verified via checksums, digital signatures or secure hashes before deployment.
Workarounds (No Update Available): When no vendor update is available, vendor-recommended workarounds are applied and documented as interim measures.
Service Disablement: When no update or workaround exists, affected services or features are disabled to reduce the attack surface.
Tightened Access Controls: When no patch is available, access controls around the vulnerable system are tightened and additional firewall rules are applied to restrict exposure.
Intrusion Detection Shielding: Unpatched systems are placed behind intrusion detection/prevention systems (IDS/IPS) to detect and block exploitation attempts.
Increased Monitoring: Monitoring of unpatched systems is increased to detect exploitation attempts, including enhanced log review and alerting.
Awareness Raising: When a vulnerability affects systems that cannot be immediately patched, relevant personnel are informed about the vulnerability, its risks and applicable precautions.
Vendor Update Facilities: For commercial software, vendor-provided update mechanisms (automatic update services, managed update channels) are used where available and configured for timely delivery.
Delayed Update Assessment: If adequate testing of an update is not possible within the required timeline, the update may be delayed. The associated risk of delayed patching is evaluated, documented and accepted by the risk owner before deferral.

4. Information Backup (A 8.13)

A comprehensive backup concept is documented for each critical system, covering backup scope, schedule, storage, retention and restoration procedures. The 3-2-1 rule applies: at least three copies of data, on two different media types, with one copy stored offsite. Backup design accounts for ransomware scenarios by maintaining offline or immutable backup copies.

4.1 Backup Design & Protection

Backup Facilities: Adequate backup facilities are provided for all essential information, software and system images to enable full recovery after a loss event.
Backup Records: Accurate, complete records of all backups are maintained, including backup scope, schedule, media used, storage location and documented restoration procedures per system.
Backup Schedule: The backup schedule reflects recovery point objectives defined in the business continuity plan, the security requirements and the information classification of the data. Critical systems are backed up at least daily; less critical data according to its classification level.
Offsite Storage: Backup copies are stored at a remote location sufficiently distant from the main site to avoid both being affected by the same disaster. The offsite location meets the same physical and environmental security requirements as the primary site.
Physical & Environmental Protection: Backup media are protected against unauthorised access, theft, environmental damage (temperature, humidity, electromagnetic interference) and deterioration through appropriate physical and environmental controls.
Regular Testing: Backup media are tested regularly to ensure data integrity and readability. Restoration is tested on a dedicated test system — never on production — to verify that the full recovery process functions correctly.
Backup Encryption: Backups are encrypted based on the risk assessment and the classification of the backed-up data. Encryption keys for backups are stored separately from the backup media and managed according to the key management policy.
Data Loss Detection: Procedures detect inadvertent data loss or corruption before the backup executes, ensuring that corrupted data is not backed up over valid copies.
Backup Monitoring: Backup execution is monitored automatically. Failures are logged, alerted and addressed within defined timelines. Backup logs are reviewed weekly.
Cloud Backup: Where cloud-based backup services are used, the cloud provider's capabilities are assessed against the organisation's backup requirements including data sovereignty, encryption, retention, restoration speed and contractual SLAs.

4.2 Backup Testing & Validation

Incident Response Alignment: Backup measures are tested regularly against the objectives of the incident response and business continuity plans to confirm that backed-up data, software and system images are sufficient for full recovery.
Restoration Time Testing: Restoration procedures are tested against the recovery time requirements defined in the business continuity plan. Test results are documented and any shortfalls in restoration speed trigger corrective action.

5. Redundancy of Information Processing Facilities (A 8.14)

Availability requirements for business services and information systems are identified, and the architecture is designed with sufficient redundancy to meet them. Redundancy design considers the relationship with ICT readiness for business continuity and accounts for the integrity risks that data replication to duplicated components can introduce.

5.1 Redundancy Design

Multiple ISP / Critical Facility Suppliers: Contracts are maintained with at least two independent internet service providers or critical facility suppliers to eliminate single-provider dependency.
Redundant Networks: Redundant network paths are implemented so that the failure of a single network link does not disrupt critical services.
Geographically Separate Data Centres: Two geographically separated data centres with mirrored systems are operated for critical services, ensuring continuity if one site becomes unavailable.
Redundant Power Supplies: Physically redundant power supplies and independent power sources (UPS, generators, dual utility feeds) are installed for critical information processing facilities.
Parallel Software Instances: Multiple parallel software instances with automatic load balancing are deployed for critical applications, distributing workload and providing failover capacity.
Duplicated Components: Critical hardware components — CPUs, disks, memory, firewalls, routers, switches — are duplicated to eliminate single points of failure.

5.2 Failover Testing

Failover Verification: Failover from primary to redundant components is tested at planned intervals to confirm that automatic switchover works as intended, that no data is lost during transition and that performance meets defined thresholds.

6. Logging (A 8.15)

Logs are produced, stored, protected and analysed to record events relevant to information security and privacy. Log data is forwarded to a central log server. Retention periods are defined per regulation and data type. Logs do not contain passwords or personally identifiable information unless explicitly required and protected. All systems use synchronised time sources (see clock synchronisation) to enable cross-system log correlation.

6.1 Event Data to Log

User IDs: Every logged event records the user ID of the account or entity that initiated or was associated with the action.
System Activities: System-level activities — service starts/stops, scheduled tasks, batch job executions and system errors — are logged with sufficient detail for troubleshooting and security analysis.
Dates & Times: Each log entry includes the date and time of the event, recorded from the synchronised system clock in UTC or a defined local timezone with UTC offset.
Device Identity & Location: The identity of the device (hostname, asset ID) and, where applicable, its physical or logical location are recorded in each log entry.
Network Addresses & Protocols: Source and destination IP addresses, port numbers and the network protocol used are logged for all network-related events.
Access Attempts: All access attempts — successful and failed — to systems, applications and data are logged, including the authentication method used.
Resource Access: Access to critical resources (databases, file shares, APIs, administrative interfaces) is logged with the accessed resource identified.
Configuration Changes: All changes to system, application and security configurations are logged, including the previous and new values where feasible.
Privilege Use: The use of privileged accounts and elevated permissions is logged, including the specific privilege exercised and the target system or resource.
Utility & Tool Use: The use of system utilities, diagnostic tools and administrative utilities is logged with the command or operation executed.
File Access & Deletion: Access to, modification of and deletion of files — particularly those containing classified or sensitive information — are logged.
Access Control Alarms: Events triggered by access control mechanisms (account lockouts, repeated authentication failures, unauthorised access attempts) are logged and generate alerts.
Security System Activation & Deactivation: The activation, deactivation or modification of security systems (firewalls, IDS/IPS, anti-malware, DLP) is logged.
Identity Management Changes: Changes to user accounts, group memberships, roles and permissions in identity management systems are logged.
Application Transactions: User-initiated transactions in business-critical applications are logged at a level of detail appropriate to the application's classification.

6.2 Log Protection & Integrity

Message Type Alteration Detection: Controls detect alterations to logged message types, including changes to the log format, event categorisation or severity classification.
Log File Tampering Detection: Edits, deletions or unauthorised modifications to log files are detected through integrity monitoring. Users — including those with privileged access — are not permitted to delete or deactivate logs of their own activities.
Capacity & Overwrite Protection: Log storage capacity is monitored. The system detects and alerts on failures to record events or the overwriting of log data due to storage exhaustion. Log rotation policies ensure that logs are archived before being overwritten.
Cryptographic Hashing: Cryptographic hashes are applied to log files at defined intervals to enable detection of any post-creation modification.
Append-Only Storage: Log files are stored in append-only or read-only formats. Write-once media or immutable storage is used where the risk assessment warrants it.
Public Transparency Files: Where applicable, public transparency mechanisms (e.g. certificate transparency logs, blockchain-anchored timestamps) are used to provide independently verifiable proof that log entries have not been altered.

6.3 Log Analysis

Expert Analysis Skills: Personnel performing log analysis possess the required expertise in event interpretation, attack pattern recognition and forensic analysis techniques. Training is provided at onboarding and refreshed annually.
Event Attribute Analysis: Log analysis considers event attributes (source, target, action, outcome, timing) to identify patterns indicative of security incidents.
Rule-Based Exceptions (SIEM): A security information and event management (SIEM) system applies rule-based correlation and exception detection across log sources to identify events that deviate from expected patterns.
Behavioural Baselines (UEBA): User and entity behaviour analytics establish behavioural baselines and detect deviations that indicate compromised accounts, insider threats or policy violations.
Trend & Pattern Analysis: Long-term trend and pattern analysis is performed on aggregated log data to identify emerging threats, recurring incidents or gradual changes in attack vectors.
Threat Intelligence Integration: Log analysis incorporates threat intelligence feeds (indicators of compromise, known malicious IPs, attack signatures) to enrich event context and accelerate detection.

6.4 Log Review Activities

Protected Resource Access Review: Access attempts to protected resources (DNS servers, web proxies, file shares) are reviewed regularly to identify unauthorised access patterns or data exfiltration attempts.
DNS Log Analysis: DNS query logs are analysed to detect communication with known botnet command-and-control servers, domain generation algorithms or DNS tunnelling activity.
Service Provider Usage Reports: Usage reports from external service providers (cloud, SaaS, managed services) are reviewed to identify anomalous consumption patterns or unauthorised use.
Physical Monitoring Correlation: Logs from physical monitoring systems (access control, CCTV, environmental sensors) are correlated with IT event logs to detect coordinated physical-digital attack scenarios.
Cross-System Log Correlation: Logs from different systems, applications and security tools are correlated to provide a unified view of events and detect multi-stage attacks that span multiple systems.

6.5 Logging Tools

Audit & Interrogation Tools: Dedicated tools for querying, searching and interrogating log data are deployed. These tools support structured queries, full-text search and filtering by event attributes.
Automated Monitoring & Consolidated Reports: Automated monitoring tools generate consolidated reports on log events, summarising key metrics, anomaly counts and security indicators for management review.
SIEM Platform: A SIEM platform is deployed for centralised log storage, correlation, normalisation and alert generation. The SIEM ingests logs from all critical systems and applies detection rules aligned with the organisation's threat landscape.
Tamper Detection via Transparency: Where public transparency files or blockchain-anchored mechanisms are available, they are integrated into the logging infrastructure to provide independent tamper detection for high-integrity log streams.

Audit logs required for regulatory compliance or evidence collection are archived according to the defined retention periods. When logs are shared with vendors for debugging, they are de-identified to remove sensitive data and personally identifiable information before transfer.

7. Monitoring Activities (A 8.16)

Networks, systems and applications are monitored continuously to detect anomalous behaviour and potential security incidents. The monitoring scope and depth are determined by business and information security requirements and take applicable legal obligations into account. A formal detection concept defines the monitoring strategy, responsibilities and escalation paths. Security events detected through monitoring and logging are escalated to the Security Operations incident management process for triage, classification and response.

7.1 Monitoring Scope

Network Traffic: Inbound, outbound and internal network traffic is monitored for anomalies, unauthorised connections and indicators of compromise.
System, Server & Application Access: Access to servers, operating systems and business applications is monitored, with particular attention to privileged access and after-hours activity.
Critical Configuration Files: Changes to critical configuration files (OS, security tools, network devices, applications) are monitored in real time and generate alerts on unauthorised modifications.
Security Tool Logs: Output from security tools — antivirus, IDS/IPS, firewalls, data loss prevention, web application firewalls — is monitored and correlated centrally.
Event Logs: System and application event logs are continuously ingested into the monitoring platform and evaluated against detection rules.
Code Execution Authorisation: Execution of software and scripts is monitored. Unauthorised or unsigned code execution attempts are detected and blocked where technically feasible.
Resource Usage: CPU, memory, disk and bandwidth utilisation are monitored to detect resource exhaustion, denial-of-service conditions and cryptomining activity.

7.2 Baseline Establishment

Utilisation Baselines: Normal and peak resource utilisation baselines are established for all monitored systems. Deviations from these baselines are flagged for investigation.
User Access Baselines: Typical access patterns per user — including usual access times, source locations and frequency — are profiled to enable detection of anomalous behaviour.

7.3 Anomaly Detection

Unplanned Process Termination: Unexpected termination of critical processes or services triggers an immediate alert and automated restart attempt where configured.
Malware-Typical Activity: Network traffic to known malicious IP addresses, domains or URLs and behaviour patterns typical of malware (beaconing, lateral movement, data staging) are detected and alerted.
Known Attack Signatures: The monitoring system applies up-to-date attack signatures from threat intelligence feeds to detect known exploits and attack patterns.
Unusual System Behaviour: System behaviour that deviates from established baselines — unexpected processes, abnormal memory usage, unusual network connections — triggers investigation.
Bottlenecks & Overloads: System bottlenecks, resource overloads and capacity threshold breaches are detected and escalated to prevent service degradation or denial-of-service conditions.
Unauthorised Access: Attempts to access systems, applications or data without valid authorisation are detected, logged and alerted in real time.
Unauthorised Scanning: Network scanning and port probing activity originating from internal or external sources is detected and generates alerts for investigation.
Protected Resource Access: Access attempts to particularly protected resources (administrative interfaces, sensitive data stores, security infrastructure) are monitored with heightened sensitivity.
User & System Behaviour vs. Baseline: Deviations from established user and system behaviour baselines — unusual login times, atypical data access volumes, abnormal transaction patterns — are flagged for analysis.

7.4 Alert Generation & Response

Threshold-Based Alerts: Alerts are generated based on predefined thresholds and detection rules. Threshold values are reviewed quarterly and adjusted based on operational experience.
False Positive Tuning: Detection rules and thresholds are tuned continuously to minimise false positives while maintaining detection accuracy. Tuning decisions are documented.
Trained Response Personnel: Trained personnel are available to respond to monitoring alerts within defined response times. Escalation paths are documented and practised through exercises.
Redundant Alert Systems: Redundant alert notification systems (e.g. email, SMS, dedicated alerting platforms) ensure that critical alerts reach response personnel even if one notification channel fails.

7.5 Monitoring Techniques

Threat Intelligence: Monitoring systems incorporate threat intelligence feeds to identify indicators of compromise and known threat actor techniques, tactics and procedures.
Machine Learning & AI: Machine learning and AI-based detection capabilities are used where appropriate to identify anomalies and zero-day threats that signature-based detection cannot cover.
Blocklists & Allowlists: Network and application monitoring enforces blocklists (known malicious IPs, domains, hashes) and allowlists to restrict communication to authorised destinations.
Security Assessments: Findings from penetration tests, vulnerability assessments and security audits are fed back into the monitoring system to improve detection rules and coverage.
Performance Monitoring Anomaly Detection: Performance monitoring data is analysed for security-relevant anomalies — such as CPU spikes indicative of cryptomining or bandwidth surges indicating data exfiltration.
Log & Monitoring Combination: Log data and real-time monitoring are combined to provide comprehensive situational awareness, enabling detection of slow-moving threats that individual data sources miss.
Botnet Communication Detection: Network monitoring specifically targets botnet command-and-control communication patterns, including DNS-based C2, HTTP beaconing and encrypted tunnel detection.

8. Clock Synchronisation (A 8.17)

Accurate and consistent time across all systems is essential for log correlation, forensic investigations and evidence admissibility. The following rules govern clock synchronisation.

Reference Clock: A reference clock source derived from radio time signals (DCF77, MSF) or GPS is used as the authoritative time source for all logging and time-stamping operations.
NTP / PTP Synchronisation: All systems — servers, network devices, endpoints and applications — synchronise their clocks via NTP (Network Time Protocol) or PTP (Precision Time Protocol) to the defined reference clock. Time drift tolerance does not exceed one second for standard systems and one millisecond for systems requiring high-precision timestamps.
Clock Difference Monitoring: Clock differences between systems, including cloud services and on-premises infrastructure, are monitored and recorded. Alerts are generated when synchronisation drift exceeds the defined tolerance.

9. Network Security (A 8.20)

The network architecture is designed, documented and maintained in security zones (management, server, client, DMZ, guest, IoT) following the principle of least privilege. Network documentation is kept current and reflects the actual topology. Firewall rules follow a deny-by-default approach, and network monitoring is integrated into the security concept.

9.1 Network Design & Governance

Information Type & Classification: The type, sensitivity and classification of information that each network or network segment supports is identified and documented. Network controls are applied proportionally to the classification level.
Responsibilities & Procedures: Responsibilities for network security management and procedures for operating network infrastructure are defined, documented and assigned to qualified personnel.
Network Documentation & Diagrams: Current, accurate network documentation is maintained, including topology diagrams, IP address plans, device inventories and connection points. Documentation is updated after every change.
Separation of Operational Responsibility: Where feasible, operational responsibility for networks is separated from the operation of the computer systems that use those networks, to maintain independent oversight.
Public, Third-Party & Wireless Controls: Special controls are applied to safeguard information passing over public networks, connections from third-party networks and wireless networks. These controls include encryption, authentication, access restrictions and monitoring.
Logging & Monitoring: Network activities are logged and monitored to detect security events. Network monitoring is integrated into the organisation's overall security monitoring concept.
Network Management Coordination: Network management activities are coordinated across the organisation to optimise service levels, ensure consistent security policy enforcement and avoid conflicting configurations.

9.2 Network Access & Authentication

System Authentication: Systems on the network are authenticated before being granted network access. 802.1X port-based authentication or equivalent mechanisms are used for wired and wireless connections.
Connection Restriction & Filtering: Network connections are restricted and filtered by firewalls configured with deny-by-default rules. Only explicitly authorised traffic is permitted, and rules are reviewed at least semi-annually.
Device Connection Control: Unauthorised devices are detected and restricted from connecting to the network through network access control (NAC) mechanisms. Only registered and compliant devices are permitted.

9.3 Network Hardening & Protection

Network Device Hardening: Network devices (routers, switches, firewalls, access points) are hardened by disabling unnecessary services, changing default credentials, applying current firmware and enabling secure management protocols (SSH, SNMPv3).
Segregated Administration Channels: Network administration traffic is segregated from production traffic through dedicated management VLANs or out-of-band management networks.
Critical Subnet Isolation: The ability exists to temporarily isolate critical network subnets under active attack, containing the threat while maintaining essential services on unaffected segments.
Vulnerable Protocol Disablement: Known vulnerable network protocols and services are disabled or replaced with secure alternatives. Where a vulnerable protocol is operationally necessary, compensating controls (network segmentation, encryption, monitoring) are applied.
Virtualised Network Security: Security controls equivalent to those applied to physical networks are applied to virtualised networks, including micro-segmentation, virtual firewalls and traffic inspection within virtualised environments.

10. Security of Network Services (A 8.21)

Security measures for network services — including managed firewalls, intrusion detection, VPN services and private network connections — are identified, implemented and monitored. The ability of network service providers to manage agreed services securely is assessed and audited regularly.

10.1 Service Access Governance

Accessible Networks & Services: The networks and network services that personnel are authorised to access are explicitly defined. Access beyond the defined scope requires prior approval.
Authentication per Service: Each network service requires appropriate authentication — the strength of authentication is proportional to the sensitivity of the service and the data it processes.
Authorisation Procedures: Formal authorisation procedures govern which users and systems are permitted to access each network service. Access is granted on a need-to-use basis and reviewed periodically.
Management & Technical Controls: Management procedures and technical controls are implemented to protect access to network services. Controls include access logging, session management and anomaly detection.
Access Means: The means used to access network services (VPN, wireless, direct connection) are defined per service. Remote access to internal services is conducted exclusively through approved VPN connections.
Time & Location Attributes: Access to sensitive network services is restricted by time-of-day and source-location attributes where the risk assessment warrants it.
Usage Monitoring: The use of network services is monitored to detect unauthorised access, excessive consumption and anomalous patterns. Monitoring results feed into the security monitoring process.

10.2 Technical Service Security

Authentication & Encryption Technology: Network services use current authentication and encryption technologies (TLS 1.2+, IPsec, WPA3, 802.1X) appropriate to the service classification.
Technical Connection Parameters: Technical parameters for secure connection to network services — including cipher suites, certificate requirements, protocol versions and session timeout values — are defined and enforced.
Caching Parameters: Caching parameters for network services (proxy caches, content delivery, session caches) are configured to prevent unauthorised data retention and ensure that sensitive information is not cached beyond operational need.
Access Restriction Procedures: Procedures restrict access to network services and applications based on user identity, device compliance status and connection context. Network-level access control lists complement application-level authorisation.

11. Segregation of Networks (A 8.22)

Large networks are divided into separate network domains and separated from the public network. Segregation is based on the security requirements of each domain, information classification and trust level of connected systems.

11.1 Wired Domain Segregation

Perimeter Definition: The network perimeter for each domain (management, server, client, DMZ, guest, IoT/OT) is defined, documented and enforced through physical or logical separation.
Gateway-Controlled Access: Access between network domains is controlled through gateways (firewalls, proxy servers, filtering routers) that enforce traffic policies based on defined rules. Direct inter-domain communication bypassing the gateway is blocked.
Security-Based Segregation: The segregation criteria are based on the security requirements, classification level and trust level of the systems and information in each domain. Higher-security domains have stricter ingress and egress controls.

11.2 Wireless Network Segregation

Radio Coverage Adjustment: Wireless network radio coverage is adjusted to minimise signal leakage beyond the organisation's physical perimeter, reducing the risk of unauthorised interception or connection.
Wireless as External: All wireless network traffic is treated as external (untrusted) until the device has authenticated through a security gateway using 802.1X or equivalent enterprise authentication.
Guest Network Segregation: Wireless guest networks are fully segregated from the internal personnel network. Guest traffic is routed directly to the internet without access to internal resources.

12. Web Filtering (A 8.23)

Access to external websites is managed to reduce exposure to malicious content and to prevent access to unauthorised online resources. Web filtering rules are enforced at the network perimeter and, where applicable, on endpoints.

12.1 Blocked Categories

Upload Sites: Access to external file upload and file sharing sites is blocked unless a documented business justification has been approved. Approved exceptions are reviewed semi-annually.
Known Malicious Sites: Websites identified as hosting malware, phishing content or exploit kits are blocked through regularly updated URL categorisation databases and threat intelligence feeds.
Command-and-Control Servers: Communication with known or suspected command-and-control (C2) servers is blocked at the network perimeter. C2 indicators are updated from threat intelligence feeds.
Threat Intelligence Sites: Sites identified as malicious through threat intelligence sharing (ISACs, CERT advisories, commercial feeds) are added to the blocklist within 24 hours of notification.
Illegal Content: Access to websites sharing illegal content (as defined by applicable law) is blocked.

12.2 Usage Governance

Online Resource Usage Rules: Rules for the safe and appropriate use of online resources are defined in the acceptable use policy. These rules specify which categories of websites are permitted for business use and which are restricted or blocked.
Personnel Training: Personnel are trained on the secure use of online resources, including recognising phishing sites, avoiding drive-by downloads and reporting suspicious URLs. Training is delivered at onboarding and refreshed annually.

13. Roles & Responsibilities

Top Management: Approves this policy, allocates resources for IT operations security infrastructure and ensures alignment with business objectives and legal requirements.
Information Security Officer (ISO): Maintains this policy, defines monitoring and logging requirements, reviews vulnerability management effectiveness, oversees network security architecture and coordinates incident escalation from monitoring and detection systems.
IT Operations / System Administrators: Implement and operate the controls defined in this policy. Manage patching, backup execution, log collection, monitoring tools, network devices and redundancy infrastructure. Respond to alerts and execute remediation procedures.
Network Administrators: Design, implement and maintain the network architecture, firewall rules, network segmentation and access controls in accordance with this policy. Keep network documentation current.
System & Application Owners: Ensure that their systems comply with backup schedules, logging requirements and vulnerability remediation timelines. Report deviations to IT operations.
All Personnel: Use IT resources in accordance with the acceptable use policy. Report suspected vulnerabilities, security incidents and anomalous system behaviour to the IT helpdesk or Information Security Officer.

14. Review & Maintenance

This policy is reviewed:

At least annually, as part of the ISMS management review cycle.
After significant security incidents affecting IT operations (e.g. successful exploitation of a vulnerability, backup failure during recovery, network breach).
When the threat landscape changes significantly (e.g. new classes of vulnerabilities, emerging attack techniques, changes in threat intelligence).
Following significant changes to the IT infrastructure, network architecture, service providers or business processes.
When new legal, regulatory or contractual requirements affecting IT operations security are identified.

Operations documentation is updated following changes managed through the Security Operations change management process to ensure that procedures, runbooks and system descriptions reflect the current state of the IT environment.

Quellen

ISO/IEC 27002:2022 Abschnitte 8.8, 8.13–8.17, 8.20–8.23 — die Technological Controls zum IT-Betrieb
BSI IT-Grundschutz OPS.1 — IT-Betrieb
BSI IT-Grundschutz NET.1 — Netzarchitektur und Design
NIS2-Richtlinie (EU 2022/2555) — Art. 21 Risikomanagementmaßnahmen

Abgedeckte ISO-27001-Kontrollen

A.8.6 Kapazitätsmanagement A.8.8 Management technischer Schwachstellen A.8.13 Informationssicherung (Backup) A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung

Häufig gestellte Fragen

Wie schnell müssen kritische Schwachstellen behoben werden?

Die Vorlage definiert konkrete Fristen nach Schweregrad: kritische Schwachstellen innerhalb von 72 Stunden, hohe innerhalb von 7 Tagen, mittlere innerhalb von 30 Tagen, niedrige innerhalb von 90 Tagen. Alle Patches durchlaufen den Change-Management-Prozess und werden vor der Installation in einer Testumgebung geprüft.

Was ist die 3-2-1-Regel?

Drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie offsite. Die Vorlage verlangt zusätzlich Schutz gegen Ransomware durch Offline- oder unveränderliche (immutable) Backups. Backups werden verschlüsselt, regelmäßig getestet und die Wiederherstellungszeit gegen die Anforderungen des Business-Continuity-Plans gemessen.

Brauche ich ein SIEM?

Die Vorlage empfiehlt es dringend. Abschnitt 6.5 verlangt eine SIEM-Plattform für zentralisierte Log-Speicherung, Korrelation, Normalisierung und Alarmgenerierung. Für kleinere Organisationen gibt es Open-Source-Alternativen (z.B. Wazuh, Graylog). Entscheidend ist, dass Logs zentral gesammelt, gegen Manipulation geschützt und regelbasiert ausgewertet werden.

Wie muss das Netzwerk segmentiert sein?

Die Vorlage definiert sechs Sicherheitszonen: Management, Server, Client, DMZ, Gäste und IoT/OT. Der Zugang zwischen Zonen wird durch Gateways (Firewalls, Proxies) gesteuert, die deny-by-default-Regeln durchsetzen. WLAN-Datenverkehr gilt grundsätzlich als nicht vertrauenswürdig, bis das Gerät sich über 802.1X authentisiert hat.

Was gehört alles ins Logging?

Die Vorlage listet 15 Ereignistypen: Benutzer-IDs, Systemaktivitäten, Zeitstempel, Geräteidentität, Netzwerkadressen, Zugriffsversuche, Ressourcenzugriffe, Konfigurationsänderungen, Privilegiennutzung, Tool-Nutzung, Dateizugriffe, Zugriffskontroll-Alarme, Sicherheitssystem-Änderungen, Identitätsmanagement-Änderungen und Anwendungstransaktionen. Logs werden kryptographisch gegen Manipulation geschützt.

Warum ist Zeitsynchronisation wichtig?

Ohne synchronisierte Uhren kannst du Logs nicht systemübergreifend korrelieren. Wenn der Webserver UTC+1 zeigt und die Firewall UTC, wird die Rekonstruktion eines Vorfalls zum Ratespiel. Die Vorlage verlangt NTP oder PTP mit maximal einer Sekunde Drift für Standardsysteme und einer Millisekunde für Hochpräzisionssysteme.