Netzwerksicherheitsrichtlinie

Die Netzwerksicherheitsrichtlinie (Dokument P21) wurde entwickelt, um strenge Kontrollen über sowohl interne als auch externe Organisationsnetzwerke zu etablieren und Schutz vor unbefugtem Zugriff, Dienstunterbrechung, Datenabfang und Missbrauch zu bieten. Zu den primären Zielen gehört der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten während der Übertragung und im Ruhezustand, bei gleichzeitiger enger Ausrichtung an zentralen regulatorischen und normativen Anforderungen wie ISO/IEC 27001:2022, DSGVO Artikel 32, NIS2-Richtlinie, DORA und COBIT 2019. Diese robuste Richtlinie gilt global für alle Netzwerkinfrastrukturen, einschließlich physischer, virtueller, Cloud- und hybrider Umgebungen. Sie führt Router, Switches, Firewalls, Cloud-basierte Netzwerke, VPN-Systeme sowie unterstützende Dienste wie DNS und Proxy-Server in ihrem umfassenden Geltungsbereich auf. Sowohl interne Mitarbeitende als auch externe Drittdienstleister, die mit diesen Netzwerken interagieren, sind an die festgelegten Anforderungen gebunden. Zu den wesentlichen Merkmalen der Richtlinie gehören verbindliche Netzwerksegmentierung, explizite Protokolle zur Firewall-Konfiguration, Standards für sicheres Routing sowie die fortlaufende zentrale Überwachung und Audit-Protokollierung von Netzwerkaktivitäten. Die Governance ist klar strukturiert und verpflichtet Rollen wie den Chief Information Security Officer (CISO), den Network Security Manager, das Security Operations Center (SOC), den IT-Betrieb sowie Drittanbieter zur Einhaltung definierter Verantwortlichkeiten für sicheres Netzwerkdesign, operative Überwachung, Änderungsmanagement und Incident-Response. Die Richtlinie setzt Erwartungen nicht nur für das routinemäßige Netzwerkmanagement, sondern auch für den Umgang mit Ausnahmen, z. B. Abhängigkeiten von Legacy-Systemen, über einen kontrollierten, risikobewerteten Genehmigungsprozess. Alle Ausnahmegenehmigungen werden im Informationssicherheits-Managementsystem (ISMS) registriert, mit einem strikten 90-Tage-Überprüfungszyklus, um sicherzustellen, dass keine langfristigen Schwachstellen übersehen werden. Zur Minimierung von Angriffsflächen und zur Erfüllung von Compliance-Verpflichtungen legt die Richtlinie fest, dass alle Grenznetzwerke durch Next-Generation-Firewalls mit zustandsbehafteter Inspektion, Anwendungsfilterung und Intrusion Prevention geschützt werden müssen. Interne Netzwerke sind zwischen Produktion, Entwicklung, Benutzer- und Gastbereichen zu segmentieren, wobei Firewalls und virtuelle lokale Netzwerke (VLANs) zur Durchsetzung strenger Zugangskontrolle eingesetzt werden. VPN- und Fernzugriffslösungen müssen Verschlüsselung und Multi-Faktor-Authentifizierung nutzen, während drahtlose Netzwerke Sicherheitsprotokolle auf Unternehmensebene sowie eine Gastsegmentierung umsetzen müssen. Cloud- und hybride Umgebungen sind nicht ausgenommen; Regeln für Security Groups, auditierte VPN-Verbindungen und Cloud-native Firewall-Einstellungen müssen streng verwaltet werden. Für Überwachung und Erkennung sind kontinuierliche Protokollierung in ein zentrales SIEM, Anomalieerkennung über NDR sowie festgelegte Protokollaufbewahrungsfristen integrale Anforderungen. Regelmäßige Richtlinienüberprüfungen und Audits sind verbindlich und werden durch neue Bedrohungen, Netzwerkänderungen, regulatorische Aktualisierungen oder Auditfeststellungen ausgelöst. Nichteinhaltung, einschließlich der vorsätzlichen Umgehung von Kontrollen, führt zu Disziplinarmaßnahmen, vertraglichen Sanktionen oder Meldungen von Datenschutzverletzungen im Einklang mit Vorschriften. Abschließend spezifiziert die Netzwerksicherheitsrichtlinie auch ihre Verknüpfungen mit anderen kritischen Organisationsrichtlinien, einschließlich grundlegender Sicherheit, Zugangskontrolle, Änderungsmanagement, Asset-Management, Protokollierung und Incident-Response-Richtlinien, für einen mehrschichtigen Ansatz der Verteidigung in der Tiefe.