Security Requirements pro OSI-Schicht für Infrastrukturprojekte schreiben

Security Requirements pro OSI-Schicht für Infrastrukturprojekte schreiben ist eine der zuverlässigsten Methoden, um Sicherheitsziele in umsetzbare, prüfbare Anforderungen zu übersetzen. Viele Infrastrukturvorhaben scheitern nicht an fehlenden Security-Tools, sondern an unscharfen Formulierungen wie „Netzwerk muss sicher sein“ oder „verschlüsseln nach Stand der Technik“. Solche Sätze helfen weder Architektur-Teams noch Einkauf, Betrieb oder Incident Response. Ein OSI-basiertes Requirements-Framework zwingt zu Klarheit: Welche Schicht ist betroffen, welcher Control Point ist zuständig, wie wird die Einhaltung gemessen, und was sind die Akzeptanzkriterien? Gleichzeitig verhindert es Lücken zwischen Teams, etwa wenn Netzwerk und Plattform jeweils davon ausgehen, die andere Seite kümmere sich um Logging, Segmentierung oder TLS. In diesem Artikel wird gezeigt, wie Sie Security Requirements pro OSI-Schicht strukturieren, in Infrastrukturprojekten praktisch formulieren und so gestalten, dass sie auditierbar, testbar und langfristig wartbar sind.

Warum OSI als Struktur für Security Requirements funktioniert

Das OSI-Modell ist kein Cloud-Standard und keine „Security-Norm“. Sein Wert liegt in der Kommunikation: Es schafft eine gemeinsame Sprache zwischen Netzwerk, Plattform, Security Engineering, Compliance und Betrieb. Requirements werden dadurch weniger abstrakt und erhalten einen klaren Ort im Systemdesign. Außerdem hilft OSI beim Scope-Management: Wenn Anforderungen auf Layer 2 formuliert werden, müssen sie nicht fälschlich mit Layer-7-Mechanismen „gelöst“ werden, und umgekehrt.

Für die Praxis bedeutet das: Sie schreiben nicht „Zero Trust einführen“, sondern definieren konkrete Kontrollen pro Schicht, z. B. Identitätsbindung auf Layer 7, Segmentierung auf Layer 3/4, Telemetrie und Evidence über alle Schichten. Als hilfreiche Referenz für eine strukturierte Zero-Trust-Denkweise eignet sich NIST SP 800-207 (Zero Trust Architecture).

Grundprinzipien guter Security Requirements

Bevor Sie in OSI-Schichten aufteilen, sollten Anforderungen konsistent nach Qualitätsmerkmalen geschrieben sein. Ein guter Requirement-Satz ist nicht nur „richtig“, sondern auch durchsetzbar.

• Eindeutig: Keine Mehrdeutigkeit („sollte“, „möglichst“), klare Muss-Anforderungen („muss“).
• Testbar: Es gibt eine objektive Prüfmethode (Konfiguration, Log-Evidence, Testfall, Pen-Test-Szenario).
• Messbar: Schwellenwerte, Zeitfenster, Sampling-Rate, Aufbewahrung, Abdeckung.
• Zuordenbar: Owner/Team und Control Point sind benannt (z. B. Gateway, Switch, Host-Agent, Service Mesh).
• Verhältnismäßig: Risiko und Kritikalität rechtfertigen Aufwand; Ausnahmen sind geregelt.
• Wartbar: Requirements vermeiden Tool-Namen, wenn möglich; stattdessen Capability-Orientierung.

Als zusätzliche Orientierung zur Formulierung und Priorisierung von Sicherheitsanforderungen sind Frameworks wie ISO/IEC 27001 (Managementsystem) und NIST Cybersecurity Framework (Funktionen und Outcomes) hilfreich, weil sie die Brücke zwischen Governance und Engineering schlagen.

Ein Requirements-Template, das in Infrastrukturprojekten funktioniert

In der Praxis lohnt sich ein wiederholbares Template, das pro Requirement immer die gleichen Felder enthält. Damit werden Reviews schneller, und es entstehen weniger „Interpretations-Projekte“ im Betrieb.

• Scope: Systemkomponente, Umgebung, Datenklasse, Traffic-Typ.
• OSI-Schicht: L1–L7 (wenn mehrere: primäre Schicht und Abhängigkeiten).
• Requirement: Muss-Formulierung in einem Satz.
• Rationale: Warum nötig (Threat/Abuse Case), kurz und technisch.
• Akzeptanzkriterien: Konkrete Prüfpunkte, Schwellenwerte, Testfälle.
• Evidence: Welche Logs/Metriken/Reports belegen Erfüllung.
• Owner: Umsetzungsverantwortung (Team/Role), inkl. Betrieb.
• Ausnahmen: Prozess, Ablaufdatum, Risikofreigabe.

Layer 1: Physische Security und Lieferkette als Requirements

Layer 1 wirkt „weit weg“ von IT-Security, ist aber in Infrastrukturprojekten zentral: Rechenzentrum, Rack, Verkabelung, Stromversorgung, HSM-Standorte, Asset-Tracking. Häufig liegen hier Abhängigkeiten zu Beschaffung und Drittparteien.

• Zutrittsschutz: Physische Zugänge zu kritischen Bereichen müssen auf Need-to-Access beschränkt, protokolliert und regelmäßig rezertifiziert werden.
• Hardware-Chain-of-Custody: Austausch von Komponenten (z. B. Switches, Firewalls, Appliances) muss dokumentiert, freigegeben und nachvollziehbar sein.
• Manipulationsschutz: Kritische Systeme müssen mit Tamper-Evident-Maßnahmen und Inventar-Checks abgesichert werden.
• Out-of-Band-Zugänge: Serielle Konsolen/Management-Ports müssen physisch und logisch separiert und überwacht werden.

Layer 2: Segmentierung, Spoofing-Schutz und sichere Switching-Standards

Layer-2-Requirements sind besonders wertvoll, wenn Sie Campus/LAN, Rechenzentrum oder hybride Umgebungen designen. In reinen Public-Cloud-VPCs ist Layer 2 oft stark abstrahiert; dann sollten Anforderungen klar auf die verfügbaren Control Points (z. B. virtuelle Switch-Funktionen, Host-Firewalls, Overlay-Policies) gemappt werden.

• Port Security: Access-Ports müssen MAC-Limits, Violation-Handling und Alerting aktiv haben; Ausnahmen (z. B. VoIP, Drucker, IoT) sind dokumentiert.
• 802.1X/NAC: Neue Endgeräte müssen vor Netzzugang authentisiert und einer Policy zugeordnet werden; MAB-Bypass ist zeitlich begrenzt und streng segmentiert.
• STP-Schutz: BPDU Guard/Root Guard müssen an geeigneten Ports aktiv sein, um BPDU-Spoofing und ungewollte Topologie-Änderungen zu verhindern.
• DHCP-Schutz: Rogue DHCP wird durch DHCP Snooping oder gleichwertige Mechanismen verhindert; Trusted Ports sind minimal.

Layer 3: Routing, IP-Controls und sichere Boundaries

Layer 3 ist in Infrastrukturprojekten meist die wichtigste Sicherheitsgrenze: Hier wird entschieden, welche Zonen erreichbar sind, wie groß der Blast Radius ist und wo zentrale Enforcement-Punkte liegen. Gute Requirements sind hier explizit und vermeiden „implizite Erreichbarkeit“.

• Segmentierungsmodell: Netzbereiche müssen in Sicherheitszonen eingeteilt sein; interzonale Kommunikation ist explizit erlaubt und standardmäßig verboten.
• Ingress/Egress-Kontrolle: Ausgehender Traffic muss über definierte Egress-Punkte laufen (z. B. Firewall, Proxy, Gateway) und dort geloggt werden.
• Anti-Spoofing: Pakete mit nicht erwarteten Quellnetzen müssen am Edge und zwischen Zonen verworfen werden (z. B. uRPF oder äquivalente Policies).
• Route-Governance: Änderungen an Routing/Peering/Transit müssen versioniert, reviewed und über Change-Prozesse freigegeben werden.

Akzeptanzkriterien für Layer 3, die wirklich helfen

• Für jede Zone existiert eine dokumentierte Route-Policy, die die erlaubten Nachbarzonen auflistet.
• Für jede Verbindung in eine höherkritische Zone existiert ein genehmigtes Ticket und eine Rule-ID.
• Flow-Logs oder Routing-Logs sind aktiviert und mindestens für den vereinbarten Zeitraum abrufbar.

Layer 4: Transport-Sicherheit, State-Exhaustion und robuste Filter-Strategien

Layer 4 ist der Ort für verbindungsbasierte Angriffsflächen: SYN-Flood, Connection Exhaustion, State-Table-Probleme, Port Scans, fehlerhafte Allow-Lists. Requirements sollten hier die Semantik (stateful/stateless) und den Betriebsmodus berücksichtigen.

• Least Privilege Ports: Zwischen Zonen dürfen nur notwendige Ports/Protokolle offen sein; Default ist „deny“.
• State-Resilienz: Systeme mit State Tables (Firewalls, Load Balancer) müssen Kapazitätsgrenzen, Timeouts und Alerting definiert haben.
• Rate Limits: Für exponierte Services müssen Layer-4-Ratenbegrenzungen oder vorgelagerte DDoS-Schutzmechanismen existieren.
• Port-Scan-Detection: Es müssen Low-Noise-Detections (z. B. verteilte Scans, Slow Scans) auf Basis von Flow-/Firewall-Telemetrie definiert sein.

Ein einfaches, prüfbares Sizing-Kriterium mit MathML

Wenn Sie State-Tabellen absichern, ist ein messbares Kriterium hilfreich, das Kapazität, Spitzenlast und Sicherheitsreserve abbildet:

StateCapacity ≥ PeakConnections × SafetyFactor

Der SafetyFactor wird je nach Kritikalität und DDoS-Risiko festgelegt (z. B. 2 oder 3). Wichtig ist nicht die Zahl, sondern dass sie vereinbart, gemessen und überwacht wird.

Layer 5: Session Controls, Remote Access und Persistenz-Risiken

Session-Layer-Requirements werden in Infrastrukturprojekten oft vergessen, obwohl genau hier viele reale Angriffsfolgen entstehen: Session Hijacking, Replay, Session Fixation, VPN-Session-Persistenz, Token-Missbrauch. Anforderungen sollten zwischen internen Admin-Sessions, Service-Sessions und User-Sessions unterscheiden.

• Session-Lifetime: Für privilegierte Zugriffe müssen maximale Session-Dauern und Idle-Timeouts definiert sein; Re-Auth ist erforderlich.
• Device/Client Binding: Sessions müssen, wo möglich, an Geräte- oder Client-Merkmale gebunden werden (z. B. mTLS, Device Posture).
• Remote Access Monitoring: VPN/SSH/RDP-Sessions müssen zentral geloggt werden (Start/Ende, User, Quell-IP, Ziel, MFA-Status, Befehls-/Audit-Events, wenn möglich).
• Break-Glass: Notfallzugänge müssen streng geregelt, zeitlich begrenzt und nachträglich überprüfbar sein.

Layer 6: Kryptografie-Standards, TLS-Policy und Trust Model

Layer 6 ist in Infrastrukturprojekten der Hebel für verlässliche Vertraulichkeit und Integrität, gerade wenn Underlay und Zwischenpfade nicht vollständig kontrollierbar sind. Requirements sollten nicht nur „TLS an“ verlangen, sondern konkrete Mindeststandards, Rotation und Validierung.

• TLS Mindestversion: Exponierte Services müssen mindestens TLS 1.2 oder vorzugsweise TLS 1.3 unterstützen; Legacy-Protokolle sind deaktiviert.
• Cipher-Suites: Schwache oder veraltete Cipher Suites müssen ausgeschlossen werden; Downgrade-Resistenz ist sicherzustellen.
• Zertifikatsmanagement: Zertifikate müssen zentral inventarisiert, vor Ablauf überwacht und automatisiert rotiert werden.
• Trust Stores: Root-/Intermediate-CAs müssen kontrolliert, dokumentiert und Änderungen streng geprüft werden.

Für Web- und TLS-Praktiken liefern Quellen wie OWASP Cheat Sheet Series hilfreiche, praxisnahe Empfehlungen, insbesondere zu TLS-Konfiguration, Zertifikaten und sicheren Defaults.

Layer 7: Application Controls, APIs, AuthN/AuthZ und Abuse-Resistenz

Auch in Infrastrukturprojekten spielt Layer 7 eine Rolle, sobald Gateways, WAF, API-Plattformen, Service Meshes oder Management-UIs im Scope sind. Hier entstehen Anforderungen zu Authentisierung, Autorisierung, Rate Limits, Input Validation, Audit Trails und Abuse-Prevention. Wichtig ist, dass Requirements zwischen „Management Plane“ (Admin) und „Data Plane“ (Produktivverkehr) unterscheiden.

• Strong Auth: Administrative Interfaces müssen MFA, SSO und rollenbasierte Zugriffskontrolle nutzen; lokale Accounts sind minimiert.
• API-Policies: APIs müssen AuthN/AuthZ erzwingen, Token-Scopes prüfen, Rate Limits definieren und konsistente Error-Handling-Policies haben.
• WAF/Abuse Controls: Exponierte HTTP-Services benötigen Schutz gegen typische Angriffe (Injection, Traversal, Smuggling) und Bot-Abuse.
• Audit Logging: Administrative Aktionen müssen vollständig auditierbar sein (wer, was, wann, von wo, Ergebnis).

Als Referenz für typische Web-Risiken und Begriffe ist OWASP Top 10 nützlich, weil es Security- und Engineering-Teams auf gemeinsame Kategorien bringt.

Cross-Layer-Requirements: Telemetrie, Logging und Incident-Fähigkeit

Viele Sicherheitsanforderungen sind nicht „nur“ einer Schicht zuzuordnen, weil sie Evidence über mehrere Ebenen verbinden. In Infrastrukturprojekten sollte das explizit als eigener Block geführt werden, damit Logging nicht als „später“ abfällt.

• Time Sync: Alle Systeme müssen eine konsistente Zeitquelle nutzen, damit Korrelation möglich ist.
• Traceability: Logs müssen Identitäten und technische Attribute verbinden (User/Role, Source, Destination, Request-ID).
• Retention & Zugriff: Aufbewahrung, Zugriffsschutz und Integrität von Logs müssen definiert sein.
• Detection Use Cases: Für kritische Assets sind Use Cases und Alarme definiert (z. B. ungewöhnliche Egress-Ziele, Privilege Escalation, Policy-Drift).

Wie Sie Requirements an Zielgruppen anpassen sehen, ohne sie zu verwässern

Infrastrukturprojekte betreffen unterschiedliche Zielgruppen: Einsteiger brauchen klare, einfache Muss-Sätze; Profis wollen präzise Control-Point-Definitionen. Der Trick ist, die Anforderung kurz zu halten und Details in Akzeptanzkriterien und Evidence zu legen. So bleibt die Semantik stabil, während die Umsetzung variieren kann.

Beispiel einer kompakten Muss-Anforderung plus prüfbarer Details

• Requirement: „Interzonaler Traffic muss standardmäßig blockiert sein und nur über genehmigte Regeln freigeschaltet werden.“
• Akzeptanzkriterien: „Jede Freischaltung hat Owner, Ticket-ID, Ablaufdatum, Logging-Nachweis; Regelabdeckung wird monatlich geprüft.“
• Evidence: „Policy-Export, Change-Records, Flow-Logs, Audit-Events im SIEM.“

Priorisierung: Welche OSI-Schichten zuerst in Requirements abdecken?

In der Realität ist Zeit begrenzt. Eine sinnvolle Priorisierung folgt häufig dem Risiko und der Erreichbarkeit: Exponierte Flächen (Edge, Admin-Zugänge, Egress) und hochkritische Datenpfade zuerst. OSI hilft dabei, weil Sie sehen, wo Controls fehlen und welche Schichten die größten Lücken verursachen.

• Start mit L3/L4: Segmentierung, Egress, Default-Deny, Anti-Spoofing, State-Resilienz.
• Dann L6/L7: TLS-Standards, Zertifikatsrotation, AuthN/AuthZ, Gateways, Audit Trails.
• Parallel Cross-Layer: Logging, Time Sync, Korrelation, Use Cases.
• L1/L2 gezielt: Dort, wo Sie physische oder Campus/DC-Aspekte wirklich beeinflussen.

Gängige Fehler beim Schreiben von Security Requirements pro OSI-Schicht

Ein OSI-Gerüst verhindert nicht automatisch schlechte Anforderungen. Diese Fehler tauchen in Infrastrukturprojekten besonders häufig auf und führen später zu Diskussionen, Ausnahmen oder Sicherheitslücken.

• Tool-Fetisch: „Produkt X einsetzen“ statt Capability („stateful filtering mit zentralem Logging“).
• Fehlende Prüfbarkeit: Keine Schwellenwerte, keine Evidence, keine Testfälle.
• Layer-Verwechslung: L7-Anforderung wird mit L3-Regel „gelöst“ oder L2-Risiko wird ignoriert, obwohl Campus-Switching betroffen ist.
• Keine Ausnahme-Regeln: Ausnahmen passieren immer; ohne Prozess entstehen Schattenkonfigurationen.
• Keine Ownership: Unklar, wer umsetzt, wer betreibt, wer prüft.

Requirements in den Projektlebenszyklus integrieren: Design, Build, Run

Security Requirements sind nur dann wirksam, wenn sie in den Projektlebenszyklus eingebettet werden. OSI-Struktur ist dabei ein Vorteil: Sie können Requirements pro Phase prüfen, z. B. L3/L4 im Netzwerkdesign, L6/L7 in Plattform- und App-Gateways, Cross-Layer im Observability-Setup.

• Design Reviews: Requirements gegen Architekturdiagramme mappen; Control Points benennen.
• Build Gates: IaC-Policies und CI-Checks (z. B. keine offenen 0.0.0.0/0-Regeln ohne Ausnahme-Ticket).
• Run Checks: Drift-Detection, regelmäßige Rezertifizierung, Incident-Übungen mit Evidence-Validierung.

Ein praktischer Mini-Katalog: Beispiel-Requirements pro OSI-Schicht

Der folgende Mini-Katalog ist als Ausgangspunkt gedacht und kann je nach Umgebung (On-Prem, Hybrid, Cloud) angepasst werden. Entscheidend ist, dass jede Zeile einen Control Point, Akzeptanzkriterien und Evidence haben muss.

• Layer 1: „Zugriffe auf Netzwerk- und Security-Appliances müssen physisch kontrolliert und revisionssicher protokolliert werden.“
• Layer 2: „Unautorisierte Endgeräte dürfen keinen Layer-2-Zugang erhalten; NAC/802.1X ist verpflichtend, Ausnahmen sind segmentiert.“
• Layer 3: „Zonenkommunikation ist Default-Deny; Routing-Änderungen sind genehmigungspflichtig und versioniert.“
• Layer 4: „Stateful Controls müssen Kapazitäts- und Alerting-Anforderungen erfüllen; öffentliche Listener sind minimal und überwacht.“
• Layer 5: „Administrative Sessions sind zeitlich begrenzt, an MFA gebunden und vollständig auditierbar.“
• Layer 6: „TLS-Policy definiert Mindestversionen und Cipher Suites; Zertifikatsrotation ist automatisiert und überwacht.“
• Layer 7: „APIs erzwingen AuthN/AuthZ, Rate Limits und Audit Trails; Management-Interfaces sind besonders gehärtet.“

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.