Security & Compliance Report

Network Topology

1. Einleitung

Dieser Bericht fasst die zentralen Erkenntnisse aus der Analyse von Netzwerk- und Systemkonfigurationen zusammen. Dabei werden die relevanten NIS2 und TISAX-Anforderungen berücksichtigt. Die Konfiguration von NTP, Passwortrichtlinien, Syslog-Setups und Access-Listen sind essenzielle Bausteine eines robusten ISMS und entscheidend für die Einhaltung von Compliance-Vorgaben.

Das Netzwerk spielt hierbei eine tragende Rolle: Als „Datenrückgrat“ eines jeden Unternehmens bestimmt es maßgeblich, wie sicher Informationen übertragen, gespeichert und verwaltet werden können. Eine stabile und gut gesicherte Netzwerkarchitektur bildet die Grundlage für wirksame Sicherheitsmaßnahmen und minimiert das Risiko von Angriffen oder Fehlkonfigurationen.

2. Zusammenfassung der Findings

Gesamtanzahl Findings: 208
Verteilung nach Severity:
- Medium: 73
- Warning: 51
- Info: 52
- High: 32

3. Details pro Kategorie

NTP Timeserver Issues (71) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Details
MPLS-Core-FW3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-DR2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-SW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW4	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site4-SW4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW7	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-FW2	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site4-FW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-DR4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-SW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-SW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-DR2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-FW1	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site3-FW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW5	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-DR1	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site1-DR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW3	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site4-SW3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-FW1	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site1-FW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-FW2	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site2-FW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-FW1	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site4-FW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW1	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site4-SW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-FW2	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site1-FW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-AR2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-AR3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-DR2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-FW4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-DR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW8	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-DR2	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site1-DR2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-R4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-DR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-R2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-AR4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-DR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-AR5	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-FW4	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site4-FW4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-AR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-SW3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-R3	No NTP server configured	Warning	Configure at least one external NTP server for time sync
MPLS-Core-R3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-FW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-SW6	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-R1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-SW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-AR1	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site1-AR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
MPLS-Core-FW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-SW4	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site1-SW2	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site1-SW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-AR2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-FW3	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site4-FW3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-AR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-SW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site2-FW1	No NTP server configured	Warning	Configure at least one external NTP server for time sync
Site2-FW1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site3-FW2	Only 1 NTP server(s) configured	Info	Add second NTP server for redundancy	4.4.4.4
Site3-FW2	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-AR1	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client
Site4-DR3	NTP authentication is not enabled	Medium	Enable 'ntp authenticate', define trusted-key, and match keys on server/client

Password Policy Issues (48) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Config_Line
Site2-DR2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-SW1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-SW4	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-SW7	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-FW2	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site2-SW2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-SW1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-DR2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-FW1	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site4-SW5	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-DR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-SW3	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-FW1	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site2-FW2	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site4-FW1	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site4-SW1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-SW2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-FW2	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site4-AR2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-AR3	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-DR2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-DR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-SW8	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-DR2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
MPLS-Core-R4	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site2-DR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
MPLS-Core-R2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-AR4	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-DR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-AR5	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-FW4	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site3-AR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-SW3	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
MPLS-Core-R3	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-SW6	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
MPLS-Core-R1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-SW2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-AR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-SW4	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site1-SW2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site3-AR2	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-FW3	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site2-AR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site2-SW1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site2-FW1	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site3-FW2	ASA enable password without encryption	High	Use 'enable password encryption ' e.g. 'pbkdf2'	enable password cisco encrypted
Site4-AR1	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS
Site4-DR3	Missing 'service password-encryption' (IOS)	Warning	Enable 'service password-encryption' on IOS

Remote Access (Telnet/SSH) Findings (0) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Config_Line

IPSec / IKE Findings (30) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Details
Site4-FW2	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site4-FW2	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site4-FW2	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site3-FW1	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site3-FW1	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site3-FW1	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site1-FW1	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site1-FW1	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site1-FW1	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site2-FW2	ISAKMP / IPSec using MD5	Medium	Use SHA-256 oder höher	Regex found 'hash md5'
Site2-FW2	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site2-FW2	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site4-FW1	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site4-FW1	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site4-FW1	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site1-FW2	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site1-FW2	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site1-FW2	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site4-FW4	ISAKMP / IPSec using MD5	Medium	Use SHA-256 oder höher	Regex found 'hash md5'
Site4-FW4	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site4-FW4	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site4-FW3	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site4-FW3	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site4-FW3	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site2-FW1	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site2-FW1	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site2-FW1	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'
Site3-FW2	ISAKMP / IPSec using SHA-1	Medium	Use SHA-256 oder höher	Regex found 'hash sha' oder 'hash sha1'
Site3-FW2	ISAKMP / IPSec using DH group5 (1536-bit)	Medium	Use DH group14 oder höher (2048-bit)	Regex found 'group 5'
Site3-FW2	ISAKMP / IPSec lifetime abweichend (43200)	Info	Use lifetime 86400 (24h) oder passenden Wert laut Richtlinie	Regex found 'lifetime 43200'

ASA Failover Issues (5) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation
Site3-FW1	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
Site2-FW2	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
Site4-FW1	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
MPLS-Core-FW1	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config
Site2-FW1	ASA failover partially configured	Info	Verify 'failover lan unit' or 'failover interface' config

VRF Usage Issues (0) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Details

Syslog & SNMP Issues (32) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Config_Line
Site2-DR2	Only one syslog server configured (IOS)	Info	Add second syslog server for redundancy	trap
Site3-SW1	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
Site4-SW4	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-SW7	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site2-SW2	No Syslog server configured (IOS)	Warning	Use 'logging host ' or 'logging ' to enable remote syslog
Site2-SW2	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site1-SW1	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-SW5	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
Site4-SW3	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site2-FW2	No Syslog server configured (ASA)	Warning	Use 'logging host ' or 'logging ' to enable remote syslog
Site2-FW2	No 'logging trap' level set (ASA)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-SW1	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-SW2	No Syslog server configured (IOS)	Warning	Use 'logging host ' or 'logging ' to enable remote syslog
Site4-SW2	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-AR2	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-AR3	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-DR1	Only one syslog server configured (IOS)	Info	Add second syslog server for redundancy	trap
Site4-SW8	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-AR4	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-AR5	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site3-AR1	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site3-SW3	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site4-SW6	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site3-SW2	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site1-AR1	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
MPLS-Core-FW1	Logging trap set to 'debugging' (ASA)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
Site3-SW4	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site1-SW2	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site3-AR2	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site2-AR1	No 'logging trap' level set (IOS)	Info	Configure 'logging trap ' e.g. 'logging trap warnings'
Site2-SW1	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging
Site4-AR1	Logging trap set to 'debugging' (IOS)	Info	Consider using 'warnings' or 'errors' to reduce log noise	logging trap debugging

Unused Services Issues (22) (Klicken zum Ein-/Ausklappen)

Device	Issue	Severity	Recommendation	Config_Line
Site2-DR2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site3-DR2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site1-DR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-AR2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-AR3	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-DR2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-DR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site1-DR2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
MPLS-Core-R4	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site2-DR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
MPLS-Core-R2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-AR4	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site3-DR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-AR5	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site3-AR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
MPLS-Core-R3	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
MPLS-Core-R1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site1-AR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site3-AR2	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site2-AR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-AR1	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh
Site4-DR3	Telnet access enabled on vty	High	Use SSH instead: 'transport input ssh'	transport input telnet ssh

Single Point of Failure Analysis (Klicken zum Ein-/Ausklappen)

Dieser Abschnitt zeigt, wie viele Flows bei Ausfall eines bestimmten Knotens verloren gehen (LostFlows). Ein Wert > 0 deutet auf einen potenziellen Single Point of Failure (SPOF) hin.

Gute Nachricht: Kein einziger Flow ging verloren – scheinbar existiert kein SPOF.

NodeDown	FlowsOkBefore	FlowsOkAfter	LostFlows

Unused ACLs (40) (Klicken zum Ein-/Ausklappen)

Structure_Type	Structure_Name	Source_Lines	Is truly unused?
extended ipv4 access-list	UNUSED_ACL_2742	configs/MPLS-Core-FW3.cfg:[53, 54]	Yes
extended ipv4 access-list	UNUSED_ACL_9	configs/MPLS-Core-R3.cfg:[31, 32, 33, 34]	No
extended ipv4 access-list	UNUSED_ACL_4510	configs/MPLS-Core-R4.cfg:[31, 32]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site1-FW1.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site1-FW1.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site1-FW2.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site1-FW2.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	UNUSED_ACL_3531	configs/Site1-FW2.cfg:[49, 50]	Yes
extended ipv4 access-list	UNUSED_ACL_6472	configs/Site2-DR1.cfg:[40, 41, 42]	No
extended ipv4 access-list	UNUSED_ACL_28	configs/Site2-DR2.cfg:[43, 44, 45, 46]	No
extended ipv4 access-list	UNUSED_ACL_3798	configs/Site2-DR2.cfg:[40, 41]	No
extended ipv4 access-list	UNUSED_ACL_5106	configs/Site2-DR2.cfg:[48, 49, 50, 51]	Yes
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site2-FW1.cfg:[39, 40, 41, 42, 43]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site2-FW1.cfg:[33, 34, 35, 36, 37]	No
extended ipv4 access-list	UNUSED_ACL_4633	configs/Site2-FW1.cfg:[45, 46]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site2-FW2.cfg:[41, 42, 43, 44, 45]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site2-FW2.cfg:[33, 34, 35, 36, 37, 38, 39]	No
extended ipv4 access-list	UNUSED_ACL_1040	configs/Site2-FW2.cfg:[51, 52, 53]	No
extended ipv4 access-list	UNUSED_ACL_2047	configs/Site2-FW2.cfg:[47, 48, 49]	Yes
extended ipv4 access-list	UNUSED_ACL_6754	configs/Site3-AR2.cfg:[27, 28, 29, 30]	No
extended ipv4 access-list	UNUSED_ACL_9685	configs/Site3-DR1.cfg:[52, 53]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site3-FW1.cfg:[42, 43, 44, 45, 46]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site3-FW1.cfg:[34, 35, 36, 37, 38, 39, 40]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site3-FW2.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site3-FW2.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	UNUSED_ACL_2309	configs/Site3-FW2.cfg:[49, 50]	Yes
extended ipv4 access-list	UNUSED_ACL_7010	configs/Site4-AR1.cfg:[24, 25, 26]	Yes
extended ipv4 access-list	UNUSED_ACL_5765	configs/Site4-AR3.cfg:[24, 25, 26, 27]	No
extended ipv4 access-list	UNUSED_ACL_6157	configs/Site4-AR4.cfg:[24, 25]	Yes
extended ipv4 access-list	UNUSED_ACL_3841	configs/Site4-DR2.cfg:[62, 63, 64]	No
extended ipv4 access-list	UNUSED_ACL_4313	configs/Site4-DR3.cfg:[56, 57, 58]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site4-FW1.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site4-FW1.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No
extended ipv4 access-list	UNUSED_ACL_6435	configs/Site4-FW1.cfg:[49, 50, 51]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site4-FW2.cfg:[42, 43, 44, 45, 46]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site4-FW2.cfg:[34, 35, 36, 37, 38, 39, 40]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site4-FW3.cfg:[45, 46, 47, 48, 49]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site4-FW3.cfg:[34, 35, 36, 37, 38, 39, 40, 41, 42, 43]	No
extended ipv4 access-list	ACL_DMZ_OUTSIDE	configs/Site4-FW4.cfg:[43, 44, 45, 46, 47]	No
extended ipv4 access-list	ACL_INSIDE_DMZ	configs/Site4-FW4.cfg:[34, 35, 36, 37, 38, 39, 40, 41]	No

ACL Trace / Flow Analysis (0) (Klicken zum Ein-/Ausklappen)

Node	Filter_Name	Flow	Action	Line_Content	Trace

4. Compliance-Mapping (TISAX / NIS2)

NTP-Synchronisation (TISAX-Anforderung z. B. AL2.5 „Zeitstempel“, NIS2 Art. 20/21): Eine präzise und zuverlässige Zeitsynchronisation ist für die korrekte Ereignisprotokollierung und die Integrität von Systemen unerlässlich. Nur so lassen sich Security-Events forensisch exakt zuordnen und Korrelationen zwischen verschiedenen Logquellen herstellen.

Syslog-Konfiguration (TISAX u. a. AL2.5 „Logging & Monitoring“, NIS2 Art. 20/21): Das zentrale Sammeln und Analysieren von Logdaten trägt sowohl bei TISAX/ISMS als auch bei NIS2 (Erkennung und Meldung von Sicherheitsvorfällen) zu einer robusten Überwachungs- und Auditstruktur bei. Auch für die revisionssichere Langzeitarchivierung von Logdaten ist eine zentrale Syslog-Sammlung essenziell, um bei Vorfällen gezielt nachverfolgen zu können, wann und wo etwas passiert ist.

Passwortrichtlinien (TISAX AL2.1.x „Password Policies“, NIS2 Art. 21 „Access Control“): Komplexe und gut durchgesetzte Passwortrichtlinien gehören zu den wesentlichen Anforderungen im Rahmen von TISAX und NIS2 in Bezug auf Benutzer- und Identitätsverwaltung. Dazu zählen Mindestlängen, Sonderzeichen, regelmäßiges Ändern, aber auch Lockout-Mechanismen und Multi-Faktor-Authentifizierung (MFA) – je nach Risikobewertung.

Access-Listen (ACLs) (TISAX AL3 „Network Security Requirements“, NIS2 Art. 21 „Segmentierung“): ACLs dienen der Segmentierung und Kontrolle von Datenflüssen innerhalb des Netzwerks. Ein unzureichender oder fehlerhafter Einsatz von ACLs kann zu erheblichen Sicherheitslücken führen. Von TISAX-Seite wird eine klare Segmentierung und Zugriffsregelung gefordert, die NIS2-Richtlinie sieht ebenfalls die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Netzinfrastrukturen vor.

Telnet vs. SSH (TISAX AL2.5 „Encryption in Transit“, NIS2 Art. 20 „Cyberhygiene“): Ältere, unverschlüsselte Protokolle wie Telnet stellen ein beträchtliches Sicherheitsrisiko dar. TISAX-Anforderungen und NIS2 betonen beide den Einsatz sicherer Management-Zugänge – sprich SSH anstelle von Telnet. So wird ein grundlegendes Niveau an Verschlüsselung und Schutz vor Man-in-the-Middle-Angriffen gewährleistet.

IPSec / VPN (TISAX AL2.5 bzw. AL3.3 „Kryptografie“, NIS2 Art. 20/21): Sichere VPN-Verbindungen mittels IPSec (beispielsweise IKEv2 mit starken Algorithmen wie AES-256 und DH-Group14+) sind essenziell, um Kommunikation zwischen Standorten oder bei Remote-Zugriffen zu schützen. Die TISAX-Vorgaben fordern eine angemessene Verschlüsselung für Daten in Transit, und die NIS2-Richtlinie verlangt wirksame Maßnahmen zur Minimierung des Abhör- und Manipulationsrisikos.

Unused Services (TISAX AL2.x „Hardening“, NIS2 Art. 20 „Cyberhygiene“): Nicht benötigte Dienste oder Ports sollten konsequent deaktiviert werden. Dies minimiert die Angriffsfläche und erschwert es Angreifern, unentdeckte Schwachstellen auszunutzen. Sowohl TISAX als auch NIS2 verlangen eine regelmäßige Überprüfung und Aktualisierung von Systemkonfigurationen, um Sicherheitslücken zu vermeiden.

VRF Usage (TISAX AL3 „Network Separation“, NIS2 Art. 21): Virtual Routing & Forwarding (VRF) ermöglicht eine logische Trennung von Netzwerkrouten und -instanzen. Dies dient einer klaren Segmentierung – insbesondere dann wichtig, wenn Systeme mit unterschiedlichen Schutzbedarfen betrieben werden. Eine fehlerhafte Konfiguration kann jedoch Lücken reißen, daher sollte VRF konsequent nach den TISAX-Anforderungen (z. B. AL3) und der Segmentierungs-Pflicht aus NIS2 umgesetzt werden.

SNMP Security (TISAX AL2.5 „Secure Management“, NIS2 Art. 20): Bei der Verwaltung von Netzwerkgeräten sind ältere SNMP-Versionen (v1, v2c) potenziell unsicher und leicht angreifbar (z. B. Klartext-Community-Strings). TISAX und NIS2 fordern hier zeitgemäße und sichere Protokolle wie SNMPv3 (Encryption, Authentifizierung), um unberechtigte Zugriffe oder Manipulationen zu verhindern.

Single Point of Failure (SPOF) & Redundanz (TISAX AL2.10 oder AL3.2 „Notfallmanagement“, NIS2 Art. 21): In einer hochverfügbaren IT-Umgebung müssen potenzielle SPOFs identifiziert und soweit möglich eliminiert werden. TISAX verlangt einen Notfallplan und Redundanz-Konzepte, damit kritische Systeme auch bei Ausfällen weiterlaufen. Die NIS2 legt ebenfalls Wert auf geeignete Vorkehrungen für Business Continuity und Resilienz gegenüber Störungen.

6. Extended Compliance Mapping (aktuelle ISO/IEC 27001:2022) (Klicken zum Ein-/Ausklappen)

Die folgende Tabelle zeigt, wie bestimmte Netzwerk- und Security-Kategorien den Anforderungen aus den wichtigsten Standards und Richtlinien zuzuordnen sind. Dabei wurden für ISO/IEC 27001 und ISO/IEC 27002 bereits die Nummern aus der neuen (2022) Version berücksichtigt.

Kategorie	ISO 27001:2022 (Annex A)	ISO 27002:2022	NIS2 (*1)	KRITIS (DE)	TISAX (VDA-ISA)	NIST (SP 800-53 / CSF)	CIS Controls (v8)	BSI IT-Grundschutz	Anmerkung
NTP Timeserver	8.17 (Clock Synchronization)	8.17 (Clock Synchronization)	Art. 20, 21 (Erkennung, Logging)	§8a (IT-SiG) / KritisV	ISMS-Prozess (AL2?), z. B. „Zeitstempel“	AU-8 (Time Stamps), CSF: DE.CM-7 (Monitoring)	Control 8 (Audit Log Management)	ORP.4 (Protokollierung), SYS.1.1	Korrekte Zeitstempel sind für Log-Korrelation, Forensik und Events essenziell.
Passwortrichtlinien	5.7 (Identification & Authentication), ggf. 5.9 (Use of Privileged Access)	5.7 (Identification & Authentication), 5.9 (Use of Privileged Access)	Art. 21 (Access Control)	§8a (Access, Authent.)	AL2.1.3 oder AL2.2.2 (Password Policies)	AC-2 (Account Mgmt), IA-5 (Auth), CSF: PR.AC	Control 5 (Account Management)	ORP.1 (Richtlinien), SYS.1.1 (Server)	Komplexität, Länge, Lockout etc. minimieren Brute Force und unzulässige Weitergabe von Zugängen.
Syslog-Konfiguration	8.15 (Logging), 8.16 (Monitoring activities)	8.15 (Logging), 8.16 (Monitoring)	Art. 20 (Protokollierung), 21	§8a BSI-G (Log-Vorgaben)	AL2.5 (Monitoring / Logging)	AU-2, AU-3 (Logging), CSF: DE.AE	Control 8 (Audit Log Management)	ORP.4 (Protokollierung)	Zentrales Logging (z.B. Syslog) sichert Integrität und erleichtert Auswertung.
Telnet / SSH	5.35 (Use of Secure Communication Protocols)	5.35 (Use of Secure Comm. Prot.)	Art. 20 (Grundleg. Sicherheitsmaßnahmen)	§8a / KritisV	AL2.5 (Encryption in transit)	AC-17 (Remote Access), CSF: PR.AC	Control 11 (Secure Config)	NET.1.1 (Sichere Verwaltung)	SSH statt Telnet (unverschlüsselt) → Sicherer Remote-Zugriff.
Access-Listen (ACLs)	8.23 (Network Security)	8.23 (Network Security)	Art. 21 (Segmentierung, Schutz)	§8a / KritisV	AL3: „Network Security Requirements“	SC-7 (Boundary Protection), CSF: PR.PT	Control 9 (Network Ports, Protokolle)	NET.1.1 (Router/Switches)	Beschränkung von Ports/Protokollen, Segmentierung, minimale Zugriffsrechte.
IPSec / VPN	5.31 (Use of Cryptography), 5.35 (Secure Comm)	5.31 (Use of Cryptography), 5.35	Art. 20 (Kryptografie), 21	§8a / KritisV	AL2.5, AL3.3 (Kryptografie-Vorgaben)	SC-13 (Cryptographic Prot.), CSF: PR.DS-2	Control 14 (Encryption)	CON.2 (Kryptokonzept), NET.1.1	Sichere VPN-Verbindungen, starker Algorithmus (AES256, SHA-2, DH Group14+).
ASA Failover	5.29 (Redundancy of Information Processing)	5.29 (Redundancy of Information Processing)	Art. 21 (Risiko-Management, Resilience)	§8a BSI-G (Verfügbarkeit)	AL3.2 (Notfallkonzept?), AL2.10 (Redundanz)	CP-2, CP-10 (Contingency, Redundancy), CSF: PR.IP-4	Control 12 / 13 (Service Continuity)	SYS.4.1 (Hochverfügbarkeitskonzepte)	Failover & Redundanz sind wichtig für Verfügbarkeit und KRITIS-Anforderungen.
Unused Services	8.9 (Configuration Management)	8.9 (Configuration Management)	Art. 20 (Cyberhygiene)	§8a / KritisV	AL2.x (Hardening?), Software Security	CM-7 (Least Functionality), CSF: PR.IP-1	Control 2 (Inventory/Control SW) o. 11 (secure config)	SYS.1.1 (Server), NET.1.1	Deaktivieren nicht benötigter Dienste, Minimierung der Angriffsfläche.
Unused ACLs	8.23 (Network Security)	8.23 (Network Security)	Art. 21 (Netzwerksicherheit)	§8a / KritisV	AL3 (Network Security)	SC-7 (Boundary Prot.), CSF: PR.PT-3	Control 9 (Network Ports, ACL)	NET.1.1, OPS.1.2 (Ordnungsmäßiger Betrieb)	Unnötige ACL-Regeln entfernen, Komplexitätsreduktion, klare Dokumentation.
VRF Usage	8.23 (Network Security)	8.23 (Network Security)	Art. 21 (Segmentierung)	§8a / KritisV	AL3 (Network Security, Separation)	SC-7 (Boundary Prot.), CSF: PR.AC / PR.PT	Control 9 (Limitation & Control)	NET.1.1 (Netzkomponenten)	Virtual Routing & Forwarding zur logischen Trennung (Mandanten, Sicherheitszonen etc.).
SNMP Security	5.35 (Use of Secure Comm Protocols)	5.35 (Use of Secure Comm Prot.)	Art. 20 (Sichere Netzwerkprotokolle)	§8a / KritisV	AL2.5 (Encryption in transit)	AC-17 (Remote Mgmt), CSF: PR.PT-3	Control 9.4 (Limit Network Prot.)	NET.1.1 (Netzkomponenten)	SNMPv3 mit Auth und Encryption, kein SNMPv1/v2c – Minimierung von MitM- oder Sniffing-Risiken.
SPOF Analysis	5.29 (Redundancy) / ggf. 5.30 (Resilience)	5.29 / 5.30 (Resilience)	Art. 21 (Business Continuity)	§8a / KritisV	AL2.10 oder AL3.2 (Notfallmanagement)	CP-2, CP-10 (Contingency), CSF: ID.RA / PR.IP-9	Control 12 / 13 (Resilience, je nach Version)	SYS.4.1 (Hochverfügbarkeit), DER.3 (Störungsmanagement)	Single Points of Failure identifizieren, Minimierung Ausfallrisiko, Redundanz-Strategie.

(*1) Die Artikelangaben (Art. 20, Art. 21) beziehen sich auf die NIS2-Richtlinie (EU) 2022/2555.

Hinweis: Diese Tabelle nutzt die Control-Nummern aus der ISO/IEC 27001:2022 und ISO/IEC 27002:2022. Wer noch mit der 2013er-Version arbeitet, findet dort andere (A.x.x)-Nummern.

ISO 27001 / ISO 27002

ISO 27001 hat sich als „De-facto-Standard“ für Informationssicherheit etabliert. Anhand der Controls von ISO 27002 lassen sich technische Maßnahmen wie Protokollierung, Kryptografie oder Netzwerksegmentierung bewerten. Die in diesem Report aufgeführten Konfigurationsempfehlungen (z. B. Passwortsicherheit, Einsatz von ACLs) sind essenziell, um die entsprechenden Controls erfolgreich umzusetzen.

CIS Controls / CIS Benchmarks

Die CIS Controls stellen eine priorisierte Liste wichtiger Cybersecurity-Maßnahmen dar (u. a. Inventarisierung, Zugriffssteuerung, Monitoring). Die CIS Benchmarks enthalten zudem sehr detaillierte Hardening-Empfehlungen für beispielsweise Cisco IOS, ASA, Linux oder Windows. Die Ergebnisse und Empfehlungen aus diesem Report (z. B. für NTP, Syslog oder Passwortrichtlinien) sind direkt auf die CIS-Guidelines übertragbar und fördern eine konsequente Umsetzung von Best Practices.

NIST SP 800-53 / NIST CSF

Die Vorgaben des National Institute of Standards and Technology (NIST) sind besonders in den USA etabliert, finden aber auch international Anwendung. Das NIST Cybersecurity Framework (CSF) (mit seinen fünf Funktionen „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“) deckt sowohl technische als auch organisatorische Sicherheitsanforderungen ab. Die im Report aufgeführten Schwachstellen (z. B. unsichere Remote-Zugänge oder fehlende Log-Überwachung) lassen sich klar in den Bereichen „Protect“ und „Detect“ verorten und verdeutlichen den Handlungsbedarf.

BSI IT-Grundschutz (speziell für Deutschland)

Für Organisationen in Deutschland kann der BSI IT-Grundschutz einen verbindlichen Rahmen für Sicherheitsmaßnahmen darstellen. Netzwerkkomponenten finden sich zum Beispiel in den Bausteinen NET.1.1 (Router & Switches) und SYS.1.1 (Allgemeine Server) wieder. Sichere Konfigurationen (u. a. verschlüsselte Management-Zugriffe, service password-encryption) tragen wesentlich zum Erreichen der IT-Grundschutz-Ziele bei.

PCI DSS (wenn Kreditkartendaten verarbeitet werden)

Im E-Commerce-Umfeld ist der Payment Card Industry Data Security Standard (PCI DSS) von zentraler Bedeutung. Er schreibt strikte Regeln für Logging, Netzwerksegmentierung, Patch-Management und Verschlüsselung vor, um den Schutz von Kreditkartendaten zu gewährleisten. Die in diesem Report identifizierten Mängel (z. B. offene Telnet-Ports oder unverschlüsselte Passwörter) sollten insbesondere im Hinblick auf PCI DSS so schnell wie möglich behoben werden.

HIPAA (Gesundheitswesen, Datenschutz in den USA)

Für Unternehmen im Gesundheitssektor (z. B. Kliniken oder Healthcare-IT) ist HIPAA (Health Insurance Portability and Accountability Act) besonders relevant. Hier spielen Audit Trails, Zugangsschutz und sichere Verschlüsselungsstandards eine entscheidende Rolle. Unsichere Remote-Verbindungen oder fehlende Syslog-Konfigurationen können im Rahmen einer HIPAA-Prüfung schnell zu Verstößen führen.

Weitere branchenspezifische Standards & KRITIS

Darüber hinaus existieren zahlreiche weitere Vorgaben, darunter:

Banken- und Finanzwesen: BaFin (Deutschland), EBA Guidelines, BCBS 239.
Automobilindustrie: TISAX und VDA-ISA (bereits erwähnt).
Kritische Infrastrukturen (KRITIS) in DE/EU: NIS2, Kritis-Verordnung und nationale Umsetzungen.

Unter KRITIS versteht man Infrastrukturen, die bei Ausfall oder Beeinträchtigung zu nachhaltig wirkenden Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit führen können. Hier gelten besonders hohe Anforderungen an Verfügbarkeit und Stabilität von IT-Systemen, zu denen eine sichere Netzwerkarchitektur und ein funktionierendes ISMS gehören.

5. Empfehlungen & Fazit

Um die identifizierten Schwachstellen zu beheben und die IT-Sicherheit zu erhöhen, sollten Sie unter anderem:

Korrekte NTP-Server konfigurieren und deren Verfügbarkeit sowie Genauigkeit regelmäßig überprüfen.
Strenge Passwortrichtlinien mit klaren Vorgaben zu Komplexität und Länge durchsetzen.
Ein umfassendes Syslog-Monitoring etablieren, um sicherheitsrelevante Ereignisse frühzeitig zu erkennen.
Nicht mehr benötigte ACLs (Access-Listen) entfernen oder aktualisieren, um das Regelwerk schlank und sicher zu halten.
IPSec-Einstellungen auf SHA-256 (oder höher) und DH Group14 (oder höher) aktualisieren.
Telnet-Zugriffe konsequent durch SSH ersetzen.
ASA-Failover-Konfigurationen vollständig abschließen (inkl. failover lan unit und failover interface).
Wo sinnvoll, VRFs zur Netzwerksegmentierung implementieren, statt „default VRF“.

Mit diesen Maßnahmen können Sie die Anforderungen aus TISAX und NIS2 besser erfüllen und gleichzeitig die Vorgaben anderer Rahmenwerke wie ISO 27001/27002, CIS-Benchmarks, NIST CSF, BSI IT-Grundschutz oder KRITIS berücksichtigen. Ein sicheres und optimal konfiguriertes Netzwerk reduziert die Angriffsfläche deutlich und stellt einen wesentlichen Bestandteil jeder effektiven IT-Sicherheitsstrategie dar.