Brain-Media.de/Compliance-Lexikon/Network Segmentation/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Network Segmentation – Praxis

Netzwerksegmentierung ist im Audit ein Pruefpunkt, der haeufig unterschaetzt wird -- bis der erste Ransomware-Vorfall zeigt, wie weit sich Angreifer lateral bewegen koennen. Was Auditoren pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Network Segmentation fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-NS-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-NS-01
Gap-CheckLiegt ein datierter, vollstaendiger Nachweis der Wirksamkeit vor?
RemediationDokumentierter Prozess mit Eigentuemerverantwortung und Aktualisierungsnachweis
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem -- mindestens jaehrlich.

Haeufige Fehler

  • Netzwerkarchitektur-Dokumentation veraltet
  • Firewall-Regeln nicht reviewed -- alte, nicht mehr benoatigte Regeln aktiv
  • Kein Test der Segmentierungswirksamkeit (Penetrationstest oder interner Scan)
  • OT-Netz mit IT-Netz verbunden ohne Firewallkontrolle

Praxis-Tipp

Fuer Network Segmentation gilt: Ein Netzwerk-Diagramm allein reicht nicht. Auditoren wollen den Nachweis, dass die Segmentierung tatsaechlich wirksam ist -- durch Penetrationstest-Ergebnisse oder dokumentierte Firewall-Rule-Reviews mit Zeitstempel.

Umsetzung Schritt fuer Schritt

Erster Schritt: Aktuelle Netzwerkarchitektur dokumentieren -- alle Zonen, alle Verbindungen, alle Firewall-Regeln. Zweiter Schritt: Zonenmodell nach Schutzbedarf ueberpruefen und fehlende Trennungen identifizieren. Dritter Schritt: Firewall-Regelwerke bereinigen -- alle nicht mehr benoatigten Regeln entfernen, verbleibende Regeln begruenden. Vierter Schritt: Wirksamkeit testen -- durch Penetrationstest oder dokumentierten internen Segmentierungstest. Fuenfter Schritt: Jaehrliche Ueberpruefung der Regeln und Tests dokumentieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: ein aktuelles, datiertes Netzwerkarchitektur-Diagramm, vollstaendige Firewall-Regelwerke mit Begruendungen, Nachweise des letzten Firewall-Rule-Reviews, Ergebnisse von Penetrationstests oder Segmentierungstests sowie -- fuer OT-Umgebungen -- Nachweis der physischen oder logischen Trennung.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte -- unverbindlich, 20 Minuten.

Die strategische Einordnung -- warum Network Segmentation langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper