B 3.401 TK-Anlage

Beschreibung
Die private, digitale ISDN-Telekommunikations-Anlage (TK-Anlage) stellt sowohl eine Kommunikationsbasis für den eigenen Bereich als auch die Schnittstelle zum öffentlichen Netz dar. Sie dient der Übertragung von Sprache und Bildern (Fax) und in zunehmendem Maß als LAN bzw. LAN-Koppler sowie als Übertragungsmedium für elektronische Mailsysteme. Bei der Nutzung als LAN ist der Baustein B 3.101 Allgemeiner Server zu beachten.
Es wird davon ausgegangen, dass ein Verantwortlicher für die TK-Anlage benannt ist, der die grundsätzlichen Sicherheitsentscheidungen fällen und Sicherheitsmaßnahmen initiieren kann.
Gefährdungslage
Für den IT-Grundschutz einer TK-Anlage werden folgende typische Gefährdungen angenommen:
Höhere Gewalt:
- | G 1.4 | Feuer |
Organisatorische Mängel:
- | G 2.6 | Unbefugter Zutritt zu schutzbedürftigen Räumen |
Menschliche Fehlhandlungen:
- | G 3.6 | Gefährdung durch Reinigungs- oder Fremdpersonal |
- | G 3.7 | Ausfall der TK-Anlage durch Fehlbedienung |
Technisches Versagen:
- | G 4.6 | Spannungsschwankungen/Überspannung/ Unterspannung |
Vorsätzliche Handlungen:
- | G 5.1 | Manipulation/Zerstörung von IT-Geräten oder Zubehör |
- | G 5.11 | Vertraulichkeitsverlust in TK-Anlagen gespeicherter Daten |
- | G 5.12 | Abhören von Telefongesprächen und Datenübertragungen |
- | G 5.13 | Abhören von Räumen |
- | G 5.14 | Gebührenbetrug |
- | G 5.15 | "Neugierige" Mitarbeiter |
- | G 5.16 | Gefährdung bei Wartungs-/Administrierungsarbeiten durch internes Personal |
- | G 5.17 | Gefährdung bei Wartungsarbeiten durch externes Personal |
- | G 5.44 | Missbrauch von Remote-Zugängen für Managementfunktionen von TK-Anlagen |
Es werden hier solche Gefährdungen betrachtet, die die Funktionsfähigkeit einer Institution beeinträchtigen können. Datenschutzrechtliche Erwägungen stehen somit nicht im Vordergrund. Diesen wird bereits zu großen Teilen durch bestehende Betriebs- bzw. Dienstvereinbarungen Rechnung getragen. Gleichwohl trägt der IT-Grundschutz natürlich auch zum Schutz der personenbezogenen Daten bei.
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Die zentralen Einrichtungen einer TK-Anlage sollten in einem Raum aufgestellt werden, der den Anforderungen an einen Serverraum (Baustein B 2.4 Serverraum) oder einen Raum für technische Infrastruktur (Baustein B 2.6 Raum für technische Infrastruktur) genügt. Für die Verkabelung der TK-Anlage wird auf den Baustein B 2.2 Elektrotechnische Verkabelung hingewiesen.
Für die TK-Anlage sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über den Betrieb bis zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.
Planung und Konzeption
Schon bei der Planung der TK-Anlage ist dafür Sorge zu tragen, dass der Bedienplatz in einem geschützten Bereich aufgestellt wird, und der Installationsort sollte auch nicht durch eine explizite Beschilderung für Unbefugte erkennbar gemacht werden. Je nach den durch die Anlage abzudeckenden Verfügbarkeitsanforderungen ist die Installation einer unterbrechungsfreien Stromversorgung vorzusehen. Ein Überspannungsschutz ist in den meisten Fällen sinnvoll, da Fernübertragungsleitungen in der Regel sehr anfällig gegen Überspannungen durch Blitzschlag sind.
Beschaffung
Die Maßnahme M 2.105 Beschaffung von TK-Anlagen nennt die wesentlichen Kriterien, die bei der Auswahl einer TK-Anlage zu beachten sind.
Umsetzung
Bei der Installation sind unbedingt die vom Hersteller voreingestellten Passwörter zu ändern, da die Anlage sonst von beliebigen Angreifern manipuliert werden kann. Ebenso sind alle Schnittstellen und die internen und externen Remote-Zugänge abzusichern. Bei der Konfiguration ist nach der Grundregel zu verfahren, dass alle nicht benötigten Leistungsmerkmale abzuschalten sind, weil sie nur unnötige Risiken mit sich bringen.
Betrieb
Die Administrationsarbeiten an der TK-Anlage sollte nach Möglichkeit protokolliert werden, um nachvollziehbar zu machen, auf welche Weise sicherheitsrelevante Einstellungen verändert wurden. Bei hohen Sicherheitsanforderungen an den Betrieb der TK-Anlage ist eine regelmäßige Revision der Konfigurationseinstellungen erforderlich. Da die Sicherheit nur zu häufig durch ungeeignete Bedienung der Endgeräte durch die Benutzer unterlaufen wird, sollten die Mitarbeiter regelmäßig für mögliche Gefährdungen sensibilisiert werden.
Notfallvorsorge
Die TK-Anlage ist in den Notfall-Plan für DFÜ-Ausfall einzubeziehen und ihre Konfigurationsdaten sind regelmäßig zu sichern, um die Anlage nach einem eventuellen Ausfall schnell wieder hochfahren und korrekt konfigurieren zu können.
Nachfolgend wird das Maßnahmenbündel für den Bereich "TK-Anlage" vorgestellt:
Planung und Konzeption
- | M 1.12 | (B) | Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile |
- | M 1.13 | (Z) | Anordnung schützenswerter Gebäudeteile |
- | M 1.25 | (B) | Überspannungsschutz |
- | M 1.28 | (B) | Lokale unterbrechungsfreie Stromversorgung |
M 2.27 | (Z) | Verzicht auf Fernwartung der TK-Anlage | |
- | M 2.28 | (Z) | Bereitstellung externer TK-Beratungskapazität |
- | M 4.8 | (A) | Schutz des TK-Bedienplatzes |
- | M 4.62 | (Z) | Einsatz eines D-Kanal-Filters |
Beschaffung:
- | M 2.105 | (A) | Beschaffung von TK-Anlagen |
Umsetzung:
- | M 1.30 | (A) | Absicherung der Datenträger mit TK-Gebührendaten |
- | M 2.29 | (B) | Bedienungsanleitung der TK-Anlage für die Benutzer |
- | M 4.7 | (A) | Änderung voreingestellter Passwörter |
- | M 4.10 | (Z) | Passwortschutz für TK-Endgeräte |
- | M 4.11 | (B) | Absicherung der TK-Anlagen-Schnittstellen |
- | M 4.12 | (A) | Sperren nicht benötigter TK-Leistungsmerkmale |
- | M 5.14 | (A) | Absicherung interner Remote-Zugänge |
- | M 5.15 | (A) | Absicherung externer Remote-Zugänge |
Betrieb:
- | M 3.12 | (B) | Information aller Mitarbeiter über mögliche TK-Warnanzeigen, -symbole und -töne |
- | M 3.13 | (B) | Sensibilisierung der Mitarbeiter für mögliche TK-Gefährdungen |
- | M 4.5 | (B) | Protokollierung der TK-Administrationsarbeiten |
- | M 4.6 | (C) | Revision der TK-Anlagenkonfiguration |
Notfallvorsorge:
- | M 6.10 | (B) | Notfall-Plan für DFÜ-Ausfall |
- | M 6.26 | (B) | Regelmäßige Datensicherung der TK-Anlagen-Konfigurationsdaten |
- | M 6.28 | (Z) | Vereinbarung über Lieferzeiten "lebensnotwendiger" TK-Baugruppen |
- | M 6.29 | (Z) | TK-Basisanschluss für Notrufe |
- | M 6.30 | (Z) | Katastrophenschaltung |