M 2.204 Verhinderung ungesicherter Netzzugänge
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Revisor
Jeder ungesicherte Zugang zu einem Netz stellt eine enorme Sicherheitslücke dar. Daher muss jede Kommunikation in das interne Netz ausnahmslos über einen gesicherten Zugang geführt werden. Dies kann beispielsweise eine Firewall sein (siehe Baustein B 3.301 Sicherheitsgateway (Firewall)).
Es müssen Regelungen getroffen werden, dass keine weiteren externen Verbindungen unter Umgehung der Firewall geschaffen werden dürfen. Alle Benutzer müssen darauf hingewiesen werden, welche Gefahren mit der Schaffung "wilder" Zugänge, z. B. über mitgebrachte Modems, verbunden sind.
Sämtliche externen Netzzugänge sollten zentral erfasst werden (siehe Baustein 2.1). Weiterhin sollte durch Stichproben überprüft werden, ob über Modems oder anderweitig zusätzliche Netzzugänge geschaffen wurden. Dafür können z. B. automatisiert vorgegebene Rufnummerbereiche getestet werden, ob sich dort Datenübertragungseinrichtungen melden.
Die Datenübertragung sollte in allen Organisationen klar geregelt sein. Alle Datenübertragungseinrichtungen sollten genehmigt sein und deren Nutzung klaren Regelungen unterliegen. Dies betrifft nicht nur Router, Modems und ISDN -Karten, sondern auch Infrarot- oder Funk-Schnittstellen.
Die Datenübertragung sollte in allen Organisationen klar geregelt sein. Insbesondere sollten die folgenden Punkte festgelegt sein:
- Zuständigkeiten für Installation, Wartung und Betreuung
- Festlegung des Benutzerkreises und der Nutzungsberechtigungen
- Vorgaben und Sicherheitsmaßnahmen für die Benutzung
- Festlegung der möglichen Kommunikationspartner
- Nutzungszeiten
- Vertretungsregelung
- Protokollierung
- Sichere Konfiguration der Datenübertragungseinrichtungen
Beispiele hierfür finden sich in M 2.61 Regelung des Modem-Einsatzes oder M 2.179 Regelungen für den Faxserver-Einsatz.
Ergänzende Kontrollfragen:
- Sind alle externen Netzzugänge dokumentiert?
- Sind Regelungen für die Nutzung von Datenübertragungseinrichtungen festgelegt worden?
- Werden die Regelungen für die Nutzung von Datenübertragungseinrichtungen regelmäßig an das Einsatzumfeld und die technische Entwicklung angepasst?