Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Diese Maßnahme baut auf den Ergebnissen der Ist-Aufnahme nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation auf und erfordert spezielle Kenntnisse im Bereich der Netztopologie, der Netztopographie und von netzspezifischen Schwachstellen. Darüber hinaus ist Erfahrung bei der Beurteilung der eingesetzten individuellen IT-Anwendungen hinsichtlich Vertraulichkeit, Integrität bzw. Verfügbarkeit notwendig. Da dies ein komplexes Gebiet ist, das neben tiefgehenden Kenntnissen in allen genannten Bereichen auch viel Zeit erfordert, kann es zur Analyse der aktuellen Netzsituation hilfreich sein, externe Berater hinzuzuziehen. Im Bereich der deutschen Bundesverwaltung kann hier das BSI Hilfestellung leisten.
Eine Analyse der aktuellen Netzsituation besteht im wesentlichen aus einer Strukturanalyse, einer Schutzbedarfsfeststellung und einer Schwachstellenanalyse.
Eine Strukturanalyse besteht aus einer Analyse der nach M 2.139 Ist-Aufnahme der aktuellen Netzsituation angelegten Dokumentationen. Die Strukturanalyse muß von einem Analyseteam durchgeführt werden, das in der Lage ist, alle möglichen Kommunikationsbeziehungen nachzuvollziehen oder auch herleiten zu können. Als Ergebnis muß das Analyseteam die Funktionsweise des Netzes verstanden haben und über die prinzipiellen Kommunikationsmöglichkeiten informiert sein. Häufig lassen sich bei der Strukturanalyse bereits konzeptionelle Schwächen des Netzes identifizieren.
Eine erfolgreich durchgeführte Strukturanalyse ist unbedingte Voraussetzung für die sich anschließende detaillierte Schutzbedarfsfeststellung bzw. der Schwachstellenanalyse.
Detaillierte Schutzbedarfsfeststellung
An die Strukturanalyse schließt sich eine Schutzbedarfsfeststellung an, die über die in Kapitel 2 genannte hinausgeht. Hier werden zusätzlich die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität in einzelnen Netzbereichen bzw. Segmenten berücksichtigt. Hierzu ist es notwendig festzustellen, welche Anforderungen aufgrund der verschiedenen IT-Verfahren bestehen und wie diese auf die gegebene Netzsegmentierung Einfluß nehmen. Als Ergebnis muß erkenntlich sein, in welchen Netzsegmenten besondere Sicherheitsanforderungen bestehen.
Analyse von Schwachstellen im Netz
Basierend auf den bisher vorliegenden Ergebnissen erfolgt eine Analyse der Schwachpunkte des Netzes. Hierzu gehört insbesondere bei entsprechenden Verfügbarkeitsanforderungen die Identifizierung von nicht redundant ausgelegten Netzkomponenten (Single-Point-of-Failures). Weiterhin müssen die Bereiche benannt werden, in denen die Anforderungen an Verfügbarkeit, Vertraulichkeit oder Integrität nicht eingehalten werden können bzw. besonderer Aufmerksamkeit bedürfen. Zudem ist festzustellen, ob die gewählte Segmentierung hinsichtlich Bandbreite und Performance geeignet ist (anhand der Ergebnisse der Verkehrsflußanalyse aus M 2.139 Ist-Aufnahme der aktuellen Netzsituation).
Beispielhafte Schwachstelle: Die Performance- und Verkehrsflußanalyse zeigt eine überlastete aktive Netzkomponente. Für den betreffenden Kommunikationsweg wurden im Rahmen der Schutzbedarfsfeststellung hohe Anforderungen an die Verfügbarkeit und damit auch an die Performance festgestellt. Diese Schwachstelle erfordert eine Anpassung der Segmentierung des Netzes oder den Austausch der Netzkomponente gegen ein leistungsfähigeres Modell (siehe M 5.61 Geeignete physikalische Segmentierung, M 5.62 Geeignete logische Segmentierung, M 5.2 Auswahl einer geeigneten Backbone-Technologie und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung).
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000