ISO 27001:2022 und der BSI IT-Grundschutz stellen konkrete Anforderungen an deine Netzwerkdokumentation. Diese Seite zeigt dir, welche Controls und Bausteine relevant sind, was Auditoren als Nachweis akzeptieren und wie du das mit NetBox als auditfähigem Inventar umsetzt.
Veraltete Netzpläne und widersprüchliche Excel-Stände gehören zu den Klassikern unter den Audit-Feststellungen, oft schon in Stage 1. Der Grund: Die Doku wurde einmal fürs Audit gemalt, aber nie als Prozess gelebt.
Auditfähig ist eine Netzwerkdokumentation dann, wenn sie aktuell gehalten wird, Verantwortliche benennt und Änderungen nachvollziehbar macht. Wie du eine Netzwerkdoku grundsätzlich aufbaust, zeigt unser Praxis-Leitfaden zur Netzwerkdokumentation. Hier geht es um die Compliance-Sicht: Was verlangt die Norm, und wie setzt du es um?
Drei Controls betreffen dein Netz direkt. Für jedes gilt: Der Auditor will nicht nur ein Dokument sehen, sondern den Prozess dahinter.
Was die Norm verlangt: ein Inventar der Informationen und zugehörigen Werte, mit benannten Ownern, aktuell und konsistent zu anderen Verzeichnissen gepflegt.
Fürs Netz heißt das: Switches, Router, Firewalls, virtuelle Instanzen und IP-Bestände gehören mit Verantwortlichen ins Inventar.
Nachweis: exportierbares Asset-Verzeichnis mit Owner und Pflegestand.
Was die Norm verlangt: Konfigurationen dokumentieren, überwachen und regelmäßig reviewen, inklusive Historie der Änderungen. Das Control kam mit der Revision 2022 neu hinzu.
Fürs Netz heißt das: Soll-Konfigurationen und Standard-Templates für Netzkomponenten, Änderungen werden protokolliert.
Nachweis: versionierte Konfigurationsstände plus Änderungsprotokoll.
Was die Norm verlangt: Netzwerke sind abzusichern und zu verwalten. Zur gängigen Umsetzung gehören aktuelle, versionsverwaltete Unterlagen wie Netzdiagramme und Konfigurationsdateien kritischer Komponenten.
Fürs Netz heißt das: LAN- und WAN-Diagramme sowie Router, Firewalls, Access Points und Switches sind dokumentiert.
Nachweis: aktueller Netzplan plus dokumentierte Netzkomponenten.
Dazu kommt Klausel 7.5 (dokumentierte Information): Sie regelt, wie Dokumente im ISMS erstellt, aktualisiert und gelenkt werden. Deine Netzdoku fällt darunter, inklusive Versionierung und Zugriffsschutz.
Der IT-Grundschutz wird deutlich konkreter als die ISO-Norm. Diese sechs Anforderungen aus den Bausteinen NET.1.1 Netzarchitektur und -design sowie NET.1.2 Netzmanagement betreffen deine Doku direkt.
Basis-Anforderung, wörtlich: „Es MUSS eine vollständige Dokumentation des Netzes erstellt werden. Sie MUSS einen Netzplan beinhalten. Die Dokumentation MUSS nachhaltig gepflegt werden." Dazu gehören die initiale Ist-Aufnahme, alle Änderungen und die logische Struktur: Subnetz-Zuordnung, Zonierung, Segmentierung.
Basis-Anforderung. Änderungen an der Richtlinie und Abweichungen davon müssen dokumentiert und mit dem oder der ISB abgestimmt werden. Die korrekte Umsetzung muss regelmäßig überprüft und die Ergebnisse müssen dokumentiert werden.
Basis-Anforderung. Verlangt eine vollständige und nachvollziehbare Planung: Topologie mit Zonen und Netzsegmenten, Dimensionierung und Redundanz sowie IPv4/IPv6-Subnetze von Endgerätegruppen. Die Netzplanung muss regelmäßig überprüft werden.
Basis-Anforderung. Das bestehende Netz muss regelmäßig daraufhin geprüft werden, ob es dem Soll-Zustand aus Sicherheitsrichtlinie und aktueller Netzplanung entspricht. Dafür müssen zuständige Personen sowie Prüfkriterien festgelegt werden.
Standard-Anforderung aus NET.1.2. Die Management-Infrastruktur wird inklusive initialer Ist-Aufnahme und aller Änderungen dokumentiert und mit der Netzdoku aus NET.1.1 abgeglichen. Wörtlich: „Die Dokumentation SOLLTE vollständig und immer aktuell sein."
Standard-Anforderung. Konfigurationsdaten von Netzkomponenten sollten an zentraler Stelle sicher verfügbar sein, in Versionsverwaltung und Datensicherung eingebunden sowie nachhaltig gepflegt und regelmäßig auditiert werden.
Die zitierten Formulierungen stammen aus den BSI-Bausteinen NET.1.1 und NET.1.2, Edition 2023. NIS2 kommt für viele Betreiber als weitere Nachweis-Ebene obendrauf, die Stoßrichtung bleibt dieselbe: Ohne gelebte Netzdoku kein belastbarer Nachweis.
Wenn du alle zehn Punkte abhaken kannst, bist du für die Dokumentenprüfung sauber aufgestellt.
Aktueller Plan der logischen Struktur: Zonen, Netzsegmente, Übergänge und Sicherheitskomponenten. (NET.1.1.A2, A.8.20)
Jedes Gerät und jede virtuelle Instanz mit benannter verantwortlicher Person. (A.5.9)
Subnetze, Präfixe und VLANs je Endgerätegruppe, zentral gepflegt statt in drei Excels. (NET.1.1.A13)
Wer hat wann was geändert, inklusive Vorher/Nachher-Stand. (A.8.9)
Regelmäßiger Abgleich zwischen Doku und Realität, mit festgelegten Zuständigen und Prüfkriterien. (NET.1.1.A15)
Konfigurationen zentral abgelegt, versioniert und in die Datensicherung eingebunden. (NET.1.2.A24)
Wer darf die Dokumentation lesen, ändern, löschen? Auch die Doku braucht Zugriffsschutz. (Klausel 7.5)
Abweichungen sind festgehalten und mit dem oder der ISB abgestimmt. (NET.1.1.A1)
Nachweise auf Knopfdruck als CSV, Report oder API-Abfrage, ohne Sonderaktion vor dem Termin.
Netzdoku und Doku des Netzmanagements sind widerspruchsfrei abgeglichen. (NET.1.2.A12)
Die Reihenfolge ist bewusst gewählt: erst Struktur und Daten, dann Verantwortung, dann Prozess.
Definiere den Informationsverbund: Welche Standorte, Netze und Systeme gehören zum Geltungsbereich von ISMS oder IT-Grundschutz-Prüfung?
Erfasse Standorte, Racks, Geräte und Verbindungen. Lieber vollständig und schlicht als detailverliebt und lückenhaft.
Ordne Subnetze, VLANs und Präfixe zu, IPv4 wie IPv6. Damit erfüllst du den Kern von NET.1.1.A13.
Bilde die logische Struktur ab: Sicherheitszonen, Segmente, Übergänge. Daraus entsteht der Netzplan, den NET.1.1.A2 verlangt.
Hinterlege Owner und Rollen je Asset und regle, wer die Doku ändern darf. Das deckt A.5.9 und Klausel 7.5 ab.
Verankere den Soll-Ist-Vergleich als Routine mit Zuständigen und Prüfkriterien. Erst dieser Schritt macht die Doku auditfähig.
NetBox bringt genau die Eigenschaften mit, die Auditoren sehen wollen: Historie, Verantwortlichkeit, Berechtigungen und Reports. Zwei Beispiele aus der Praxis.
NetBox schreibt für jede Änderung einen Changelog-Eintrag mit Benutzer, Zeitstempel und Vorher/Nachher-Snapshot. Die Aufbewahrung steuerst du über CHANGELOG_RETENTION, für Audit-Zwecke auch unbegrenzt. Journal-Einträge bleiben zusätzlich für die gesamte Lebensdauer eines Objekts erhalten.
Objektbasierte Berechtigungen regeln je Objekttyp, wer view, add, change oder delete darf. So bekommt das Audit-Team Lesezugriff, ohne dass jemand versehentlich Daten ändert. Nachweise ziehst du per REST-API oder CSV-Export direkt im Termin.
Doku-Archäologie: Excel-Stände, Screenshots, Mail-Archiv
Export auf Knopfdruck: CSV, Report, API-Abfrage
Den Soll-Ist-Vergleich aus NET.1.1.A15 automatisierst du über die Kopplung mit Monitoring, etwa mit NetBox + Checkmk, oder per Abgleich gegen die laufende Konfiguration via NetBox-Automatisierung mit Ansible.
Eine statische Tabelle beschreibt den Zustand von gestern, eine Datenbank als Source of Truth den Zustand von heute, mit Historie. Vier strukturelle Gründe:
Excel und Wiki kennen kein belastbares „wer hat wann was geändert". Der Nachweis für A.8.9 fehlt strukturell.
Eine Spalte „Verantwortlich" ist kein gelebtes Ownership. A.5.9 verlangt gepflegte, aktuelle Zuordnungen.
Doppelte IPs, verwaiste VLANs, kollidierende Stände: Statische Dateien validieren nichts.
Ein Visio ohne Pflegeprozess ist im Zweifel genau das, was der Auditor vermutet: veraltet.
Neben ISO 27001 und IT-Grundschutz erhöht auch NIS2 den Druck auf belastbare Nachweise. In Folge #45 sprechen Sven und Dennis darüber, was Auditoren sehen wollen.
Sprich mit uns über dein Audit-Zielbild, sieh dir NetBox in der Produktdemo live an oder starte strukturiert mit unserer Migrationsberatung.
Diese Seite ordnet normative Anforderungen fachlich ein und ersetzt keine ISMS- oder Zertifizierungsberatung.
Wir melden uns innerhalb eines Werktages mit Terminvorschlägen. Kein Vertrieb, keine Verpflichtung, Praktiker zu Praktiker.