sh99 - stock.adobe.com

Ratgeber

BSI-konformes Netzwerk: Grundlagen zum IT-Grundschutz

Strukturierte Risikoanalysen sowie erprobte Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik helfen beim Aufbau einer resilienten Infrastruktur im Betrieb.

Benjamin Pfister
von
Zuletzt aktualisiert: 30 Juni 2026

Netzwerke bilden das Rückgrat moderner IT-Infrastrukturen. Gleichzeitig stellen sie ein zentrales Angriffsziel dar. Es gilt daher, ein resilientes Netzwerk auf Basis der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu entwickeln und zu betreiben. Doch welche konkreten Gefährdungen gibt es, welche konkreten entgegenwirkenden Maßnahmen sind möglich und wie sollte man bei der Einführung von Sicherheitsmaßnahmen vorgehen? Welche muss oder sollte der Netzwerkverantwortliche in seiner Umgebung umsetzen?

Antworten auf diese Fragen liefern der methodische BSI-Standard 200-2 und die detaillierten Bausteine des IT-Grundschutz-Kompendiums. Letztere stellen konkrete Sicherheitsanforderungen an die jeweiligen Objekte. Gemeinsam mit dem BSI-Standard 200-1 bilden sie die Grundlage für ein funktionsfähiges Informationssicherheits-Managementsystem (ISMS). Der IT-Grundschutz dient dem Aufbau und der Aufrechterhaltung eines angemessenen Schutzes aller Informationen einer Organisation. Dabei muss auch der Geltungsbereich für die Sicherheitskonzeption (Informationsverbund) definiert werden, um genau festzulegen, welche Netzwerkbereiche in den Anwendungsbereich fallen und welche nicht.

Auf einen Blick: Netzwerksicherheit nach BSI IT-Grundschutz

  • Das Fundament: Die Standards des BSI (insbesondere 200-2 und 200-3) bilden die methodische Grundlage für ein Information Security Management System (ISMS).
  • Strukturanalyse: Vor der Absicherung steht die Transparenz. Dazu ist eine vollständige Inventarisierung der Netzwerkzonen (DMZ, LAN, WLAN) zwingend erforderlich.
  • Schutzbedarf: Die Einstufung erfolgt in den Kategorien „normal”, „hoch” und „sehr hoch” – gemessen an den potenziellen Schadensauswirkungen auf die Grundwerte der Informationssicherheit.
  • Risikoanalyse: Bei Objekten mit hohem oder sehr hohem Schutzbedarf ist sie verpflichtend, um abweichende oder zusätzliche Maßnahmen aus dem IT-Grundschutz-Kompendium zu identifizieren.
  • Stand der Technik: Gesetzliche Vorgaben wie die NIS2-Richtlinie fordern proaktiven Schutz durch bewährte, marktreife Sicherheitslösungen.

Strukturanalyse: Die Netzwerktopologie nach BSI IT-Grundschutz erfassen

Die Strukturanalyse nach BSI IT-Grundschutz ist ein grundlegender Baustein zur Absicherung von Netzwerken. Sie dient der systematischen Erfassung aller relevanten Komponenten, deren Vernetzung und der damit verbundenen Schutzbedarfe. In einem Netzwerk muss Transparenz über die gesamte IT-Infrastruktur geschaffen werden, das heißt über physische und virtuelle Geräte wie Router, Switches, Firewalls und Server sowie Endgeräte oder IoT-Komponenten.

Gleichzeitig werden Netzwerkzonen wie DMZ, interne Netzwerke oder Gastnetzwerke identifiziert, um die logische und physische Segmentierung abzubilden. Auch Netzübergänge, etwa zum öffentlichen Internet, VPN-Verbindungen oder zu Kooperationspartnern, müssen erfasst werden, da sie potenzielle Angriffsvektoren darstellen.

Die praktische Umsetzung beginnt mit einer Bestandsaufnahme anhand eines Plans der Netzwerktopologie. In diesem Plan werden alle aktiven und passiven Netzwerkgeräte in den jeweiligen Netzwerkzonen hinterlegt, sodass ein Überblick über die Komponenten des Informationsverbunds entsteht. Dazu bieten sich Tools wie Microsoft Visio oder die Open-Source-Alternative draw.io an. Zusätzlich werden auch die Kommunikationsbeziehungen zwischen den unterschiedlichen Sicherheitszonen hinterlegt. Im Nachgang kann auf Basis dieses Plans eine Tabelle mit den Objekten der Netzwerktopologie erstellt werden, um diese später klassifizieren zu können.

Netzwerktopologie mit multiplen Sicherheitszonen
Abbildung 1: Netzwerktopologie mit multiplen Sicherheitszonen und einer beispielhaften Kommunikationsbeziehung (HTTPS, TCP/443).

Ein weiterer zentraler Schritt ist die Identifikation von Netzwerkzonen. Dabei wird das Netzwerk in logische und physische Bereiche unterteilt. Mögliche Beispiele sind eine externe Zone (zum Beispiel eine DMZ mit öffentlich zugänglichen Diensten), eine interne Zone (zum Beispiel ein LAN mit Unternehmensdaten) oder eine sensible Zone (zum Beispiel HR- oder Finanzsysteme). Auch Gastnetzwerke für Besucher oder Partner müssen berücksichtigt werden. Gleichzeitig sind die Zugriffswege und Schnittstellen zu dokumentieren, also wie Nutzer auf die jeweiligen Zonen zugreifen und welche Sicherheitsmechanismen (zum Beispiel Firewalls oder Authentifizierungsverfahren) dabei zum Einsatz kommen.

Die Ergebnisse der Strukturanalyse werden in einem Bericht zusammengefasst, der alle Netzwerkkomponenten, -zonen, Datenflüsse und Schutzbedarfe abbildet. Dieser Bericht dient als Grundlage für die Auswahl passender Sicherheitsmaßnahmen oder für eine tiefergehende Risikoanalyse. Eine regelmäßige Aktualisierung der Strukturanalyse ist unerlässlich, um neue Komponenten oder Änderungen zeitnah zu erfassen.

Schutzbedarfsfeststellung: Den Schutzbedarf für Netzwerke korrekt ermitteln

Die Schutzbedarfsfeststellung ist der erste Schritt, um den Schutzbedarf von Netzwerken und deren Komponenten zu ermitteln. Dies erfüllt jedoch keinen Selbstzweck, sondern soll dabei helfen, den für die eigene Umgebung ausreichenden und angemessenen Schutz zu ermitteln. Im Netzwerkkontext werden zunächst die grundlegenden Themen Netzwerkarchitektur und Netzwerkmanagement betrachtet, bevor es um Komponenten wie Router, Switches und Firewalls sowie Einsatzszenarien wie WLAN und VPN und zentrale Sicherheitsbausteine wie eine Netzwerkzugangskontrolle geht.

Der Schutzbedarf eines Objekts hängt davon ab, wie schwerwiegend die Folgen einer Verletzung der Grundwerte wären. Da sich der genaue Schaden oft nicht vorhersehen lässt, ist es sinnvoll, verschiedene Stufen zu definieren, um den Schutzbedarf einzuordnen.

Das BSI schlägt dafür drei Stufen vor:

  • normal: Die Folgen eines Schadens sind gering und gut zu handhaben.
  • hoch: Die Folgen eines Schadens können schwerwiegend sein.
  • sehr hoch: Die Folgen eines Schadens können existenzgefährdend oder sogar katastrophal sein.

Die möglichen Schäden durch eine Verletzung der Grundwerte können sich auf unterschiedliche Szenarien beziehen, etwa:

  • Verstöße gegen rechtliche oder vertragliche Verpflichtungen.
  • Gefährdungen der persönlichen Sicherheit.
  • Beeinträchtigungen der Arbeitsfähigkeit der Organisation.
  • Negative Auswirkungen auf das interne oder externe Image.
  • Finanzielle Verluste.

Anforderungen umsetzen: Mapping von Schutzbedarf zu IT-Grundschutz-Bausteinen

Die erforderlichen Maßnahmen für einen normalen Schutzbedarf in typischen Umgebungen und Anwendungsszenarien ergeben sich aus den Basis- und Standardanforderungen der IT-Grundschutzbausteine. Man kann also zunächst davon ausgehen, dass mindestens die Standardanforderungen umgesetzt werden müssen. Die Basisabsicherung soll lediglich als minimale Grundlage zum Einstieg in den IT-Grundschutz dienen. Wer die Basisabsicherung also nicht umsetzt, handelt grob fahrlässig.

Abweichend davon muss eine Risikoanalyse durchgeführt werden, wenn ein Zielobjekt einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit hat oder nicht hinreichend mit bestehenden Bausteinen im IT-Grundschutz behandelt wird.

Risikoanalyse nach BSI-Standard 200-3: IT-Gefährdungen bewerten

Bei der Risikoanalyse geht es um die Identifizierung, Einschätzung und Bewertung von Risiken, also um eine umfassende Beurteilung und Behandlung. Der BSI-Standard 200-3 befasst sich konkret mit dem Risikomanagement.

Dabei werden 47 elementare Gefährdungen unterschieden, darunter Feuer, Wasser, Naturkatastrophen sowie Ausfall oder Störung der Stromversorgung oder von Kommunikationsnetzen. Mit einer Gefährdungsübersicht wird aus diesen 47 Gefährdungen eine Liste der in Bezug auf die Zielobjekte im Informationsverbund relevanten Gefährdungen erstellt. Für jedes Objekt und die zugehörigen Gefährdungen wird eine Analyse durchgeführt. In der Tabelle sollte der Schutzbedarf des Objekts hinterlegt sein sowie Spalten für die Gefährdung, die gefährdeten Grundwerte (Verfügbarkeit etc.), die Wirkung und die Relevanz (direkt, indirekt oder nicht relevant). Idealerweise gibt es auch eine Kommentarspalte. Zudem werden gesonderte, nur dieses spezielle Objekt betreffende Gefährdungen aufgelistet. Nur bei direkter Relevanz muss das betrachtete Zielobjekt in der Risikoanalyse näher behandelt werden.

Im nächsten Schritt wird das Risiko ermittelt, das von einer Gefährdung ausgeht. Dabei müssen sowohl die Eintrittshäufigkeit der Gefährdung als auch die Höhe des potenziellen Schadens berücksichtigt werden. Zur Vereinfachung nutzt der IT-Grundschutz die folgenden Klassifikationen:

  • Eintrittshäufigkeit: selten, mittel, häufig, sehr häufig
  • Potenzielle Schadenshöhe: vernachlässigbar, begrenzt, beträchtlich, existenzbedrohend

Auf dieser Basis wird anschließend eine Risikomatrix gemäß Abbildung 2 erstellt. Als Ergebnis erhält man eine Risikokategorisierung zur jeweiligen Gefährdung:

  • gering: Ausreichender Schutz vorhanden.
  • mittel: Schutzmaßnahmen reichen möglicherweise nicht aus.
  • hoch: Schutzmaßnahmen nicht ausreichend.
  • sehr hoch: Schutzmaßnahmen nicht ausreichend.
Risikomatrix
Abbildung 2: Matrix zur Einstufung von Risiken nach BSI-Standard 200-3.

Bei der Behandlung der verschiedenen Risiken muss jedoch organisationsspezifisch betrachtet werden, welche Risiken vermieden, reduziert, transferiert oder akzeptiert werden. Anschließend muss das Restrisiko schriftlich der Leitungsebene zur Zustimmung vorgelegt werden.

Stand der Technik: Regulatorische Anforderungen in der IT-Sicherheit

In vielen Handreichungen des BSI taucht der Begriff „Stand der Technik” auf. Doch was bedeutet er im Kontext der IT-Sicherheit? Er definiert sich anhand der Bewährung in der Praxis und der allgemeinen Anerkennung. Was also in jeder sachgemäßen Implementierung zu finden ist, anerkannt und bewährt, definiert sich als „allgemein anerkannte Regeln der Technik“. „Stand der Wissenschaft und Forschung“ sind Maßnahmen, die es zwar theoretisch gibt und die erforscht sind, für die es aber noch keine Praxisimplementierungen, also noch keine Produkte auf dem Markt, gibt. Der „Stand der Technik“ positioniert sich dazwischen, indem er aktuelle, am Markt verfügbare und in ersten Projekten bewährte Maßnahmen definiert.

3-Stufen-Theorie
Abbildung 3: Drei-Stufen-Theorie nach Kalkar-Entscheidung.

Die Drei-Stufen-Theorie geht auf die sogenannte Kalkar-Entscheidung des Bundesverfassungsgerichts zurück. Sie verdeutlicht die Einordnung des Begriffs „Stand der Technik“ zwischen den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung.

Für die IT-Sicherheit besitzt dieser Begriff besondere Bedeutung. Zahlreiche regulatorische Vorgaben – etwa NIS2 oder der Cyber Resilience Act – verlangen ausdrücklich die Umsetzung geeigneter Maßnahmen nach dem Stand der Technik.

Fazit

In den ersten Schritten geht es also zunächst darum, eine Struktur zu schaffen, indem man die Vorgehensweise versteht und eine Visualisierung, Inventarisierung und Klassifizierung durchführt. Darauf aufbauend befasst man sich dann mit der Absicherung der einzelnen Objekte anhand konkreter Bausteine. Die relevanten Bausteine für Netzwerke stellen die folgenden Artikel dieser Serie vor.

Die Artikelserie BSI-konformes Netzwerk

Diese Artikelserie soll einen praxisnahen Einblick in das Vorgehen bei der Implementierung von IT-Grundschutz geben und konkrete Hilfestellungen sowie Szenarien zu den Objekten darstellen. Dieser erste Teil der Serie stellt daher zunächst die IT-Grundschutzsystematiken wie die Strukturanalyse, die Schutzbedarfsfeststellung und die Anforderungskategorisierung inklusive Hinweisen zur Einordnung verschiedener Maßnahmen vor. In den weiteren Artikeln behandeln wir jeweils konkrete Themenbereiche wie Netzwerkarchitektur, WLAN oder Switches.

Erfahren Sie mehr über Netzwerksicherheit