Unklarheiten beim Zonenmodell BSI NET1.1

Sehr geehrte Damen und Herren, mit Blick auf das Dokument AD-NOOTS-02_+Anschlusskonzept+Data+Provider+DP.md https://gitlab.opencode.de/noots/public/ad-noots/Architektur/-/blob/main/AD-NOOTS-XX/AD-NOOTS-02_+Anschlusskonzept+Data+Provider+_DP_.md hätte ich eine Anfrage/Anmerkung zum Thema Zonenmodell BSI. In Abb. 7: Variante 2: Vereinfachte Darstellung SAK-DP im internen Netz wird ein Zugriff eines DC auf einen DP schematisch dargestellt, welcher über die DMZ in das interne Netz des DP geroutet wird. Da nach AD-NOOTS-19_+Grobkonzept+Transportinfrastruktur.md "Diese Netze sind zum Teil direkt, zum Teil über das Internet und zum Teil über das Verbindungsnetz (NdB-VN) miteinander gekoppelt. Die Kopplung erlaubt allerdings keine freie Kommunikation über Netzgrenzen hinweg." kann hier ja nicht von der gleichen Sicherheitsstufe ausgegangen werden. Im entsprechenden Baustein NET1.1 steht unter NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B) Zitat:

"IT-Systeme DÜRFEN NICHT via Internet oder externer DMZ auf das interne Netz zugreifen. Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt werden."

Da dies hier aber offenbar der Fall ist, worauf bezieht sich dann diese Ausnahme und wie wird diese begründet? Ich frage deshalb, weil dieser Anwendungsfall durchaus öfter diskutiert wird z.B. beim Einsatz von zentralen IAM-Systemen im internen Netz für Anwendungen in einer DMZ oder auch für Datenbanken im internen Netz bei hybriden Fachverfahren (DMZ/internes Netz). Die Absicherung mittels ALG ist zu begrüßen, allerdings frage ich mich, inwieweit diese wirksam wird, denn direkt im Absatz über der Grafik ist festgelegt, dass: "Der Data Provider selbst befindet sich im internen Netz. Die eingehende Kommunikation des SAK-DP erfolgt gemäß Abschnitt 7.3 Baustein NOOTS-Transportprotokoll über das Protokoll mutual TLS. Dabei darf die TLS-Verbindung zwischen dem SAK-DC und SAK-DP nicht terminiert werden." Meinem Verständnis nach, dürfte ein ALG keine Möglichkeit haben eine nicht-terminierte TLS-Verbindung inhaltlich zu prüfen.

Mit freundlichen Grüßen Kai Gärtner ZIT-BB