M 2.178 Erstellung einer Sicherheitsleitlinie für die Faxnutzung
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Vor der Installation, Konfiguration und Freigabe von Faxservern sollte zunächst eine Sicherheitsleitlinie für die Faxnutzung festgelegt werden. Folgende Punkte werden üblicherweise mit solch einer Sicherheitsleitlinie geregelt:
1. Einsatzkonzept
Bevor ein Faxserver für die Nutzung freigegeben wird, muss zunächst festgelegt werden, in welcher Einsatzart das System betrieben werden soll. So ist z. B. denkbar, dass ein Faxserver nur dazu dient, Faxe über das LAN entgegenzunehmen und dann nach außen zu versenden. Ein Faxserver kann aber auch von außen eingehende Faxsendungen entgegennehmen. In diesem Fall muss festgelegt werden, wie die Eingangs-Faxsendungen an die Empfänger weitergeleitet werden. Die erste Möglichkeit besteht dabei in der Weiterleitung durch den Faxserver selbst, ggf. mit Anbindung an bereits bestehende E-Mail oder Workflow-Systeme. Eine andere Möglichkeit ist die manuelle Weiterleitung der Eingangs-Faxsendungen durch die Poststelle. Hier besteht einmal die Möglichkeit der Weiterleitung per E-Mail. Denkbar ist aber auch, dass die Poststelle eingehende Faxe ausdruckt und diese Ausdrucke an den Empfänger weiterleitet (siehe M 2.181 Auswahl eines geeigneten Faxservers).
2. Integration in den Geschäftsablauf
Von der Betriebsart hängt auch ab, wie bei Benutzung eines Faxservers versandte oder empfangene Faxe in den Geschäftsablauf integriert werden. Sofern die Poststelle alle Faxeingänge ausdruckt und die Ausdrucke an den jeweiligen Empfänger weiterleitet, entspricht dies dem Ablauf, wie er auch bei herkömmlichen Faxgeräten üblich ist. Werden aber Faxe direkt aus einer Applikation vom Arbeitsplatzrechner des Benutzers versandt oder werden Faxeingänge direkt vom Faxserver an den Empfänger übermittelt, unterscheiden sich diese Verfahren erheblich von denen bei der Benutzung herkömmlicher Faxgeräte. Daher sollte in diesem Fall in der Richtlinie für die Faxnutzung festgelegt werden, von welchen Faxeingängen und Faxausgängen Ausdrucke für die Akten gefertigt werden müssen.
3. Regelungen zum Faxserver-Einsatz
Um den sicheren Betrieb und Einsatz eines Faxservers sicherstellen zu können, müssen eine Reihe von Regelungen getroffen werden (siehe M 2.179 Regelungen für den Faxserver-Einsatz).
4. Inhaltliche Restriktionen
Weiterhin sollte in der Fax-Sicherheitsleitlinie festgelegt werden, welche Informationen überhaupt per Fax weitergegeben werden dürfen. Es kann in der Fax-Sicherheitsleitlinie zudem festgelegt werden, welche Kommunikationspartner welche Informationen erhalten dürfen.
Damit wird erreicht, dass der Empfänger auch die notwendigen Berechtigungen zum Weiterverarbeiten der Information besitzt. Beispielsweise kann festgelegt werden, dass Preislisten nur an Einkäufer oder Projektunterlagen nur an Projektbeteiligte per Fax versendet werden dürfen.
5. Notfallvorsorge und Ausfallsicherheit
Außerdem sollten in der Faxsicherheitsleitlinie Aussagen zur Notfallvorsorge und zur Ausfallsicherheit des Faxbetriebes enthalten sein. Abhängig von den Anforderungen an den Wert Verfügbarkeit ist ggf. der Einsatz redundanter Faxserver sinnvoll. In diesen Bereich fallen auch Überlegungen, ob für den Notfall noch herkömmliche Faxgeräte verfügbar gehalten werden (siehe auch M 6.69 Notfallvorsorge und Ausfallsicherheit bei Faxservern).
6. Datensicherung
Der Faxserver sollte in das Datensicherungskonzept der Organisation aufgenommen werden (siehe Baustein B 1.4 Datensicherungskonzept). Insbesondere ist dabei festzulegen, wer für die Durchführung der Datensicherungen zuständig ist und was zu sichern ist. Gegenstand der Datensicherung können dabei die Software, Konfigurationsdaten, gespeicherte bzw. archivierte Faxdaten oder auch Protokolldateien sein. Außerdem sind Festlegungen hinsichtlich des Sicherungsintervalls und der Anzahl der aufzubewahrenden Generationen notwendig. Es muss festgelegt werden, wer für die Überprüfung der bei der Datensicherung anfallenden Protokolle zuständig ist. Schließlich sollten sowohl die Durchführung der Datensicherung als auch die Auswertung der Protokolle dokumentiert werden.
7. Schulung
Die Faxsicherheitsleitlinie sollte zudem um ein organisationsweites Schulungskonzept ergänzt werden. Zunächst ist das Personal, dass das IT-System und die Faxserver-Applikation administriert, entsprechend zu schulen. Dann sollten die Benutzer für die Gefährdungen sensibilisiert werden, die durch einen Faxserver im Vergleich zu einem herkömmlichen Faxsystem entstehen.
Ergänzende Kontrollfragen:
- Existiert eine Sicherheitsleitlinie für die Faxnutzung?
- Wird die Sicherheitsleitlinie für die Faxnutzung regelmäßig an das Einsatzumfeld angepasst?