NET.1.1 Netzarchitektur und -design
Basis-Anforderungen
NET.1.1.A1 Sicherheitsrichtlinie für das Netz [Leiter IT, Informationssicherheitsbeauftragter (ISB)] (B)
NET.1.1.A2 Dokumentation des Netzes [IT-Betrieb] (B)
NET.1.1.A3 Anforderungsspezifikation für das Netz (B)
NET.1.1.A4 Netztrennung in Sicherheitszonen (B)
NET.1.1.A5 Client-Server-Segmentierung (B)
NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)
NET.1.1.A7 Absicherung von schützenswerten Informationen (B)
NET.1.1.A8 Grundlegende Absicherung des Internetzugangs (B)
NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen (B)
NET.1.1.A10 DMZ-Segmentierung für Zugriffe aus dem Internet (B)
NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B)
NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B)
NET.1.1.A13 Netzplanung (B)
NET.1.1.A14 Umsetzung der Netzplanung (B)
NET.1.1.A15 Regelmäßiger Soll-Ist-Vergleich [Informationssicherheitsbeauftragter (ISB)] (B)
Standard-Anforderungen
NET.1.1.A16 Spezifikation der Netzarchitektur (S)
NET.1.1.A17 Spezifikation des Netzdesigns (S)
NET.1.1.A18 P-A-P-Struktur für die Internet-Anbindung (S)
NET.1.1.A19 Separierung der Infrastrukturdienste (S)
NET.1.1.A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen (S)
NET.1.1.A21 Separierung des Management-Bereichs (S)
NET.1.1.A22 Spezifikation des Segmentierungskonzepts (S)
NET.1.1.A23 Trennung von Sicherheitssegmenten (S)
NET.1.1.A24 Sichere logische Trennung mittels VLAN (S)
NET.1.1.A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design (S)
NET.1.1.A26 Spezifikation von Betriebsprozessen für das Netz (S)
NET.1.1.A27 Einbindung der Netzarchitektur in die Notfallplanung [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.1.1.A28 Hochverfügbare Netz- und Sicherheitskomponenten (H)
NET.1.1.A29 Hochverfügbare Realisierung von Netzanbindungen (H)
NET.1.1.A30 Schutz vor Distributed-Denial-of-Service (H)
NET.1.1.A31 Physische Trennung von Sicherheitssegmenten (H)
NET.1.1.A32 Physische Trennung von Management-Segmenten (H)
NET.1.1.A33 Mikrosegmentierung des Netzes (H)
NET.1.1.A34 Einsatz kryptografischer Verfahren auf Netzebene (H)
NET.1.1.A35 Einsatz von netzbasiertem DLP [Informationssicherheitsbeauftragter (ISB)] (H)
NET.1.1.A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf (H)
NET.1.2 Netzmanagement
Basis-Anforderungen
NET.1.2.A1 Planung des Netzmanagements (B)
NET.1.2.A2 Anforderungsspezifikation für das Netzmanagement [Leiter IT] (B)
NET.1.2.A3 Rollen- und Berechtigungskonzept für das Netzmanagement (B)
NET.1.2.A4 Grundlegende Authentisierung für den Netzmanagement-Zugriff [Leiter IT, Informationssicherheitsbeauftragter (ISB)] (B)
NET.1.2.A5 Einspielen von Updates und Patches (B)
NET.1.2.A6 Regelmäßige Datensicherung (B)
NET.1.2.A7 Grundlegende Protokollierung von Ereignissen (B)
NET.1.2.A8 Zeit-Synchronisation (B)
NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation (B)
NET.1.2.A10 Beschränkung der SNMP-Kommunikation (B)
Standard-Anforderungen
NET.1.2.A11 Festlegung einer Sicherheitsrichtlinie für das Netzmanagement [Informationssicherheitsbeauftragter (ISB)] (S)
NET.1.2.A12 Ist-Aufnahme und Dokumentation des Netzmanagements (S)
NET.1.2.A13 Erstellung eines Netzmanagement-Konzepts [Leiter IT] (S)
NET.1.2.A14 Fein- und Umsetzungsplanung (S)
NET.1.2.A15 Konzept für den sicheren Betrieb der Netzmanagement-Infrastruktur (S)
NET.1.2.A16 Einrichtung und Konfiguration von Netzmanagement-Lösungen (S)
NET.1.2.A17 Regelmäßiger Soll-Ist-Vergleich (S)
NET.1.2.A18 Schulungen für Management-Lösungen [Vorgesetzte] (S)
NET.1.2.A19 Starke Authentisierung des Management-Zugriffs (S)
NET.1.2.A20 Absicherung des Zugangs zu Netzmanagement-Lösungen (S)
NET.1.2.A21 Entkopplung der Netzmanagement-Kommunikation (S)
NET.1.2.A22 Beschränkung der Management-Funktionen (S)
NET.1.2.A23 Protokollierung der administrativen Zugriffe (S)
NET.1.2.A24 Zentrale Konfigurationsverwaltung für Netzkomponenten (S)
NET.1.2.A25 Statusüberwachung der Netzkomponenten (S)
NET.1.2.A26 Umfassende Protokollierung, Alarmierung und Logging von Ereignissen (S)
NET.1.2.A27 Einbindung des Netzmanagements in die Notfallplanung (S)
NET.1.2.A28 Platzierung der Management-Clients für das In-Band-Management (S)
NET.1.2.A29 Einsatz von VLANs in der Management-Zone (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.1.2.A30 Hochverfügbare Realisierung der Management-Lösung (H)
NET.1.2.A31 Grundsätzliche Nutzung von sicheren Protokollen (H)
NET.1.2.A32 Physische Trennung des Managementnetzes (H)
NET.1.2.A33 Physische Trennung von Management-Segmenten [Leiter Netze] (H)
NET.1.2.A34 Protokollierung von Inhalten administrativer Sitzungen (H)
NET.1.2.A35 Festlegungen zur Beweissicherung (H)
NET.1.2.A36 Einbindung der Protokollierung des Netzmanagements in eine SIEM-Lösung (H)
NET.1.2.A37 Standort übergreifende Zeitsynchronisation (H)
NET.1.2.A38 Festlegung von Notbetriebsformen für die Netzmanagement-Infrastruktur (H)
NET.2.1 WLAN-Betrieb
Basis-Anforderungen
NET.2.1.A1 Festlegung einer Strategie für den Einsatz von WLANs [Leiter IT] (B)
NET.2.1.A2 Auswahl eines geeigneten WLAN-Standards [Planer] (B)
NET.2.1.A3 Auswahl geeigneter Kryptoverfahren für WLAN [Planer] (B)
NET.2.1.A4 Geeignete Aufstellung von Access Points [Haustechnik] (B)
NET.2.1.A5 Sichere Basis-Konfiguration der Access Points (B)
NET.2.1.A6 Sichere Konfiguration der WLAN-Clients (B)
NET.2.1.A7 Aufbau eines Distribution Systems [Planer] (B)
NET.2.1.A8 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (B)
Standard-Anforderungen
NET.2.1.A9 Sichere Anbindung von WLANs an ein LAN [Planer] (S)
NET.2.1.A10 Erstellung einer Sicherheitsrichtlinie für den Betrieb von WLANs (S)
NET.2.1.A11 Geeignete Auswahl von WLAN-Komponenten (S)
NET.2.1.A12 Einsatz einer geeigneten WLAN-Management-Lösung (S)
NET.2.1.A13 Regelmäßige Sicherheitschecks in WLANs (S)
NET.2.1.A14 Regelmäßige Audits der WLAN-Komponenten (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.2.1.A15 Verwendung eines VPN zur Absicherung von WLANs (H)
NET.2.1.A16 Zusätzliche Absicherung bei der Anbindung von WLANs an ein LAN (H)
NET.2.1.A17 Absicherung der Kommunikation zwischen Access Points (H)
NET.2.1.A18 Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention Systemen (H)
NET.2.2 WLAN-Nutzung
Basis-Anforderungen
NET.2.2.A1 Erstellung einer Benutzerrichtlinie für WLAN [Leiter IT] (B)
NET.2.2.A2 Sensibilisierung und Schulung der WLAN-Benutzer [Vorgesetzte, Leiter IT] (B)
NET.2.2.A3 Absicherung der WLAN-Nutzung in unsicheren Umgebungen [IT-Betrieb] (B)
Standard-Anforderungen
NET.2.2.A4 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.1 Router und Switches
Basis-Anforderungen
NET.3.1.A1 Sichere Grundkonfiguration eines Routers oder Switches (B)
NET.3.1.A2 Einspielen von Updates und Patches (B)
NET.3.1.A3 Restriktive Rechtevergabe (B)
NET.3.1.A4 Schutz der Administrationsschnittstellen (B)
NET.3.1.A5 Schutz vor Fragmentierungsangriffen (B)
NET.3.1.A6 Notfallzugriff auf Router und Switches (B)
NET.3.1.A7 Protokollierung bei Routern und Switches (B)
NET.3.1.A8 Regelmäßige Datensicherung (B)
NET.3.1.A9 Betriebsdokumentationen (B)
Standard-Anforderungen
NET.3.1.A10 Erstellung einer Sicherheitsrichtlinie [Informationssicherheitsbeauftragter (ISB)] (S)
NET.3.1.A11 Beschaffung eines Routers oder Switches (S)
NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)
NET.3.1.A13 Administration über ein gesondertes Managementnetz (S)
NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)
NET.3.1.A15 Bogon- und Spoofing-Filterung (S)
NET.3.1.A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)
NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen (S)
NET.3.1.A18 Einrichtung von Access Control Lists (S)
NET.3.1.A19 Sicherung von Switch-Ports (S)
NET.3.1.A20 Sicherheitsaspekte von Routing-Protokollen (S)
NET.3.1.A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur (S)
NET.3.1.A22 Notfallvorsorge bei Routern und Switches (S)
NET.3.1.A23 Revision und Penetrationstests (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.1.A24 Einsatz von Netzzugangskontrollen (H)
NET.3.1.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)
NET.3.1.A26 Hochverfügbarkeit (H)
NET.3.1.A27 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)
NET.3.1.A28 Einsatz von zertifizierten Produkten (H)
NET.3.2 Firewall
Basis-Anforderungen
NET.3.2.A1 Erstellung einer Sicherheitsrichtlinie (B)
NET.3.2.A2 Festlegen der Firewall-Regeln (B)
NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter (B)
NET.3.2.A4 Sichere Konfiguration der Firewall (B)
NET.3.2.A5 Restriktive Rechtevergabe (B)
NET.3.2.A6 Schutz der Administrationsschnittstellen (B)
NET.3.2.A7 Notfallzugriff auf die Firewall (B)
NET.3.2.A8 Unterbindung von dynamischem Routing (B)
NET.3.2.A9 Protokollierung (B)
NET.3.2.A10 Abwehr von Fragmentierungsangriffen am Paketfilter (B)
NET.3.2.A11 Einspielen von Updates und Patches (B)
NET.3.2.A12 Vorgehen bei Sicherheitsvorfällen (B)
NET.3.2.A13 Regelmäßige Datensicherung (B)
NET.3.2.A14 Betriebsdokumentationen (B)
NET.3.2.A15 Beschaffung einer Firewall (B)
Standard-Anforderungen
NET.3.2.A16 Aufbau einer „P-A-P“-Struktur (S)
NET.3.2.A17 Deaktivierung von IPv4 oder IPv6 (S)
NET.3.2.A18 Administration über ein gesondertes Managementnetz (S)
NET.3.2.A19 Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing am Paketfilter (S)
NET.3.2.A20 Absicherung von grundlegenden Internetprotokollen (S)
NET.3.2.A21 Temporäre Entschlüsselung des Datenverkehrs (S)
NET.3.2.A22 Sichere Zeitsynchronisation (S)
NET.3.2.A23 Systemüberwachung und -Auswertung (S)
NET.3.2.A24 Revision und Penetrationstests (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.2.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)
NET.3.2.A26 Auslagerung von funktionalen Erweiterungen auf dedizierte Hardware (H)
NET.3.2.A27 Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer mehrstufigen Firewall-Architektur (H)
NET.3.2.A28 Zentrale Filterung von aktiven Inhalten (H)
NET.3.2.A29 Einsatz von Hochverfügbarkeitslösungen (H)
NET.3.2.A30 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)
NET.3.2.A31 Einsatz von zertifizierten Produkten (H)
NET.3.3 VPN
Basis-Anforderungen
NET.3.3.A1 Planung des VPN-Einsatzes (B)
NET.3.3.A2 Auswahl eines VPN-Dienstleisters [Informationssicherheitsbeauftragter (ISB)] (B)
NET.3.3.A3 Sichere Installation von VPN-Endgeräten (B)
NET.3.3.A4 Sichere Konfiguration eines VPN (B)
NET.3.3.A5 Sperrung nicht mehr benötigter VPN-Zugänge (B)
Standard-Anforderungen
NET.3.3.A6 Durchführung einer VPN-Anforderungsanalyse (S)
NET.3.3.A7 Planung der technischen VPN-Realisierung (S)
NET.3.3.A8 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung (S)
NET.3.3.A9 Geeignete Auswahl von VPN-Produkten (S)
NET.3.3.A10 Sicherer Betrieb eines VPN (S)
NET.3.3.A11 Sichere Anbindung eines externen Netzes (S)
NET.3.3.A12 Benutzer- und Zugriffsverwaltung bei Fernzugriff-VPNs (S)
NET.3.3.A13 Integration von VPN-Komponenten in eine Firewall (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.1 TK-Anlagen
Basis-Anforderungen
NET.4.1.A1 Anforderungsanalyse und Planung für TK-Anlagen [Leiter IT, IT-Betrieb] (B)
NET.4.1.A2 Auswahl von TK-Diensteanbietern [Leiter IT] (B)
NET.4.1.A3 Änderung voreingestellter Passwörter (B)
NET.4.1.A4 Absicherung von Remote-Zugängen (B)
NET.4.1.A5 Protokollierung bei TK-Anlagen (B)
Standard-Anforderungen
NET.4.1.A6 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen [Leiter IT] (S)
NET.4.1.A7 Aufstellung der TK-Anlage (S)
NET.4.1.A8 Einschränkung und Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale (S)
NET.4.1.A9 Schulung zur sicheren Nutzung von TK-Anlagen [Leiter IT] (S)
NET.4.1.A10 Dokumentation und Revision der TK-Anlagenkonfiguration [IT-Betrieb] (S)
NET.4.1.A11 Außerbetriebnahme von TK-Anlagen und -geräten [IT-Betrieb] (S)
NET.4.1.A12 Datensicherung der Konfigurationsdateien (S)
NET.4.1.A13 Beschaffung von TK-Anlagen (S)
NET.4.1.A14 Notfallvorsorge für TK-Anlagen (S)
NET.4.1.A15 Notrufe bei einem Ausfall der TK-Anlage (S)
NET.4.1.A16 Sicherung von Telefonie-Endgeräten in frei zugänglichen Räumen (S)
NET.4.1.A17 Wartung von TK-Anlagen (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.1.A18 Erhöhter Zugangsschutz (H)
NET.4.1.A19 Redundanter Anschluss (H)
NET.4.2 VoIP
Basis-Anforderungen
NET.4.2.A1 Planung des VoIP-Einsatzes [Leiter IT] (B)
NET.4.2.A2 Sichere Administration der VoIP-Middleware [Leiter IT] (B)
NET.4.2.A3 Sichere Administration und Konfiguration von VoIP-Endgeräten (B)
NET.4.2.A4 Einschränkung der Erreichbarkeit über VoIP [Leiter IT] (B)
NET.4.2.A5 Sichere Konfiguration der VoIP-Middleware (B)
NET.4.2.A6 Protokollierung bei VoIP (B)
Standard-Anforderungen
NET.4.2.A7 Erstellung einer Sicherheitsrichtlinie für VoIP (S)
NET.4.2.A8 Verschlüsselung von VoIP (S)
NET.4.2.A9 Geeignete Auswahl von VoIP-Komponenten (S)
NET.4.2.A10 Schulung der Administratoren für die Nutzung von VoIP (S)
NET.4.2.A11 Sicherer Umgang mit VoIP-Endgeräten [Benutzer] (S)
NET.4.2.A12 Sichere Außerbetriebnahme von VoIP-Komponenten (S)
NET.4.2.A13 Anforderungen an eine Firewall für den Einsatz von VoIP (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.2.A14 Verschlüsselung der Signalisierung (H)
NET.4.2.A15 Sicherer Medientransport mit SRTP (H)
NET.4.2.A16 Trennung des Daten- und VoIP-Netzes (H)
NET.4.3 Faxgeräte und Faxserver
Basis-Anforderungen
NET.4.3.A1 Geeignete Aufstellung eines Faxgerätes [Haustechnik] (B)
NET.4.3.A2 Informationen für Mitarbeiter über die Faxnutzung (B)
NET.4.3.A3 Sicherer Betrieb eines Faxservers [IT-Betrieb] (B)
Standard-Anforderungen
NET.4.3.A4 Erstellung einer Sicherheitsrichtlinie für die Faxnutzung [Informationssicherheitsbeauftragter (ISB)] (S)
NET.4.3.A5 ENTFALLEN (S)
NET.4.3.A6 Beschaffung geeigneter Faxgeräte und Faxserver [Beschaffungsstelle] (S)
NET.4.3.A7 Geeignete Kennzeichnung ausgehender Faxsendungen [Benutzer] (S)
NET.4.3.A8 Geeignete Entsorgung von Fax-Verbrauchsgütern und -Ersatzteilen (S)
NET.4.3.A9 Nutzung von Sende- und Empfangsprotokollen (S)
NET.4.3.A10 Kontrolle programmierbarer Zieladressen, Protokolle und Verteilerlisten (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.3.A11 Schutz vor Überlastung des Faxgerätes [IT-Betrieb] (H)
NET.4.3.A12 Sperren bestimmter Empfänger- und Absender-Faxnummern (H)
NET.4.3.A13 Festlegung berechtigter Faxbediener [Benutzer] (H)
NET.4.3.A14 Fertigung von Kopien eingehender Faxsendungen [Benutzer] (H)
NET.4.3.A15 Ankündigung und Rückversicherung im Umgang mit Faxsendungen [Benutzer] (H)