Zum Inhalt
ISMS.online

A.8.20 Netzwerksicherheit – MSP-Netzwerksegmentierung und Firewall-Standards

Unternehmenskunden und Auditoren erwarten heute von Managed Service Providern den Nachweis, wie Netzwerke segmentiert, überwacht und verwaltet werden. Die ISO 27001-Kontrolle A.8.20 setzt den Standard für Mandantenisolierung, Firewall-Management und glaubwürdige Nachweise. Der detaillierte Nachweis der Sicherung jeder einzelnen Netzwerkebene reduziert nicht nur das Vorfallrisiko, sondern schafft auch Vertrauen bei Kunden und Versicherern.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum A.8.20 für MSPs so wichtig ist

Anhang A.8.20 ist für Managed Service Provider (MSPs) relevant, da er darüber entscheidet, ob Ihr Netzwerk viele Kunden sicher hosten kann, ohne dass sich ein Sicherheitsvorfall auf andere ausbreitet. Größere Kunden, Auditoren und Versicherer nutzen diese Kontrolle, um die Mandantenisolierung, den Schutz von Management-Tools und die Firewall-Governance zu beurteilen. Dies spiegelt die Bedeutung der Netzwerkkontrollen gemäß ISO 27001:2022 Anhang A als zentralen Nachweis für ein risikogerechtes Netzwerkmanagement wider. Wenn Sie dies klar erläutern und glaubwürdige Belege vorlegen können, reduzieren Sie die Auswirkungen von Sicherheitsvorfällen, stärken das Vertrauen von Unternehmenskunden und festigen Ihre Position gegenüber Versicherern.

Starke Netzwerke schützen im Stillen jeden Ihrer Kunden, selbst wenn niemand hinsieht.

Wenn Sie einen Managed Service Provider betreiben, ist Ihr Netzwerk unbemerkt zu einem Teil der Angriffsfläche jedes einzelnen Kunden geworden. Eine einzige, nur schwach segmentierte Managementplattform oder ein „flaches“ Kernnetzwerk kann aus einem kompromittierten Mandanten zwanzig kompromittierte Mandanten machen.

Die Mehrheit der Organisationen in der ISMS.online-Umfrage 2025 gab an, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

ISO 27001:2022 Anhang A.8.20, die Kontrollmaßnahme „Netzwerksicherheit“, dient Auditoren und Großkunden heute als Grundlage, um zu prüfen, ob Ihre Netzwerkschicht tatsächlich unter Kontrolle ist. In der Praxis konzentrieren sich Prüfer bei der Zertifizierung nach ISO 27001 routinemäßig auf diese und verwandte Netzwerkkontrollen, um zu verstehen, wie Mandantenisolierung, Firewall-Governance und -Überwachung in Multi-Tenant-Umgebungen gehandhabt werden. Auch Versicherer und Aufsichtsbehörden erwarten von Ihnen Antworten zu Mandantenisolierung, Firewall-Governance und -Überwachung, insbesondere in Multi-Tenant-Umgebungen.

Für Managed Service Provider (MSPs) ist die Behandlung von A.8.20 als Design- und Betriebsstandard – und nicht nur als eine Zeile in einer Richtlinie – das, was den Unterschied zwischen „Wir glauben, wir sind sicher“ und „Wir können erklären und beweisen, wie jeder einzelne Mandant geschützt ist“ ausmacht.


Was A.8.20 tatsächlich erfordert (in einfacher Sprache)

A.8.20 verlangt von Ihnen, Netzwerke so zu konzipieren und zu betreiben, dass sie Informationen aktiv schützen und nicht nur Datenverkehr transportieren. Sie sollen so konzipiert, segmentiert und verwaltet werden, dass die durch sie fließenden Informationen angemessen geschützt sind. Der offizielle ISO-Wortlaut ist urheberrechtlich geschützt, doch öffentliche Kommentare zum Standard – und weit verbreitete Leitlinien zur Netzwerk- und Firewall-Sicherheit – bestätigen, dass Netzwerke und Netzwerkgeräte risikogerecht gesichert, verwaltet und kontrolliert werden sollten, um die durch sie fließenden Informationen angemessen zu schützen.

In der Praxis bedeutet das für einen Managed Service Provider (MSP), dass von Ihnen Folgendes erwartet wird:

  • Netzwerkarchitekturen sollten bewusst auf der Grundlage von Risiko und Informationssensibilität entworfen werden.
  • Segmentieren Sie Netzwerke, sodass Mieter, interne Systeme und Managementschnittstellen getrennt sind.
  • Kontrollieren Sie den Zugriff zwischen Segmenten mithilfe von Firewalls, VPNs, SD-WAN und Zugriffskontrolllisten.
  • Diese Kontrollmechanismen müssen gemäß klaren Richtlinien, Standards und Prozessen angewendet werden.
  • Der Nachweis, dass die Kontrollmaßnahmen nicht nur auf dem Papier, sondern auch langfristig funktionieren.

A.8.20 steht nicht für sich allein. Es ist eng verknüpft mit:

  • A.8.22 – Trennung von Netzwerken: (wie Segmente und Zonen voneinander abgegrenzt werden).
  • A.8.31 – Trennung von Entwicklung, Test und Produktion: (Umweltgrenzen).
  • A.8.15 / A.8.16 – Protokollierung und Überwachung: (beobachten, was im Netzwerk passiert).
  • A.8.32 – Änderungsmanagement: (Kontrolle von Änderungen an Firewalls und Netzwerkgeräten).

Diese Zusammenhänge verdeutlichen, wie Anhang A die zugehörigen Netzwerk-, Protokollierungs- und Änderungskontrollen in einem Katalog zusammenfasst. Daher ist es für Prüfer und Implementierer naheliegend, sie als ein kombiniertes „Netzwerksicherheitsprogramm“ und nicht als eine Reihe isolierter Kontrollen zu behandeln. Wenn Sie dies ebenfalls tun, wird Ihnen Anhang A deutlich einfacher zu implementieren und zu erläutern sein, und Sie werden Kunden und Prüfern eine überzeugendere Darstellung bieten.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Ein einfaches 3-Ebenen-Modell für die MSP-Netzwerksicherheit

A.8.20 lässt sich deutlich einfacher entwerfen und erklären, wenn Sie Ihre Infrastruktur in drei logische Ebenen unterteilen und jede Ebene gezielt absichern. Ein hilfreicher Ansatz für die Netzwerksicherheit in einem Managed Service Provider (MSP) ist die Aufteilung in drei logische Ebenen: Unternehmensebene, Mandantenebene und Managementebene. So können Sie den Datenverkehr, Engpässe und die Maßnahmen zur Verhinderung eines Angriffs auf mehrere Mandanten veranschaulichen.

In diesem Modell wird alles in drei logische „Ebenen“ unterteilt:

  1. Unternehmensinterne IT.
  2. Mieter-/Kundendaten.
  3. Management / Out-of-Band-Steuerung.

Jedes Flugzeug hat unterschiedliche Ziele, Risiken und Zielgruppen, aber alle drei müssen auf nachweisbare Weise gesichert, verwaltet und kontrolliert werden.

Unternehmens-/interne IT-Ebene

Die Unternehmensebene muss Ihre eigenen Daten schützen und darf nicht zu einem Einfallstor in Kundensysteme werden, da sich Ihre Geschäftssysteme – E-Mail, Dateidienste, HR- und Finanzanwendungen, Mitarbeitergeräte, Firmen-WLAN und ähnliche Dienste – in dieser Ebene befinden. Wenn Sie diese Ebene als separate Zone mit klaren Grenzen und kontrollierten Zugriffswegen auf Management-Tools behandeln, reduzieren Sie das Risiko, dass kompromittierte Mitarbeitergeräte oder Büronetzwerke unbemerkt in die Systeme von Mietern eindringen können.

Typische Beispiele in dieser Ebene sind Ihre E-Mails, Kollaborationstools, HR- und Finanzsysteme, das Firmen-WLAN und die Endgeräte der Mitarbeiter.

Ziele:

  • Schützen Sie Ihre Geschäftsinformationen.
  • Verhindern Sie, dass kompromittierte Endgeräte direkt auf die Netzwerke der Mieter zugreifen.
  • Bieten Sie sichere, geprüfte Wege für Mitarbeiter, um auf Management-Tools zuzugreifen.

Mandanten-/Kundendatenebene

Die Mandantenarchitektur erfordert eine strikte Trennung der Kunden und eine sinnvolle Segmentierung innerhalb jedes Kundenbereichs. Indem Sie jedem Mandanten einen eigenen logischen Bereich zuweisen und die interne Bewegung zwischen Zonen einschränken, reduzieren Sie die Auswirkungen von Sicherheitslücken drastisch und steigern die Glaubwürdigkeit Ihrer Mandantenarchitektur für Unternehmenskunden erheblich. Richtlinien des öffentlichen Sektors und der Industrie für Managed Service Provider (MSPs) betonen ebenfalls die Bedeutung einer strikten Kundentrennung und streng kontrollierter Administrationspfade. Daher entspricht die standardmäßige Anwendung einer robusten Trennung den allgemein anerkannten Erwartungen.

Alle Netzwerke, Standorte und Workloads, die Sie für Ihre Kunden verwalten, befinden sich hier: lokale LANs, Rechenzentren, Cloud-VPCs/VNETs und Zweigstellen.

Ziele:

  • Starke Isolation zwischen den Mietern.
  • Angemessene interne Segmentierung innerhalb jedes Mandanten (Benutzer, Server, DMZ, OT und ähnliche Zonen).
  • Kontrollierte Verbindungen zurück zu Ihrer Managementebene und, falls erforderlich, zu anderen Mietern.

Management / Out-of-Band-Ebene

Die Managementebene sollte als Ihr wertvollstes Netzwerk-Asset behandelt und bestmöglich isoliert werden. Durch die Nutzung dedizierter Pfade für Managementschnittstellen mit strengen Zugriffskontrollen und umfassender Überwachung wird das Risiko, dass ein kompromittiertes Tool unbemerkt zahlreiche Kundenumgebungen gleichzeitig verändert, drastisch reduziert.

Dies ist das „Nervensystem“, das alles steuert: Fernüberwachungs- und Verwaltungstools, Hypervisoren, Speicherkontroller, Switches, Firewalls, Konsolenzugriff und Jump-Hosts.

Ziele:

  • Extrem eingeschränkter Zugriff (nur über gesicherte Administratorpfade).
  • Keine Ausstrahlung in öffentlichen Netzwerken.
  • Vollständige Protokollierung, starke Authentifizierung und robuste Überwachung.

A.8.20 verlangt von Ihnen den Nachweis, dass jedes Flugzeug Folgendes ist:

  • Gesichert: (gehärtet, segmentiert, minimales Privileg).
  • Gelang es: (im Besitz, dokumentiert, regiert).
  • Kontrolliert: (Änderungen genehmigt, Aktivitäten protokolliert und überprüft).

Sobald Sie dieses dreidimensional dargestellte Bild haben, können alle Designentscheidungen bezüglich VLANs, VRFs, SD-WAN und Firewalls auf klaren Zielen und nicht auf Ad-hoc-Entscheidungen basieren, und Sie können diese Logik Kunden, Prüfern und Versicherern erklären.

An dieser Stelle lohnt es sich, ein eigenes Drei-Ebenen-Diagramm zu skizzieren und zu markieren, wo aktuelle Pfade oder gemeinsam genutzte Dienste die Grenzen überschreiten, die Sie durchsetzen möchten.



Segmentierungskonzeption für Multi-Tenant-Umgebungen

Bei der Segmentierung für Multi-Tenant-MSPs geht es darum, die Grenzen festzulegen und die wenigen Pfade, die diese kreuzen, zu kontrollieren. Durch die bewusste Trennung von Mandanten, Umgebungen und Managementpfaden – anhand des Drei-Ebenen-Modells – reduziert sich die Segmentierung auf die Frage, wie die einzelnen Ebenen unterteilt und verbunden werden. So wird das Risiko minimiert, dass ein einzelner Fehler oder eine Sicherheitslücke Auswirkungen auf alle Kunden hat, und die Netzwerkarchitektur lässt sich Unternehmenskunden und Auditoren leichter erläutern.

Rund 41 % der Organisationen nannten in der ISMS.online-Umfrage 2025 die Bewältigung von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine der größten Herausforderungen im Bereich der Informationssicherheit.

Mit dem Drei-Ebenen-Modell im Hinterkopf können Sie entscheiden, wie jede Ebene geschnitten und verbunden werden soll.

Mieterisolierung und Segmentierung pro Mieter

Die mandantenspezifische Isolation ist die Grundlage dafür, dass das Problem eines Kunden nicht zu einem Problem für alle wird. Indem Sie jedem Mandanten eine eigene Routing-Domäne und sorgfältig kontrollierte Verbindungen zu gemeinsam genutzten Diensten zuweisen, können Sie nachweisen, dass sein Datenverkehr innerhalb der definierten Grenzen bleibt und angepasst werden kann, ohne andere Kunden zu beeinträchtigen. Für die Mandantenebene ist eine starke Isolation daher die Standardanforderung.

Für die Mandantenebene ist eine starke Isolation die Standarderwartung:

  • Verwenden Sie mandantenspezifische VLANs oder VRFs in Ihrem Kernnetzwerk, um jedem Kunden eine logische Routing-Domäne zuzuweisen.
  • In Cloud-Umgebungen sollten separate VPCs/VNETs pro Kunde oder Hauptanwendung verwendet werden.
  • Behandeln Sie Shared-Hosting-Plattformen als Hochrisikozonen mit sehr strengen Zugangs- und Zugangskontrollen.

Das Prinzip ist einfach: Der Datenverkehr eines Mieters sollte niemals die Systeme eines anderen Mieters erreichen, es sei denn, Sie haben eine spezifische, gerechtfertigte Verbindung entworfen und dokumentiert und können nachweisen, wie diese kontrolliert wird.

Umgebungstrennung (Produktion / Test / Entwicklung)

Die Trennung von Test- und Entwicklungsprozessen verhindert, dass Systeme mit geringer Sicherheit die Produktionssysteme mit hoher Sicherheit beeinträchtigen. Indem Experimente, Labore und Pilotprojekte in klar getrennten Bereichen mit streng kontrollierten Verbindungen zu Live-Umgebungen durchgeführt werden, wird das Risiko minimiert, dass eine vermeintlich bequeme Abkürzung versehentlich echte Kundendaten offenlegt.

A.8.20 und A.8.31 fordern, dass Sie verhindern, dass Test- und Entwicklungssysteme die Produktion beeinträchtigen. Beide Kontrollmaßnahmen, wie in ISO 27001:2022 festgelegt, betonen, dass Umgebungen mit geringerer Sicherheitsstufe keine unkontrollierten Pfade in Produktivsysteme schaffen sollten.

  • In jedem Mandanten oder in jeder gemeinsam genutzten Umgebung sollten separate Subnetze oder VLANs für Entwicklung, Test und Produktion eingerichtet werden.
  • Die Konnektivität von Test und Entwicklung bis hin zur Produktion muss streng kontrolliert und begründet sein und darf nicht „aus Bequemlichkeit offen“ sein.
  • Generische Labornetzwerke und Proof-of-Concept-Umgebungen sollen daran gehindert werden, auf Live-Kundendaten zuzugreifen.

Management-Ebenen-Trennung

Die Trennung der Managementebene stellt sicher, dass administrative Schnittstellen keine Abkürzungen zwischen Mandanten oder in Ihr eigenes Unternehmensnetzwerk darstellen. Wenn sich Managementschnittstellen auf dedizierten Segmenten mit erzwungenem Zugriff über gehärtete Pfade befinden, können Sie nachweisen, dass Änderungen an Firewalls, Hypervisoren und anderen gemeinsam genutzten Komponenten stets über bekannte Kontrollinstanzen erfolgen.

Ihre Managementebene ist das wertvollste Ziel in Ihrem Portfolio und verdient daher ein eigenes Segmentierungsmuster:

  • Platzieren Sie Management-Schnittstellen auf dedizierten Management-Netzwerken.
  • Vermeiden Sie es, Management-Schnittstellen in Kunden-LANs oder im Internet offenzulegen; verwenden Sie Jump-Hosts, VPNs oder Bastion-Dienste.
  • Verwenden Sie VRFs oder gleichwertige Funktionen, um den Management-Datenverkehr logisch von den Mandanten- und Unternehmensdaten zu trennen.

Gemeinsam genutzte Servicebereiche

In Shared-Services-Bereichen schleichen sich viele „flache“ Architekturen unbemerkt ein und verdienen daher besondere Aufmerksamkeit. Indem man Shared Services in dedizierte Segmente gruppiert und den Mandantenzugriff auf bestimmte, gerechtfertigte Ports beschränkt, vermeidet man, dass diese Services zu einer versteckten Brücke zwischen Kunden werden.

Gemeinsam genutzte Dienste (wie DNS, Protokollierung, Überwachung, Backup-Repositories und Remote-Management-Server) sind oft der Punkt, an dem die Segmentierung versagt. Um sie unter Kontrolle zu halten:

  • Gruppieren Sie gemeinsam genutzte Dienste in Enklaven mit eigenen Netzwerksegmenten und Firewalls.
  • Erlauben Sie den Mietern, diese Enklaven nur über bestimmte, erforderliche Ports und Protokolle zu erreichen.
  • Stellen Sie sicher, dass kein impliziter Pfad von einem Mandanten über einen gemeinsam genutzten Dienst zu einem anderen Mandanten existiert.

Sichere Fernzugriffspfade

Sichere Fernzugriffspfade sind die Routen, die Ihre Techniker tatsächlich täglich nutzen und müssen daher Ihrer Segmentierungsarchitektur entsprechen. Wenn Sie Jump-Hosts, privilegierte Workstations und VPNs an Ihrem Drei-Ebenen-Modell ausrichten, lässt sich der Fernzugriff gegenüber Kunden deutlich einfacher begründen und Fragen von Versicherern zum privilegierten Zugriff beantworten.

Wie Ihre Techniker Zugang zu Kundenumgebungen erhalten, ist ein zentrales Anliegen gemäß A.8.20:

  • Bevorzugen Sie Bastion-Hosts oder privilegierte Arbeitsstationen als Sprungbrett in die Mandantenzonen.
  • Integrieren Sie Fernzugriff mit starker Identitätsprüfung und protokollieren Sie alle Sitzungen.
  • Vermeiden Sie direkte RDP- oder SSH-Verbindungen von allgemeinen Firmenlaptops zu Mandantennetzwerken und vermeiden Sie „VPN für alles“-Architekturen.

Zusammengenommen erfüllen diese Muster die Kernfragen des Anhangs A.8.20:

  • Wie werden die Mieter getrennt?
  • Wie sind interne Netzwerke, Mieternetzwerke und Managementnetzwerke voneinander getrennt?
  • Über welche kontrollierten Pfade interagieren sie?

Bei der Überprüfung Ihrer aktuellen Segmentierung ist es hilfreich, die Überschneidungen zwischen Ebenen und Mietern aufzulisten und anschließend zu prüfen, ob jede Überschneidung tatsächlich erforderlich und korrekt gesteuert ist.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Firewall-Baselines, die eine Segmentierung ermöglichen

Firewalls setzen Ihre Segmentierungskonzepte in die Praxis um. Daher legt A.8.20 ebenso viel Wert auf die implementierten Regeln wie auf die erstellten Diagramme. Netzwerkdiagramme allein bieten keinen Kundenschutz. Die Durchsetzung der Regeln erfolgt über Firewalls und Gateways. A.8.20 interessiert sich dafür, wie Sie diese Geräte auf allen Ebenen konfigurieren, verwalten und überwachen. So zeigen klare, konsistent angewandte und streng überwachte Baselines – von On-Premises über Cloud bis hin zu SD-WAN –, dass die Prinzipien „Standardmäßig verweigern“ und „Least Privilege“ gelebte Betriebsprinzipien und nicht nur leere Worthülsen sind.

A.8.20 legt Wert darauf, wie Sie Firewall- und Gateway-Geräte über alle Ebenen hinweg konfigurieren, verwalten und überwachen. Eine einheitliche Basis, die von On-Premises-Umgebungen über Cloud-Lösungen bis hin zu SD-WAN gilt, erleichtert es erheblich, Ihre Vorgehensweise gegenüber Auditoren und Kunden zu erläutern.

Eine risikobasierte Firewall-Baseline

Eine risikobasierte Firewall-Baseline bietet Ihren Technikern ein Ausgangsmuster, das Ihre Sicherheitslage widerspiegelt, sodass sie die Richtlinien nicht für jeden Standort oder Mandanten neu entwickeln müssen. Wenn diese Baseline für On-Premises-, Cloud- und SD-WAN-Umgebungen einheitlich ist, lässt sich gegenüber Auditoren und Kunden deutlich leichter nachweisen, dass nicht Bequemlichkeit, sondern Risiko Ihre Regelsätze bestimmt. Für einen A.8.20-konformen Managed Service Provider (MSP) sieht eine sinnvolle Baseline folgendermaßen aus.

Für ein A.8.20-ausgerichtetes MSP sieht eine sinnvolle Basislinie folgendermaßen aus:

  • Standardmäßig wird der Zugriff auf alle Schnittstellen verweigert, explizite „Zulassen“-Regeln gelten nur für erforderliche Datenflüsse.
  • Least-Privilegien-Regeln mit klarem Zweck, minimalem Geltungsbereich und minimalen Ports.
  • Strenge Zugangskontrolle, damit Netzwerke nur das erreichen, was sie wirklich benötigen.
  • Gehärteter Managementzugriff mit dedizierten Schnittstellen, kontrollierten Quellen und starker Authentifizierung.

Diese Basislinie sollte gelten für:

  • Perimeter-Firewalls.
  • Interne Segmentierungsfirewalls zwischen wichtigen VLANs und Zonen.
  • Cloud-Sicherheitsgruppen, Netzwerk-Firewalls und Anwendungs-Firewalls werden als Netzwerksteuerungsfunktionen eingesetzt.

Vergleichen Sie die aktuellen Firewalls mit dieser Basislinie und erstellen Sie eine einfache Liste der größten Lücken, damit Sie die Behebung dort priorisieren können, wo sie am wichtigsten ist.

Regelverwaltung und Änderungskontrolle

Regelverwaltung und Änderungskontrolle entscheiden darüber, ob sich die Sicherheit Ihrer Firewall im Laufe der Zeit verbessert oder langsam ins Chaos abgleitet. Indem Sie Regelverantwortliche benennen, klare Begründungen liefern und regelmäßige Überprüfungen durchführen, stellen Sie sicher, dass weit verbreitete, veraltete Regeln verdrängt werden, anstatt unbemerkt wieder Einzug zu halten.

A.8.20 befasst sich ebenso sehr mit der Art und Weise der Firewall-Verwaltung wie mit deren Standort. Bewährte Vorgehensweisen umfassen Folgendes:

  • Ein dokumentierter Netzwerksicherheits- oder Firewall-Standard, der die grundlegenden Konfigurations- und Regelkonventionen festlegt.
  • Ein formaler Änderungsprozess für Regel- und Konfigurationsänderungen mit Risikobewertung und Genehmigung.
  • Testen oder zumindest Ausweichpläne für nicht triviale Änderungen, die zusammen mit den Implementierungsdetails dokumentiert werden.

Protokollierung, Überwachung und IDS/IPS

Protokollierung und Überwachung zeigen, dass Ihre Netzwerksteuerung aktiv ist und keine statischen Konfigurations-Momentaufnahmen darstellt. Wenn Sie nachweisen können, wie Firewall- und Sensorwarnungen in Ihre Betriebsprozesse einfließen, machen Sie deutlich, dass Sie verdächtige Aktivitäten an den wichtigsten Schnittstellen erkennen und darauf reagieren.

Um zu zeigen, dass Firewalls und Segmentierung „verwaltet und kontrolliert“ werden:

  • Protokollieren Sie sicherheitsrelevante Ereignisse wie Schlüsselzulassungen, -verweigerungen und Administratoranmeldungen.
  • Die Protokolle werden an eine zentrale Plattform gesendet, wo sie gemäß den Richtlinien korreliert und gespeichert werden.
  • Setzen Sie Intrusion Detection oder Threat Detection an wichtigen Schnittstellen ein, wie z. B. Internet-Edges und Shared-Service-Zonen.
  • Definieren Sie, wie Warnmeldungen priorisiert, eskaliert und abgeschlossen werden und wie die Ergebnisse zu Verbesserungen führen.

Dies verknüpft A.8.20 mit den Protokollierungs- und Überwachungssteuerungen (A.8.15, A.8.16) und verdeutlicht, dass Ihre Netzwerksicherheit ein aktiver und kein statischer Prozess ist. Im Kontrollset von Anhang A sind diese Bereiche bewusst gruppiert, um Netzwerkverteidigung und -überwachung als Teil eines kontinuierlichen Feedback-Kreislaufs und nicht als isolierte Aktivitäten zu verstehen.



Nachweis der Einhaltung der Vorschriften: Dokumentation und Nachweise, die Prüfer erwarten

Die Einhaltung von Anhang A.8.20 wird letztendlich danach beurteilt, wie klar Sie Absicht, Umsetzung und Betrieb im Zeitverlauf nachweisen können. Für die Prüfung gemäß Anhang A.8.20 möchten Auditoren und größere Kunden sowohl die Designabsicht als auch den Betriebsnachweis sehen. Wenn Sie also wiederverwendbare Dokumente und Aufzeichnungen zusammenstellen, die Ihr Netzwerkdesign, Ihre Firewall-Standards und Ihre Überwachungsaktivitäten mit dieser Kontrolle verknüpfen, erleichtern Sie Audits und stärken das Vertrauen Ihrer Kunden in Ihren Managed Service Provider (MSP).

Der Bericht „State of Information Security 2025“ zeigt, dass Kunden zunehmend erwarten, dass sich Lieferanten an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials, SOC 2 und neue KI-Standards anpassen.

Für Anhang A.8.20 möchten Wirtschaftsprüfer und größere Kunden sowohl die Konstruktionsabsicht als auch einen Nachweis über die Funktionsweise sehen.

Artefakte auf Designebene

Design-Artefakte erklären, warum Ihre Netzwerke so aussehen, wie sie aussehen, und wie sie sich verhalten sollen. Wenn diese Dokumente aktuell sind und direkt in Ihrer A.8.20-Steuerung referenziert werden, bieten sie ein effektives Mittel, um Ingenieure, Auditoren und Kunden auf den neuesten Stand zu bringen, ohne jedes Gerät einzeln überprüfen zu müssen. Typische Elemente, die Ihnen helfen, eine glaubwürdige Darstellung zu vermitteln, sind beispielsweise die folgenden.

Typische Gegenstände, die Ihnen helfen, eine glaubwürdige Geschichte zu erzählen:

  • Eine Netzwerksicherheitsrichtlinie, die allgemeine Grundsätze für Segmentierung und Fernzugriff festlegt.
  • Ein Standard für Netzwerksegmentierung und Firewalls, der Prinzipien in konkrete Muster umsetzt.
  • Netzwerkdiagramme, die dreidimensionale Ansichten und repräsentative Mieter- oder Standortlayouts zeigen.
  • Ein Eintrag zur Anwendbarkeit von A.8.20 und zugehörigen Kontrollen, der auf diese Dokumente verweist.

Zusammengenommen zeigen diese Artefakte, dass Ihr Netzwerksicherheitsdesign bewusst, dokumentiert und auf Anhang A.8.20 abgestimmt ist und nicht etwa ein zufälliges Ergebnis von Wachstum darstellt.

Beweise auf operativer Ebene

Die Ergebnisse aus dem operativen Betrieb belegen, ob Ihre Netzwerke tatsächlich wie geplant funktionieren und ob Sie Abweichungen korrigieren, sobald diese auftreten. Hier prüfen Auditoren und größere Kunden, ob Ihre Diagramme und Standards den realen Belastungen und Veränderungen standhalten.

Um zu zeigen, dass die Kontrollmechanismen genutzt und gewartet werden, ist Folgendes hilfreich:

  • Konfigurationsbaselines oder Exporte von repräsentativen Firewalls, Routern, Switches und SD‐WAN-Controllern.
  • Änderungsprotokolle für Firewall- und Kernnetzwerkänderungen, einschließlich Genehmigungen und Testnotizen.
  • Überprüfen Sie die Protokolle für regelmäßige Firewall-Regelüberprüfungen und Segmentierungsprüfungen.
  • Überwachungsberichte, die Warnungen, Reaktionen und Erkenntnisse aus netzwerkbezogenen Vorfällen aufzeigen.

Ein Informationssicherheitsmanagementsystem (ISMS) vereinfacht die praktische Umsetzung erheblich. Experten im Bereich der kontinuierlichen Compliance betonen häufig, dass die Abstimmung von Richtlinien, Nachweisen und Risikobewertungen auf spezifische Kontrollen ohne ein strukturiertes Managementsystem schnell unübersichtlich wird. Durch die zentrale Speicherung von Richtlinien, Diagrammen, Firewall-Baselines, Änderungsprotokollen und Überwachungsberichten sowie deren direkter Verknüpfung mit A.8.20 und relevanten Risiken unterstützt eine Plattform wie ISMS.online Sie bei der Zusammenstellung von Auditunterlagen und der schnellen Beantwortung von Kundenfragebögen, ohne dass Sie in verstreuten Dateien suchen müssen.

In ISMS.online können Sie beispielsweise Ihren A.8.20 Firewall-Standard, Netzwerkdiagramme und Änderungsaufzeichnungen direkt mit dem Kontrolleintrag und den zugehörigen Risiken verknüpfen, sodass Ihre Ingenieure, Auditoren und Kundenbetreuer sehen können, wie die Nachweise zusammenpassen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Häufige Schwachstellen und wie man sie behebt, ohne die Dienste zu beeinträchtigen

Die meisten Managed Service Provider (MSPs) stoßen bei der ersten Überprüfung ihrer Systeme auf A.8.20 auf ähnliche Schwachstellen. Viele dieser Schwachstellen resultieren aus früheren Wachstumsphasen und nicht aus böswilliger Absicht. Fachartikel zu Netzwerksegmentierung und Firewall-Pflege weisen regelmäßig auf flache Netzwerke, gemeinsam genutzte Managementpfade und zu weit gefasste Regeln als wiederkehrende Fehler hin. Sie sind also wahrscheinlich nicht der Einzige, der ähnliche Probleme feststellt. Wenn Sie diese Probleme risikobasiert und schrittweise angehen, können Sie Ihre Netzwerksicherheit verbessern, ohne Ausfälle zu verursachen oder Ihre Teams zu überlasten.

Zwei Drittel der Organisationen in der ISMS.online-Umfrage 2025 geben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Aufrechterhaltung der Compliance erschweren.

Viele MSPs stoßen auf ähnliche Probleme, wenn sie sich zum ersten Mal anhand von A.8.20 selbst bewerten:

  • Ein weitgehend flaches internes Netzwerk mit nur oberflächlicher VLAN-Nutzung.
  • Gemeinsam genutzte Management-Schnittstellen, die in Produktionsnetzwerken integriert oder mit dem Internet verbunden sind.
  • Weit gefasste „any-any“-Firewallregeln, die aus früheren Fehlersuchen oder überstürzten Implementierungen übrig geblieben sind.
  • Nicht erfasste Labor-, Test- oder Legacy-Netzwerke, die die aktuellen Standards umgehen.
  • Uneinheitliche Protokollierung und Überwachung über Firewalls und wichtige Zonen hinweg.

Diese Schwächen erhöhen das Risiko, dass sich ein einzelner Kompromiss schnell ausbreitet, dass Veränderungen unbemerkt bleiben und dass Sie die Fragen der Kunden zur Isolation und Governance nicht überzeugend beantworten können.

Ein kurzer Vergleich typischer Schwachstellen, ihrer Risiken und erster Lösungsansätze kann Ihnen helfen, Prioritäten zu setzen.

Gemeinsame Schwäche Zugehöriges Risiko Erste Lösung
Flaches internes Netzwerk Seitliche Bewegung über viele Systeme hinweg Einführung von Kern-VLANs und einfachen Zonen
Freigelegte Verwaltungsschnittstellen Direkte Übernahme von Admin-Tools Umstellung auf dedizierte Managementnetzwerke
„Beliebige-Beliebige“-Firewallregeln Unkontrollierter Zugang zwischen Schlüsselzonen Protokollnutzung, dann durch engere Regeln ersetzen
Nicht überwachte Labor- oder Legacy-Netzwerke Versteckte Wege in die Produktion oder zu Mietern Entdecken, dokumentieren und unter Standards stellen
Lückenhafte Protokollierung und Überwachung Angriffe oder Fehlkonfigurationen bleiben unentdeckt. Zentralisierung der Schlüssel-Firewall- und VPN-Protokollierung

Wenn Sie in diesem Quartal nur zwei Dinge in Ordnung bringen, dann beginnen Sie damit, interne Netzwerke in Zonen zu unterteilen und exponierte Management-Schnittstellen auf dedizierte, gut kontrollierte Pfade zu verlagern.

Sie müssen das nicht alles über Nacht beheben und sollten Änderungen vermeiden, die zu flächendeckenden Ausfällen führen könnten. Ein pragmatischer Ansatz ist es, schrittweise vorzugehen und jede Änderung reversibel zu gestalten.

Schritt 1 – Priorisierung nach Risiko

Priorisieren Sie Mieter, gemeinsam genutzte Plattformen und Gateways, bei denen ein Kompromiss den größten Schaden für Kunden und Ihr eigenes Unternehmen verursachen würde.

Beginnen Sie mit Mietern in regulierten oder hochsensiblen Sektoren, gemeinsam genutzten Managementplattformen und internetseitigen Gateways, wo ein Ausfall am stärksten schaden würde.

Schritt 2 – Vor der Segmentierung stabilisieren

Stabilisieren Sie Ihre bestehenden Netzwerke, indem Sie sicherstellen, dass Sie über zuverlässige Konfigurationsinformationen, grundlegende Überwachung wichtiger Geräte und bewährte Ausweichpläne verfügen.

Stellen Sie sicher, dass Sie über verlässliche Anlagen- und Konfigurationsinformationen, eine grundlegende Überwachung wichtiger Geräte und getestete Ausweichpläne für größere Änderungen verfügen.

Schritt 3 – Einführung der Segmentierung in Schichten

Führen Sie die Segmentierung in überschaubaren Schichten ein, beginnend mit Managementnetzwerken und anschließend der Trennung von Benutzer- und Serverzonen für eine kleine Anzahl von Mandanten.

Erstellen Sie zuerst Management-VLANs oder VRFs, trennen Sie dann Benutzer- und Servernetzwerke in Pilot-Tenants und verfeinern Sie schließlich die gemeinsam genutzten Service-Enklaven und Ausgangsregeln.

Schritt 4 – Piloten und Standardmuster verwenden

Nutzen Sie Pilotprojekte und vereinbarte Muster, damit Ihre NOC- und Projektteams neue Designs mit einer kleinen Anzahl von Mietern testen können, bevor sie flächendeckend eingeführt werden.

Testen Sie die Muster zunächst mit einer kleinen Anzahl von Mietern, bevor Sie sie flächendeckend einführen, und passen Sie die Entwürfe auf der Grundlage von realem Betriebsfeedback von Ingenieuren und Kunden an.

Schritt 5 – Die „any-any“-Regeln nach und nach angehen

Reduzieren Sie die „Beliebig-Beliebig“-Regeln schrittweise, indem Sie protokollieren, wie sie angewendet werden, sie durch spezifische Genehmigungen ersetzen und die allgemeinen Regeln erst dann entfernen, wenn Sie sich sicher sind.

Protokollieren Sie, wie allgemeine Regeln angewendet werden, ersetzen Sie diese durch spezifische Genehmigungen und überwachte Ablehnungen und überprüfen Sie die Ergebnisse, bevor Sie vorübergehende Ausnahmen aufheben.

Aktualisieren Sie nach jeder Verbesserung Ihre Diagramme, Standards und Nachweise. A.8.20 befasst sich mit kontinuierlichem Management, nicht mit einer einmaligen Neugestaltung. Die Behandlung von Fehlerbehebungen als schrittweises Programm erleichtert die Aufrechterhaltung der Servicequalität während der Optimierung der IT-Infrastruktur.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Sie dabei, Anhang A.8.20 von einer technischen Herausforderung in einen strukturierten, evidenzbasierten Bestandteil Ihres ISO 27001-Programms zu verwandeln, den Ihre Techniker, Auditoren und Kunden gleichermaßen verstehen. Indem Sie Ihre Netzwerkrichtlinien, Standards, Diagramme, Firewall-Konfigurationen und Änderungsprotokolle in einem zentralen Arbeitsbereich zusammenführen und A.8.20 als wiederholbares Programm statt als einmaliges Projekt behandeln, können Sie einem einfachen Fahrplan folgen, der vom Verständnis über die Anwendung von Mustern bis hin zum Betrieb und der Evidenz führt. So werden Ihre Netzwerke sicherer, Ihre Audits reibungsloser und Ihre Vertriebsgespräche im Enterprise-Bereich überzeugender. Die Umsetzung von Anhang A.8.20 in einem Multi-Tenant-MSP lässt sich als ein unkomplizierter, wenn auch mehrstufiger Prozess zusammenfassen, den Ihre technischen Führungskräfte und Techniker gemeinsam durchlaufen können.

Trotz des zunehmenden Drucks nennen fast alle Befragten im Bericht „State of Information Security 2025“ das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als oberste Priorität.

Schritt 1 – Die Realität erkennen

Verschaffen Sie sich einen Überblick über die Realität Ihrer aktuellen Netzwerke, indem Sie abbilden, wo sich Mandanten, interne Systeme und Managementebenen überschneiden und wie der Datenverkehr zwischen ihnen fließt.

Kartieren Sie Ihre bestehenden Netzwerke, identifizieren Sie Überschneidungen zwischen Mietern, internen und Managementebenen und quantifizieren Sie sowohl Sicherheits- als auch Geschäftsrisiken.

Schritt 2 – Definieren Sie, was „gut“ aussieht

Definieren Sie, was „gut“ bedeutet, indem Sie A.8.20 und die zugehörigen Kontrollen in MSP-spezifische Ergebnisse übersetzen und Ihr Drei-Ebenen-Modell sowie Ihre Firewall-Baselines dokumentieren.

Interpretieren Sie A.8.20 und die zugehörigen Kontrollen in MSP-spezifische Ergebnisse, wenden Sie das Drei-Ebenen-Modell an und notieren Sie Ihre Segmentierungs- und Firewall-Baselines.

Schritt 3 – Wiederholbare Muster entwerfen

Entwerfen Sie wiederholbare Muster, damit Ihr NOC, Ihre Projektteams und Architekten die gleichen bewährten Designs für viele Kunden und Plattformen implementieren können.

Erstellen Sie Referenzarchitekturen für die mandantenspezifische Segmentierung, gemeinsam genutzte Dienste und den Administratorzugriff, standardisieren Sie Firewall-Regeln und legen Sie fest, wie Cloud- und On-Premises-Umgebungen denselben Mustern entsprechen.

Schritt 4 – Implementieren und betreiben

Implementieren und betreiben Sie Ihre Muster phasenweise, beginnend mit den Bereichen mit dem höchsten Risiko, und stellen Sie durch Überwachung und Überprüfung sicher, dass das Design im Laufe der Zeit korrekt bleibt.

Die Segmentierung und Firewall-Baselines werden phasenweise auf Basis des Risikos eingeführt, die Protokollierung und Überwachung an wichtigen Schnittstellen zentralisiert und regelmäßige Überprüfungen durchgeführt, um das Design zu verfeinern.

Schritt 5 – Nachweise sammeln und verbessern

Sichern Sie sich Nachweise und verbessern Sie Ihre Prozesse, indem Sie einen wiederverwendbaren A.8.20-Nachweiskatalog zusammenstellen und diesen regelmäßig überprüfen, wenn sich Ihr Unternehmen, Ihr Technologie-Stack oder Ihr regulatorisches Umfeld ändert.

Stellen Sie einen wiederverwendbaren A.8.20-Nachweissatz zusammen, verknüpfen Sie ihn mit Risiken und der Anwendbarkeitserklärung und überarbeiten Sie das Design nach wesentlichen Geschäfts-, Technologie- oder regulatorischen Änderungen.

Wenn Sie diesen Prozess mit einem strukturierten ISMS unterstützen, erleichtern Sie es erheblich, Architektur, Betrieb und Dokumentation aufeinander abzustimmen. Eine ISMS-Plattform wie ISMS.online hilft Ihnen dabei, Ihre A.8.20-Richtlinien, Netzwerkstandards, Diagramme, Änderungsprotokolle und Überwachungsnachweise direkt mit den Kontrollmechanismen zu verknüpfen. So können Sie die Sicherheit auf eine Weise nachweisen, die Kunden, Auditoren und Aufsichtsbehörden überzeugt.

Für Ihr NOC und Ihre Projektteams bedeutet das weniger Zeitaufwand für die Dokumentensuche, klarere Umsetzungsmuster und weniger Überraschungen bei Audits und Kundenbefragungen.

Mit der Zeit kann diese Kombination aus klarem Design, diszipliniertem Betrieb und gut organisierter Dokumentation dazu beitragen, A.8.20 von einer bloßen Checkliste in eine wirtschaftliche Stärke zu verwandeln, die weniger mieterübergreifende Vorfälle, reibungslosere Unternehmensverkäufe und eine überzeugendere Argumentation für Versicherer und Partner unterstützt, die auf Ihr Netzwerk angewiesen sind, um ihr eigenes Geschäft zu schützen.

Wenn Sie sehen möchten, wie das in der Praxis aussieht, können Sie eine Demo bei ISMS.online buchen und erfahren, wie Ihre A.8.20-Netzwerksicherheitsarchitektur an einem Ort entworfen, betrieben und dokumentiert werden kann.

Kontakt


Häufig gestellte Fragen (FAQ)

Wie sollte man ISO 27001 A.8.20 bei der Planung oder Überprüfung eines MSP-Netzwerks behandeln?

Sie sollten A.8.20 als Design- und Betriebsstandard für Ihr gesamtes MSP-Netzwerk betrachten, nicht nur als eine „Firewall-Checkliste“. Es wird von Ihnen erwartet, dass Sie nachweisen, dass die Segmentierung beabsichtigt ist, dass die Grenzen kontrolliert werden und dass der tägliche Betrieb Kunden- und Unternehmensinformationen konsequent schützt.

Wie sieht „gut“ für A.8.20 in einer Managed-Service-Umgebung aus?

Eine praktische Betrachtungsweise von A.8.20 ist, dass es vier Dinge testet:

  • Sie haben klar definierte Netzwerkzonen mit einem bestimmten Zweck (Unternehmen, Mieter, Management, Shared Services).
  • Diese Zonen sind getrennt durch erzwungene Grenzen (Firewalls, ACLs, Routing, identitätsbasierte Kontrollen).
  • Dir betreiben, überwachen und überprüfen diese Grenzen in einem Zeitplan, verknüpft mit dem Risiko.
  • Nutze einfach das erklären und belegen All das soll einem Wirtschaftsprüfer oder Unternehmenskunden in Minuten, nicht in Wochen, präsentiert werden.

Ein einfacher Lackmustest lautet: Könnten Sie einem neuen Mitarbeiter, der morgen in Ihr Unternehmen eintritt, ein oder zwei Diagramme, eine kurze Erläuterung des Netzwerksicherheitsstandards und einige Beispiele (Änderungstickets, Überprüfungen, Warnmeldungen) geben, anhand derer er den vorgesehenen Datenfluss nachvollziehen kann? Lautet die Antwort „Ja“, entsprechen Sie bereits weitgehend den Anforderungen von A.8.20. Lautet die Antwort hingegen „Das Wissen ist vorhanden“, fordert Sie A.8.20 dazu auf, dieses Wissen zu erfassen und in Ihr Informationssicherheitsmanagementsystem (ISMS) zu integrieren.

Wie interagiert A.8.20 mit anderen ISO 27001-Klauseln und den Kontrollen in Anhang A?

A.8.20 ist Teil eines Netzes von Anforderungen, die sich alle gegenseitig verstärken:

  • Klausel 4.3 (Geltungsbereich): Definiert, welche Netzwerksegmente, Plattformen und Mandanten zu Ihrem ISMS gehören.
  • Klausel 6.1 (Risikobewertung und -behandlung): erklärt, warum Sie bestimmte Segmentierungsmuster, Technologien oder Cloud-Konstrukte ausgewählt haben.
  • Anhang A.8.21 und A.8.22: Es geht darum, wie Netzwerkdienste und die Trennung von Netzwerkfunktionen im täglichen Betrieb umgesetzt werden.
  • Anhang A.5.23 (Cloud-Dienste): behandelt, wie Public-Cloud-Konstrukte (VPCs, VNets, Peering) mit Ihrem Segmentierungsmodell übereinstimmen.
  • Anhang A.5.24–A.5.27 (Vorfallsmanagement): wird relevant, wenn eine Schwachstelle im Netzwerk zu einem Ereignis oder Vorfall führt.

Wenn Ihre Anwendungsfallerklärung, Netzwerkrichtlinie, Risikoaufzeichnungen und Diagramme übereinstimmen, verliert A.8.20 seine Funktion als „Firewall-Kontrolle“ und wird zur sichtbaren Netzwerkschicht Ihres umfassenderen ISMS. Eine Plattform wie ISMS.online vereinfacht dies, da Ihre Richtlinien, Risiken, Diagramme, Konfigurationen und Überprüfungen zentral mit der Kontrolle verknüpft werden können.

Wie kann ein MSP ein Drei-Ebenen-Netzwerk entwerfen, das A.8.20 erfüllt und dennoch unter Druck funktioniert?

Die Entwicklung eines für Ingenieure praktikablen dreistufigen Netzwerks erfordert die Trennung von Unternehmens-, Mieter- und Verwaltungsumgebungen bei gleichzeitig praktikablen Arbeitsabläufen. A.8.20 schreibt keine bestimmten Technologien vor; es verlangt lediglich den Nachweis, dass diese Ebenen bewusst getrennt und nur dort zusammengeführt werden, wo dies aus geschäftlicher Sicht gerechtfertigt ist.

Was sind die wesentlichen Elemente eines MSP-Designs mit drei Ebenen?

Eine robuste Drei-Ebenen-Konstruktion umfasst üblicherweise Folgendes:

  • Firmenflugzeug: – Identitätsdienste, E-Mail, HR- und Finanzsysteme, Kollaborationstools und Ihre eigenen Branchenanwendungen.
  • Mieterflugzeug: – Kundenspezifische Netzwerke und Workloads, segmentiert durch VLANs, VRFs, VPCs/VNets oder ähnliche Konstrukte, mit klaren Vertrauensgrenzen zwischen den Mandanten.
  • Managementebene: – Fernüberwachungs- und -verwaltungstools, Hypervisor-Konsolen, Netzwerkgeräte-Verwaltungsschnittstellen, Backup- und Observability-Plattformen.

Der entscheidende Punkt für A.8.20 ist, dass der Datenverkehr zwischen diesen Ebenen über klar definierte Gateways geleitet wird, in denen sich das Prinzip der minimalen Berechtigungen durchsetzen und Aktivitäten protokollieren lassen. Beispielsweise könnten sich Techniker von gehärteten Endpunkten über ein gesichertes Betriebs-VPN und anschließend über einen Jump-Host mit der Managementebene verbinden, anstatt direkt aus dem Büro-LAN oder dem Internet auf Geräte zuzugreifen. Wenn jeder neue Mandant ein wiederholbares Muster verwendet und jeder Techniker denselben Anmeldevorgang durchläuft, wird die Architektur einfacher zu sichern, zu erklären und zu prüfen.

Wie können Sie verhindern, dass die Segmentierung für Ihre Ingenieure zu einem unübersichtlichen Labyrinth wird?

Segmentierung scheitert, wenn sie so kompliziert ist, dass sich die Nutzer gezwungen sehen, sie zu umgehen. Damit sie praktikabel bleibt:

  • Definiere eine kleine Menge von Standard-Mietpläne mit veröffentlichten Diagrammen und Portmatrizen, und diese dann wiederverwenden.
  • Kreation Gemeinsam genutzte Servicezonen für Dinge wie Überwachung, Datensicherung, Authentifizierung und Protokollierung, mit klaren Regeln, wer mit ihnen kommunizieren darf.
  • Bereitstellung einer widerstandsfähigen begrenzte Anzahl von „Admin-Zugängen“ (zum Beispiel zwei regionale sichere Zugangspunkte) anstatt individueller Pfade für jeden Techniker.
  • Automatisieren Sie Routineaufgaben wie die Bereitstellung von VPN-Profilen, den Zugriff auf Jump-Hosts und die Aufzeichnung privilegierter Sitzungen, damit der sichere Weg auch der einfachste ist.

Die Dokumentation dieser Muster in Ihrem ISMS und deren Verknüpfung mit Anhang A.8.20 bietet Teams eine verlässliche Referenz. In ISMS.online können Sie Diagramme, Standards und Zugriffsverfahren den Steuerelementen zuordnen und mit dem Änderungsmanagement abstimmen, sodass Ingenieure ein einheitliches Bild erhalten und nicht ständig wechselnde Informationen.

Welche Firewall- und Routing-Standards sind für A.8.20 in einem Multi-Tenant-MSP am wichtigsten?

Für A.8.20 sind Ihre Firewall- und Routing-Standards der konkrete Ausdruck von „Netzwerktrennung“. Die Kontrolle interessiert sich weniger für Markennamen, sondern vielmehr dafür, ob Sie überall eine einheitliche Basislinie anwenden und nachweisen können, dass diese eingehalten wird.

Was sollte eine A.8.20-konforme Firewall- und Routing-Baseline enthalten?

Eine effektive Ausgangsbasis für einen Dienstleister umfasst typischerweise Folgendes:

  • A Standard-Verweigerungshaltung, wobei nur explizit erlaubte Datenflüsse zulässig sind und jede Regel an einen dokumentierten Bedarf gebunden ist.
  • Nord-Süd-Kontrollen: (Internet- und standortübergreifender Datenverkehr): Einsatz von Stateful Inspection, DNS-Sicherheit, DDoS-Kontrollen, reputations- oder standortbasierter Blockierung, sofern verhältnismäßig.
  • Ost-West-Trennung: (innerhalb und zwischen Mietern, Unternehmen und Management): Beschränkungen der lateralen Bewegung, Trennung von Benutzer- und Servernetzwerken und strikte Isolation privilegierter Systeme.
  • Administrative Zugriffskontrollen: Woher, wie und von wem die Management-Schnittstellen erreicht werden können, einschließlich Multi-Faktor-Authentifizierung und Gerätehygiene-Anforderungen.
  • Protokollierung und Überwachung: Mindestanzahl an Protokollquellen und Aufbewahrungsfristen, Korrelation mit SIEM- oder Protokollplattformen, Schwellenwerte für die Alarmierung und ein definierter Überprüfungsrhythmus.

Die gleichen Grundsätze gelten in der Cloud wie in On-Premises-Umgebungen: Netzwerksicherheitsgruppen oder Cloud-Firewalls sollten denselben Prinzipien folgen wie physische Geräte. Indem Sie diese Grundlage als formalen Standard in Ihrem ISMS festhalten und sie Anhang A.8.20 zuordnen, erhalten Sie einen konkreten Anhaltspunkt, wenn Auditoren oder Kunden nach der Verwaltung Ihrer Netzwerkkontrollen über verschiedene Plattformen hinweg fragen.

Wie behält man bei wachsendem Unternehmen die Kontrolle über Firewall- und Routing-Richtlinien?

Ohne Disziplin wachsen Regelwerke so weit an, dass niemand sie mehr gefahrlos ändern kann. Um die Kontrolle zu behalten:

  • Verlangen Sie, dass jede Regel eine Eigentümerherunter, eine betriebswirtschaftliche Begründung und einem Überprüfungs- oder Ablaufdatum.
  • Nutzen Sie Objekte, Gruppen und Vorlagen für wiederkehrende Muster (z. B. einen Standardsatz von Ports für einen gemeinsam genutzten Backup-Dienst), anstatt für jeden Mandanten einen einzelnen Eintrag zu erstellen.
  • Programm regelmäßige Rezensionen die risikoreiche Muster wie weite Quell-/Zielbereiche, Any-Any-Regeln oder lange ungenutzte Einträge hervorheben und diese Überprüfungen mit Maßnahmen in Ihrem ISMS verknüpfen.
  • Machen Sie es leicht sichtbar welche Regeln mit welchen Risiken und Dienstleistungen verknüpft sind damit die Mitarbeiter sie bei sich ändernden Geschäftsanforderungen problemlos anpassen können.

Durch die Speicherung von Standards, Änderungsprotokollen und Prüfergebnissen auf einer zentralen ISMS-Plattform wie ISMS.online lässt sich der gesamte Prozess von der Risikobewertung über die Konfiguration bis hin zur Umsetzung nachverfolgen. Diese Nachvollziehbarkeit gibt Auditoren oft die Gewissheit, dass Ihre A.8.20-Kontrollen nicht nur gut gemeint, sondern auch tatsächlich eingehalten werden.

Welche Nachweise muss ein Managed Service Provider (MSP) vorlegen, um Prüfer und Kunden hinsichtlich A.8.20 zu überzeugen?

Für A.8.20 gibt es starke Beweise für etwa Zeigen Sie Ihre Absicht und Ihre Übung auf eine kompakte, aber überzeugende Weise. Die meisten Auditoren und Sicherheitsteams in Unternehmen möchten Ihr Modell schnell verstehen und anschließend in konkrete Beispiele einsteigen.

Welche Artefakte liefern das klarste Bild Ihrer Netzwerksegmentierung?

Nachweispakete, die bei Prüfern und Kunden gut ankommen, enthalten in der Regel Folgendes:

  • A Netzwerksicherheitsrichtlinie Das legt die Erwartungen an Segmentierung, Firewall-Management und Administratorzugriff im gesamten Netzwerk fest.
  • A Segmentierungs- und Firewall-Standard Das beschreibt Ihre Ebenen, Zonen und die Arten von Kontrollen an jeder Grenze.
  • Eine kleine Anzahl von Kerndiagramme – zum Beispiel eine Architekturübersicht und ein repräsentativer Mieterplan mit markierten Vertrauensgrenzen und Verkehrsflüssen.
  • An Inventar der wichtigsten Netzwerkkomponenteneinschließlich Edge-Firewalls, Core-Switches, VPN-Gateways, Cloud-Sicherheitskontrollen und Remote-Zugriffsinfrastrukturen.
  • Aktuelle Änderungsaufzeichnungen: für Aktualisierungen von Materialregeln oder Topologieänderungen, einschließlich Genehmigungen und Verknüpfungen zu Risikoentscheidungen oder Kundenzusagen.
  • Ein oder mehrere Prüfprotokolle wenn Sie Protokolle oder Regelsätze ausgewertet, Probleme festgestellt, Maßnahmen ergriffen und das Ergebnis protokolliert haben.

Bei Verwendung von ISMS.online lassen sich diese Dokumente direkt mit Anhang A.8.20 und den zugehörigen Kontrollen verknüpfen. So können Sie bei Nachfragen ein vorbereitetes Dokument exportieren oder teilen, anstatt von einer leeren Seite zu beginnen. Das spart Zeit und verringert das Risiko inkonsistenter Antworten in verschiedenen Fragebögen und Audits.

Wie kann man die A.8.20-Nachweise wiederverwenden, anstatt sie jedes Jahr neu zu erstellen?

Der einfachste Weg, Beweismittel wiederverwendbar zu machen, besteht darin, sie als solche zu behandeln. Bibliothek mit Versionskontrolle:

  • Bewahren Sie Kerndokumente (Richtlinien, Standards, Referenzdiagramme) als kontrollierte Elemente in Ihrem ISMS auf, mit klaren Verantwortlichen und Überprüfungsterminen.
  • Technische Artefakte (Konfigurationsauszüge, Firewall-Screenshots, Ticketverläufe) sollten den von ihnen unterstützten Steuerelementen zugeordnet werden, damit sie ohne Duplikate in verschiedene Pakete eingefügt werden können.
  • Definiere eine kleine Anzahl von Standardbeweisbündel – zum Beispiel „ISO 27001 Netzwerkpaket“, „Unternehmens-Due-Diligence-Paket“ – und diese nach jedem größeren Audit oder jeder Bewertung verfeinern.

Diese Arbeitsweise bedeutet, dass jede Überwachungsprüfung oder jede umfangreiche Kundenbefragung eine Chance zur Verbesserung der Bibliothek bietet und nicht deren Neuerfindung erfordert. ISMS.online basiert auf diesem Prinzip und ermöglicht es Ihnen, aktualisierte Artefakte demselben Steuerelement zuzuordnen und Ihre A.8.20-Ebene aktuell zu halten, ohne den vorherigen Kontext zu verlieren.

Welchen wiederkehrenden Schwächen von A.8.20 sind MSPs ausgesetzt, und wie können sie das Risiko reduzieren, ohne Ausfälle zu verursachen?

Die meisten Managed Service Provider (MSPs) stellen fest, dass A.8.20 ähnliche Schwachstellen aufdeckt: organisch gewachsene interne Netzwerke, gemeinsam genutzte Administrationspfade, die Mandantenübergreifend sind, zu freizügige Regeln, die „nur zu Testzwecken“ hinzugefügt wurden, unzureichend geschützte Testumgebungen und eine inkonsistente Überwachung der Kerngeräte. Diese Probleme häufen sich oft unbemerkt an, bis sie durch eine Sicherheitsüberprüfung oder einen Vorfall sichtbar werden.

Wie lässt sich das Risiko gemäß A.8.20 so reduzieren, dass es von den Betriebsteams akzeptiert wird?

Ein pragmatischer Verbesserungsplan berücksichtigt die Tatsache, dass Sie einen laufenden Betrieb führen:

  • Beginnen wir mit Transparenz: Bevor Sie irgendetwas anfassen, stellen Sie sicher, dass Sie über aktuelle Diagramme, genaue Geräteinventare und funktionierende Konfigurationssicherungen verfügen.
  • Schwächen nach Auswirkung und Gefährdung einordnen: Priorität haben internetseitige Standorte, gemeinsam genutzte Plattformen und besonders wertvolle Mieter.
  • Administratorzugriff stabilisieren: Verlagern Sie Management-Schnittstellen hinter kontrollierte Zugriffspunkte, verstärken Sie die Authentifizierung und reduzieren Sie die Anzahl der Wege, die Ingenieure nutzen können.
  • Die laxen Regeln schrittweise verschärfen: Fügen Sie Protokollierung hinzu, beobachten Sie die tatsächliche Nutzung, vereinbaren Sie engere Regeln mit den Dienstinhabern und entfernen Sie erst dann die allgemeinen Einträge.
  • Umgang mit Laboren und Altsystemen: Entweder man unterstellt sie denselben Standards oder man isoliert sie als nicht vertrauenswürdige Zonen mit begrenzter, gut dokumentierter Konnektivität.

Jede Änderung sollte als Risikobehandlung und formale Änderung in Ihrem ISMS protokolliert werden, inklusive aktualisierter Standards und Diagramme. Die Verwaltung in ISMS.online ermöglicht es Ihnen, den gesamten Prozess – Problem, Entscheidung, Änderung und Nachweis – darzustellen, wenn Sie gefragt werden, was Sie im letzten Jahr zur Stärkung von Anhang A.8.20 unternommen haben.

Wie lassen sich die Verbesserungen in Version A.8.20 in eine positive Botschaft für die Kunden umwandeln?

Anstatt darauf zu warten, dass Kunden im Rahmen der Due-Diligence-Prüfung Schwachstellen entdecken, können Sie Ihre Arbeit gemäß A.8.20 als Teil eines kontinuierlichen Verbesserungsprozesses positionieren. Indem Sie in kundenfreundlicher Sprache erläutern, dass Sie bestimmte Risiken identifiziert, neue Kontrollen eingeführt und die Ergebnisse validiert haben, signalisieren Sie Reife und Transparenz. Die Bereitstellung ausgewählter Dokumente – wie aktualisierte Diagramme, neue Verfahren für den Administratorzugriff oder Zusammenfassungen von Regelüberprüfungen – über ein kontrolliertes Portal versichert potenziellen Käufern, dass Sie nicht nur die aktuellen Anforderungen erfüllen, sondern aktiv in eine bessere Trennung und Netzwerk-Governance investieren.

Wie kann ein Managed Service Provider (MSP) eine sichere Migration von einem flachen Netzwerk zu einer A.8.20-konformen Architektur planen und durchführen?

Eine erfolgreiche Migration von einem flachen oder lose segmentierten Netzwerk zu einer A.8.20-konformen Architektur hängt eher davon ab, Sequenz und Steuerung mehr als glänzende neue Hardware. Die widerstandsfähigsten Programme bevorzugen kleine, gut verständliche Schritte mit klaren Ergebnissen gegenüber ambitionierten Neugestaltungen, die versuchen, alles auf einmal zu ändern.

Welcher stufenweise Ansatz eignet sich am besten für die meisten Managed Service Provider (MSPs)?

Eine sinnvolle Abfolge sieht oft so aus:

  1. Die Gegenwart dokumentieren und stabilisieren: Konfigurationssicherungen bestätigen, die Überwachung wichtiger Geräte sicherstellen und Rollback-Pläne validieren.
  2. Die Managementebene schaffen oder stärken: Führen Sie dedizierte Netzwerke oder VRFs für den Management-Datenverkehr ein und reduzieren Sie die administrativen Zugangspunkte auf eine kleine, kontrollierte Anzahl.
  3. Priorisierte Mieter und gemeinsam genutzte Dienste segmentieren: Wählen Sie eine überschaubare Teilmenge kritischer Kunden und gemeinsam genutzter Plattformen aus, wenden Sie das Drei-Ebenen-Modell an und verfeinern Sie die Firewall-Baselines und Service-Enklaven um diese herum.
  4. Das Muster soll auf dem gesamten Anwesen fortgesetzt werden: Führen Sie das bewährte Design schrittweise für den gesamten Mieterstamm und für interne Systeme ein, indem Sie dabei Regeln konsolidieren und veraltete Verbindungen stilllegen.
  5. Integrieren Sie alles in Ihr ISMS: Aktualisieren Sie Standards, Diagramme, Risikoeinträge und Nachweise, sobald jede Welle eintrifft, damit Anhang A.8.20 das reale Netzwerk widerspiegelt und nicht nur eine Präsentation.

Durch diese Vorgehensweise können Ihre Teams aus jeder Phase lernen, ihre Vorgehensweisen aktualisieren und die Zeit zwischen Design und Nutzen verkürzen. Außerdem erhalten Sie so mehr Möglichkeiten, die korrekte Funktionsweise neuer Steuerelemente zu überprüfen, bevor größere Mandanten migriert werden.

Wie kann eine ISMS-Plattform sicherstellen, dass ein mehrjähriges Upgrade auf A.8.20 planmäßig verläuft?

Im Laufe der Jahre verändern sich Menschen und Plattformen; Ihr ISMS sorgt für die Kohärenz von Absicht und Beweisen. Mit einer Plattform wie ISMS.online können Sie:

  • Pflegen Sie a Zielarchitekturstandard und zugehörige Baupläne als kontrollierte Dokumente.
  • Verknüpfen Sie jede Änderung, jedes Projekt oder jede Migrationswelle direkt mit Anhang A.8.20 und zugehörige Kontrollen, unter Bezugnahme auf die behandelten Risiken.
  • Anfügen Beweis – wie z. B. Konfigurations-Snapshots, Testprotokolle, Überprüfungsergebnisse und Erkenntnisse aus Vorfällen – zu den entsprechenden Kontrollen und Risiken.
  • Generieren einheitliche Berichte und Beweismittelpakete für Wirtschaftsprüfer, Kunden und die interne Governance, unter Verwendung der gleichen zugrunde liegenden Daten.

Wenn Sie A.8.20 auf diese Weise handhaben, erfüllen Sie nicht nur eine Kontrollanforderung, sondern schaffen auch eine transparente und wiederholbare Methode zur Durchführung von Netzwerksicherheitsmaßnahmen als Teil Ihres Informationssicherheitsmanagementsystems. Dies signalisiert Kunden und Stakeholdern deutlich, dass Ihr Managed Service Provider (MSP) die langfristige Verantwortung für ihre IT-Umgebungen ernst nimmt und über die notwendigen Strukturen verfügt, um kontinuierliche Verbesserungen zu erzielen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.