M 2.472 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Sicherheitsvorgaben für die TK -Anlage der Institution ergeben sich aus der organisationsweiten Sicherheitsrichtlinie. Ausgehend von dieser allgemeinen Richtlinie müssen die Anforderungen konkretisiert und in einer Sicherheitsrichtlinie für die TK-Anlage zusammengefasst werden. In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie IT-Richtlinien, Passwortrichtlinien oder Vorgaben wie beispielsweise zur Nutzung von VoIP (Voice-over-IP) zu berücksichtigen sind.

Die Sicherheitsrichtlinie sollte grundlegende Aussagen zur Verfügbarkeit der TK-Anlage sowie zur Vertraulichkeit und Integrität der gespeicherten oder verarbeiteten Daten treffen. Dabei ist zu beachten, dass für Kommunikationsdienste grundsätzlich hohe Erwartungen an die Verfügbarkeit und auch in die Vertraulichkeit gesetzt werden. Bei der Speicherung von personenbezogenen Daten müssen auch Aspekte wie Datenschutz und Aufbewahrungspflichten für Daten berücksichtigt werden. Letztere dienen als Basis für Sicherheitsanalysen im Verdachts- oder Revisionsfall.

Die Sicherheitsrichtlinie für TK-Anlagen muss allen Personen und Gruppen, die an der Beschaffung, dem Aufbau, der Umsetzung und dem Betrieb der TK-Anlage beteiligt sind, bekannt sein und die Grundlage für deren Arbeit darstellen. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Im Rahmen der Sicherheitsrichtlinie für TK-Anlagen sollten die Benutzer in kurzer, verständlicher Form über die Gefährdungen informiert werden, die mit der Nutzung einer TK-Anlage und ihrer Kommunikationsdienste verbunden sind (siehe auch M 3.82 Schulung zur sicheren Nutzung von TK-Anlagen). Dabei sollten auch immer aktuelle Entwicklungen im Bereich der Technik und neu bekannt gewordenen Gefahren berücksichtigt werden. Diese Informationen sollen die Benutzer sensibilisieren und motivieren, diese Richtlinie auch einzuhalten.

Neben den Leistungsmerkmalen einer klassischen TK-Anlage wie beispielsweise Makeln, Rückfrage, Rückruf bei Besetzt, Anklopfen und auch Aufschalten auf ein bestehendes Gespräch, Konferenzschaltung und Heranholen eines Gespräches, verfügen Hybrid-Anlagen und VoIP-Anlagen durch die Kopplung von Eigenschaften der klassischen TK-Anlage und von IT -Systemen zusätzlich über eine Vielzahl von weiteren IT-basierten Funktionen. Beispielsweise können Sprachnachrichten und Faxe über E-Mail übertragen, Anrufe per Mausklick von einer Anwendung am PC initiiert und vermittelt und die aktuelle Verfügbarkeit eines Teilnehmers angezeigt werden. In der Richtlinie sollte daher festgelegt werden, welche Funktionen und Leistungsmerkmale der TK-Anlage genutzt werden sollen. Zusätzlich muss festgelegt werden, wer für welche Zwecke welche Dienste benutzen darf. In diesem Zusammenhang ist ebenfalls der Umfang der privaten Nutzung festzulegen.

Weiterhin müssen Sicherheitsmaßnahmen beachtet werden, welche die Auswahl und Installation der erforderlichen Sicherheitshard- und -software sowie Vorgaben für die sichere Konfiguration der TK-Anlage und ihrer Endgeräte regeln. Bei Nutzung einer Hybrid-Anlage oder eines VoIP-Systems sind dies zusätzlich die für diese Systeme geltenden Richtlinien. In einigen Fällen kann es zweckmäßig sein, dass Benutzer bestimmte Konfigurationseinstellungen, wie beispielsweise das Sperren des Telefonendgeräts bei Abwesenheit, direkt am Endgerät selbst vornehmen dürfen. Dies sollte in den Richtlinien vermerkt, anderenfalls untersagt werden.

Sinnvoll ist es weiterhin, beispielsweise folgende Punkte in die Richtlinien mit aufzunehmen:

Zusätzlich muss geregelt werden, welche Vorgänge dokumentiert werden müssen und in welcher Form die Dokumentation erstellt und gepflegt wird. Dazu gehören die folgenden Vorgaben für die Installation und Konfiguration:

Es sollten Vorgaben für den sicheren Betrieb gemacht werden, wie beispielsweise:

Auch auf die sichere Entsorgung der Komponenten der TK-Anlage sollte in der Sicherheitsrichtlinie hingewiesen werden. So werden zum Teil Verbindungsdaten und andere personenbezogene Daten auf Datenträgern in der TK-Anlage gespeichert. Endgeräte sind häufig von außen mit Namen auf Schnellwahltasten, IP-Adressen, Telefonnummern oder sonstigen technischen Informationen beschriftet. Die einzelnen Komponenten müssen so vernichtet werden, dass eine Rekonstruktion der Daten nicht möglich ist.

Die Verantwortung für die Umsetzung der Sicherheitsrichtlinie für TK-Anlagen liegt beim IT-Betrieb, Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem IT-Sicherheitsbeauftragten erfolgen.

Prüffragen: