Netzwerkdoku für ISO 27001 & Grundschutz | nsconverge
Compliance-Leitfaden · ISO 27001 · IT-Grundschutz

Netzwerkdokumentation für ISO 27001 und IT-Grundschutz

ISO 27001:2022 und der BSI IT-Grundschutz stellen konkrete Anforderungen an deine Netzwerkdokumentation. Diese Seite zeigt dir, welche Controls und Bausteine relevant sind, was Auditoren als Nachweis akzeptieren und wie du das mit NetBox als auditfähigem Inventar umsetzt.

  • ISO 27001:2022 Annex A
  • BSI NET.1.1 · NET.1.2
  • 10-Punkte-Nachweis-Checkliste
  • NetBox Labs DACH-Partner
28-Punkte-Checkliste laden
Leitfaden · Audit-Nachweise Checklisten-Mockup: Nachweise für die Netzwerkdokumentation im Audit
40+Erfolgreiche Migrationen
51+Expert Zertifizierungen
NetBox Labs DACH-Partner
Warum das Thema über dein Zertifikat mitentscheidet

Netzplan veraltet, Auditor wartet: deine Doku entscheidet mit.

Veraltete Netzpläne und widersprüchliche Excel-Stände gehören zu den Klassikern unter den Audit-Feststellungen, oft schon in Stage 1. Der Grund: Die Doku wurde einmal fürs Audit gemalt, aber nie als Prozess gelebt.

Auditfähig ist eine Netzwerkdokumentation dann, wenn sie aktuell gehalten wird, Verantwortliche benennt und Änderungen nachvollziehbar macht. Wie du eine Netzwerkdoku grundsätzlich aufbaust, zeigt unser Praxis-Leitfaden zur Netzwerkdokumentation. Hier geht es um die Compliance-Sicht: Was verlangt die Norm, und wie setzt du es um?

ISO 27001:2022 · Annex A

Diese Annex-A-Controls verlangen Netzwerkdokumentation.

Drei Controls betreffen dein Netz direkt. Für jedes gilt: Der Auditor will nicht nur ein Dokument sehen, sondern den Prozess dahinter.

A.5.9

Inventar der Informationswerte

Was die Norm verlangt: ein Inventar der Informationen und zugehörigen Werte, mit benannten Ownern, aktuell und konsistent zu anderen Verzeichnissen gepflegt.

Fürs Netz heißt das: Switches, Router, Firewalls, virtuelle Instanzen und IP-Bestände gehören mit Verantwortlichen ins Inventar.

Nachweis: exportierbares Asset-Verzeichnis mit Owner und Pflegestand.

A.8.9

Configuration Management

Was die Norm verlangt: Konfigurationen dokumentieren, überwachen und regelmäßig reviewen, inklusive Historie der Änderungen. Das Control kam mit der Revision 2022 neu hinzu.

Fürs Netz heißt das: Soll-Konfigurationen und Standard-Templates für Netzkomponenten, Änderungen werden protokolliert.

Nachweis: versionierte Konfigurationsstände plus Änderungsprotokoll.

A.8.20

Netzwerksicherheit

Was die Norm verlangt: Netzwerke sind abzusichern und zu verwalten. Zur gängigen Umsetzung gehören aktuelle, versionsverwaltete Unterlagen wie Netzdiagramme und Konfigurationsdateien kritischer Komponenten.

Fürs Netz heißt das: LAN- und WAN-Diagramme sowie Router, Firewalls, Access Points und Switches sind dokumentiert.

Nachweis: aktueller Netzplan plus dokumentierte Netzkomponenten.

Dazu kommt Klausel 7.5 (dokumentierte Information): Sie regelt, wie Dokumente im ISMS erstellt, aktualisiert und gelenkt werden. Deine Netzdoku fällt darunter, inklusive Versionierung und Zugriffsschutz.

BSI IT-Grundschutz · Edition 2023

NET.1.1 und NET.1.2: was der IT-Grundschutz verlangt.

Der IT-Grundschutz wird deutlich konkreter als die ISO-Norm. Diese sechs Anforderungen aus den Bausteinen NET.1.1 Netzarchitektur und -design sowie NET.1.2 Netzmanagement betreffen deine Doku direkt.

NET.1.1.A2

Dokumentation des Netzes

Basis-Anforderung, wörtlich: „Es MUSS eine vollständige Dokumentation des Netzes erstellt werden. Sie MUSS einen Netzplan beinhalten. Die Dokumentation MUSS nachhaltig gepflegt werden." Dazu gehören die initiale Ist-Aufnahme, alle Änderungen und die logische Struktur: Subnetz-Zuordnung, Zonierung, Segmentierung.

NET.1.1.A1

Sicherheitsrichtlinie für das Netz

Basis-Anforderung. Änderungen an der Richtlinie und Abweichungen davon müssen dokumentiert und mit dem oder der ISB abgestimmt werden. Die korrekte Umsetzung muss regelmäßig überprüft und die Ergebnisse müssen dokumentiert werden.

NET.1.1.A13

Netzplanung

Basis-Anforderung. Verlangt eine vollständige und nachvollziehbare Planung: Topologie mit Zonen und Netzsegmenten, Dimensionierung und Redundanz sowie IPv4/IPv6-Subnetze von Endgerätegruppen. Die Netzplanung muss regelmäßig überprüft werden.

NET.1.1.A15

Regelmäßiger Soll-Ist-Vergleich

Basis-Anforderung. Das bestehende Netz muss regelmäßig daraufhin geprüft werden, ob es dem Soll-Zustand aus Sicherheitsrichtlinie und aktueller Netzplanung entspricht. Dafür müssen zuständige Personen sowie Prüfkriterien festgelegt werden.

NET.1.2.A12

Doku des Netzmanagements

Standard-Anforderung aus NET.1.2. Die Management-Infrastruktur wird inklusive initialer Ist-Aufnahme und aller Änderungen dokumentiert und mit der Netzdoku aus NET.1.1 abgeglichen. Wörtlich: „Die Dokumentation SOLLTE vollständig und immer aktuell sein."

NET.1.2.A24

Zentrale Konfigurationsverwaltung

Standard-Anforderung. Konfigurationsdaten von Netzkomponenten sollten an zentraler Stelle sicher verfügbar sein, in Versionsverwaltung und Datensicherung eingebunden sowie nachhaltig gepflegt und regelmäßig auditiert werden.

Die zitierten Formulierungen stammen aus den BSI-Bausteinen NET.1.1 und NET.1.2, Edition 2023. NIS2 kommt für viele Betreiber als weitere Nachweis-Ebene obendrauf, die Stoßrichtung bleibt dieselbe: Ohne gelebte Netzdoku kein belastbarer Nachweis.

Die 4 Kriterien

Was Auditoren als Nachweis akzeptieren.

Beratungsszene: Audit-Vorbereitung der Netzwerkdokumentation
  • Aktualität mit erkennbarem Pflegeprozess Nicht das Datum auf dem Deckblatt zählt, sondern der belegbare Prozess, der die Doku aktuell hält.
  • Benannte Verantwortliche je Asset Zu jedem Gerät, Subnetz und Segment gibt es eine Person, die antworten kann, wenn der Auditor fragt.
  • Nachvollziehbare Historie Wer hat wann was geändert, und wie sah der Stand davor aus?
  • Abrufbarkeit auf Knopfdruck Nachweise in Minuten statt Doku-Archäologie: Export, Report oder API-Abfrage direkt im Termin.
Nachweis-Checkliste

10 Punkte, die deine Netzwerkdoku audit-ready machen.

Wenn du alle zehn Punkte abhaken kannst, bist du für die Dokumentenprüfung sauber aufgestellt.

  • Punkt 1

    Netzplan mit Zonen und Segmenten

    Aktueller Plan der logischen Struktur: Zonen, Netzsegmente, Übergänge und Sicherheitskomponenten. (NET.1.1.A2, A.8.20)

  • Punkt 2

    Vollständiges Asset-Inventar mit Ownern

    Jedes Gerät und jede virtuelle Instanz mit benannter verantwortlicher Person. (A.5.9)

  • Punkt 3

    IP-Adressplan IPv4/IPv6

    Subnetze, Präfixe und VLANs je Endgerätegruppe, zentral gepflegt statt in drei Excels. (NET.1.1.A13)

  • Punkt 4

    Dokumentierte Änderungshistorie

    Wer hat wann was geändert, inklusive Vorher/Nachher-Stand. (A.8.9)

  • Punkt 5

    Soll-Ist-Vergleichsprozess

    Regelmäßiger Abgleich zwischen Doku und Realität, mit festgelegten Zuständigen und Prüfkriterien. (NET.1.1.A15)

  • Punkt 6

    Versionierte Konfigurationsstände

    Konfigurationen zentral abgelegt, versioniert und in die Datensicherung eingebunden. (NET.1.2.A24)

  • Punkt 7

    Rollen- und Berechtigungskonzept für die Doku selbst

    Wer darf die Dokumentation lesen, ändern, löschen? Auch die Doku braucht Zugriffsschutz. (Klausel 7.5)

  • Punkt 8

    Dokumentierte Abweichungen von der Sicherheitsrichtlinie

    Abweichungen sind festgehalten und mit dem oder der ISB abgestimmt. (NET.1.1.A1)

  • Punkt 9

    Export und Report für den Auditor

    Nachweise auf Knopfdruck als CSV, Report oder API-Abfrage, ohne Sonderaktion vor dem Termin.

  • Punkt 10

    Verzahnung mit der Netzmanagement-Doku

    Netzdoku und Doku des Netzmanagements sind widerspruchsfrei abgeglichen. (NET.1.2.A12)

Umsetzung

In 6 Schritten zur auditfähigen Netzwerkdokumentation.

Die Reihenfolge ist bewusst gewählt: erst Struktur und Daten, dann Verantwortung, dann Prozess.

1

Scope abgrenzen

Definiere den Informationsverbund: Welche Standorte, Netze und Systeme gehören zum Geltungsbereich von ISMS oder IT-Grundschutz-Prüfung?

2

Ist-Aufnahme

Erfasse Standorte, Racks, Geräte und Verbindungen. Lieber vollständig und schlicht als detailverliebt und lückenhaft.

3

IPAM aufbauen

Ordne Subnetze, VLANs und Präfixe zu, IPv4 wie IPv6. Damit erfüllst du den Kern von NET.1.1.A13.

4

Zonen und Segmente abbilden

Bilde die logische Struktur ab: Sicherheitszonen, Segmente, Übergänge. Daraus entsteht der Netzplan, den NET.1.1.A2 verlangt.

5

Verantwortliche hinterlegen

Hinterlege Owner und Rollen je Asset und regle, wer die Doku ändern darf. Das deckt A.5.9 und Klausel 7.5 ab.

6

Pflege- und Reviewprozess etablieren

Verankere den Soll-Ist-Vergleich als Routine mit Zuständigen und Prüfkriterien. Erst dieser Schritt macht die Doku auditfähig.

Werkzeug-Frage

NetBox als auditfähiges Inventar.

NetBox bringt genau die Eigenschaften mit, die Auditoren sehen wollen: Historie, Verantwortlichkeit, Berechtigungen und Reports. Zwei Beispiele aus der Praxis.

Nachweis 01

Änderungshistorie, die Auditoren überzeugt

NetBox schreibt für jede Änderung einen Changelog-Eintrag mit Benutzer, Zeitstempel und Vorher/Nachher-Snapshot. Die Aufbewahrung steuerst du über CHANGELOG_RETENTION, für Audit-Zwecke auch unbegrenzt. Journal-Einträge bleiben zusätzlich für die gesamte Lebensdauer eines Objekts erhalten.

# configuration.py: Änderungshistorie unbegrenzt aufbewahren CHANGELOG_RETENTION = 0 # Wer hat wann was geändert? Ein API-Call genügt. $ curl -s https://netbox/api/extras/object-changes/?q=sw-core-01 \ -H "Authorization: Token …" "user": "m.fischer" · "action": "update" · "prechange_data": {…}
Nachweis 02

Berechtigungen und Reports auf Knopfdruck

Objektbasierte Berechtigungen regeln je Objekttyp, wer view, add, change oder delete darf. So bekommt das Audit-Team Lesezugriff, ohne dass jemand versehentlich Daten ändert. Nachweise ziehst du per REST-API oder CSV-Export direkt im Termin.

# Auditor-Report: alle Geräte eines Standorts als CSV $ curl -s "https://netbox/api/dcim/devices/?site=rz-1&format=csv" \ -H "Authorization: Token …" -o audit-inventar.csv ok: 214 Geräte · Owner, Rack, Rolle, Status je Zeile
Vorher

Doku-Archäologie: Excel-Stände, Screenshots, Mail-Archiv

Nachher

Export auf Knopfdruck: CSV, Report, API-Abfrage

Den Soll-Ist-Vergleich aus NET.1.1.A15 automatisierst du über die Kopplung mit Monitoring, etwa mit NetBox + Checkmk, oder per Abgleich gegen die laufende Konfiguration via NetBox-Automatisierung mit Ansible.

Gegenprobe

Warum Excel, Visio und Wiki im Audit durchfallen.

Eine statische Tabelle beschreibt den Zustand von gestern, eine Datenbank als Source of Truth den Zustand von heute, mit Historie. Vier strukturelle Gründe:

01

Kein Änderungsnachweis

Excel und Wiki kennen kein belastbares „wer hat wann was geändert". Der Nachweis für A.8.9 fehlt strukturell.

02

Keine Ownership

Eine Spalte „Verantwortlich" ist kein gelebtes Ownership. A.5.9 verlangt gepflegte, aktuelle Zuordnungen.

03

Keine Konsistenzprüfung

Doppelte IPs, verwaiste VLANs, kollidierende Stände: Statische Dateien validieren nichts.

04

Aktualität nicht belegbar

Ein Visio ohne Pflegeprozess ist im Zweifel genau das, was der Auditor vermutet: veraltet.

Aus der Praxis

NIS2 kommt obendrauf. Hör rein.

Neben ISO 27001 und IT-Grundschutz erhöht auch NIS2 den Druck auf belastbare Nachweise. In Folge #45 sprechen Sven und Dennis darüber, was Auditoren sehen wollen.

n-talk · #45

NIS2 2026 - „Langsam wird es ernst"

Was andere zum Thema Netzwerkdokumentation und ISO 27001 wissen wollen.

Häufige Fragen zu Netzwerkdoku und ISO 27001.

Ein gezeichneter Netzplan ist ein Baustein, als alleiniger Nachweis aber meist zu wenig. Auditoren wollen sehen, dass die Dokumentation aktuell gehalten wird, Verantwortliche benannt sind und Änderungen nachvollziehbar sind. Das kann ein statisches Visio-Diagramm nicht leisten. In der Praxis kombinierst du ein gepflegtes Inventar wie NetBox mit daraus abgeleiteten Netzplänen.
Vor allem drei Annex-A-Controls: A.5.9 verlangt ein Inventar der Informationswerte mit benannten Ownern, A.8.9 verlangt Konfigurationsmanagement inklusive dokumentierter und überwachter Konfigurationen, und A.8.20 adressiert die Absicherung und Verwaltung von Netzwerken. Dazu kommt Klausel 7.5 mit den Anforderungen an dokumentierte Information insgesamt.
NET.1.1.A2 ist eine Basis-Anforderung und fordert wörtlich eine vollständige Dokumentation des Netzes inklusive Netzplan, die nachhaltig gepflegt werden muss. Dazu kommen unter anderem NET.1.1.A13 mit Anforderungen an die Netzplanung inklusive IPv4/IPv6-Subnetzen und NET.1.1.A15 mit einem regelmäßigen Soll-Ist-Vergleich.
Eine feste Frist nennt weder ISO 27001 noch der IT-Grundschutz. Erwartet wird ein erkennbarer Pflegeprozess: Änderungen fließen zeitnah in die Doku ein, und du kannst belegen, wann zuletzt aktualisiert wurde. Der IT-Grundschutz formuliert es beim Netzmanagement so: Die Dokumentation SOLLTE vollständig und immer aktuell sein.
Mit einem Werkzeug, das Änderungen automatisch protokolliert. NetBox schreibt für jede Änderung einen Changelog-Eintrag mit Benutzer, Zeitstempel und Vorher/Nachher-Stand. Die Aufbewahrungsdauer steuerst du über die Einstellung CHANGELOG_RETENTION, für Audit-Zwecke auch unbegrenzt.
NetBox deckt die dokumentationsbezogenen Anforderungen gut ab: Inventar mit Verantwortlichen, IPAM, Änderungshistorie, Berechtigungen und Exporte für Auditoren. Ein ISMS ersetzt es nicht, denn Risikoanalyse, Richtlinien und Prozesse kommen weiterhin aus deinem Managementsystem. Als technische Quelle für Netz-Nachweise ist es aber ein solides Fundament.
Meist ja, zumindest als abgeleitete Sicht. Der IT-Grundschutz verlangt in NET.1.1.A2 explizit einen Netzplan. Der Unterschied: Mit NetBox als Datenbasis wird der Plan aus gepflegten Daten erzeugt und regelmäßig abgeglichen, statt als loses Visio nebenherzulaufen.
Nächster Schritt

Netz auditfähig dokumentieren. Fang heute an.

Sprich mit uns über dein Audit-Zielbild, sieh dir NetBox in der Produktdemo live an oder starte strukturiert mit unserer Migrationsberatung.

28-Punkte-Checkliste laden

Diese Seite ordnet normative Anforderungen fachlich ein und ersetzt keine ISMS- oder Zertifizierungsberatung.