Ratschläge und Checklisten

Kriterienkatalog für robuste Netzwerke

Werner Kurzlechner lebt als freier Journalist in Berlin und beschäftigt sich mit Rechtsurteilen, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.

Angesichts der Komplexität der Materie gibt es im Bericht keine simplen Ratschläge. Letztlich bleibt jeder Organisation und staatlichen Instanz nur die Überprüfung der jeweiligen Netzwerkstruktur auf die ausformulierten Kriterien hin.

Kontinuität auch bei unerwarteten Risiken

Verantwortlich für den Bericht: ENISA-Chef Udo Helmbrecht.
Verantwortlich für den Bericht: ENISA-Chef Udo Helmbrecht.
Foto: ENISA

Hier verlangt der Bericht Reaktionsfähigkeit zur Handhabung aller Arten von Vorfällen: von der kleinsten Störung bis hin zu extremen Angriffen. Also sowohl Maßnahmen für eher alltägliche Problemsituationen, für die in aller Regel beispielsweise Business Continuity- und Disaster Recovery-Praktiken vorhanden sind, als auch Szenarien für umfassendere Krisenfälle.

Ein System ist demnach zuverlässig und widerstandsfähig, wenn die Infrastruktur unter Berücksichtigung aller relevanten Komponenten hohe Verfügbarkeit gewährleistet. Garantiert sein müssen außerdem betriebliche Kontinuität und Management auch bei unvorhergesehenen oder unerwarteten Risiken. Zu jeder Zeit muss außerdem ein Sicherheitsniveau gegeben sein, das der Sensibilität der übermittelten Information gerecht wird. E2e-Resilience verlange im Übrigen Geltung für alle Komponenten der Infrastruktur.

Welche Faktoren dabei konkret zu beachten sind, zeigt der Bericht in einer Fülle von „Good Practices“ auf. Alleine die Empfehlungen für den Bereich Gebäude- und Geländesicherheit sind umfassend: Ein Rechenzentrum oder ein Gebäude mit Netzwerkgeräten sollte nur in Gebieten errichtet werden, die sicher vor Naturkatastrophen sind und in denen die Kriminalitätsrate niedrig ist. Die Gartenbepflanzung auf dem Areal sollte akribisch gepflegt werden, schon alleine wegen der Übersichtlichkeit. An Umzäunung ist ebenso zu denken wie an elektronische Zugangsbeschränkungen, solide Wände, Kühlungssysteme, Zugänglichkeit der Telekommunikationskabel und vieles mehr.

Offensichtlich alles keine Punkte, die im Rahmen von IT-Sicherheitsdebatten noch nicht erörtert worden sind. Allerdings trägt die Agentur zum einen alle relevanten Aspekte zusammen, so dass die praktischen Empfehlungen ein für Anwender lesenswertes Kompendium ergeben. Zum anderen dient die Studie als eine Art Check-Up-Liste für staatliche Stellen, woraus mittelfristig auch Vorschriften entstehen könnten.

Zur Startseite