M 2.454 Planung des sicheren Einsatzes von Groupware-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Bevor ein Groupware-System eingeführt wird, muss entschieden werden, für welche Einsatzzwecke das System genutzt werden soll und für welche Art von Informationen es vorgesehen ist. Von der Nutzungsart hängt ab, welche Hard- und Software beschafft werden muss, und sie bestimmt Art und den Umfang der notwendigen Planungen. Insbesondere hängen auch die festzulegenden Sicherheitsrichtlinien stark vom geplanten Einsatzszenario ab.

Generell kann grob zwischen den folgenden Einsatzvarianten von Groupware-Systemen unterschieden werden:

Innerhalb dieser Einzelszenarien kann weiter dahingehend unterschieden werden, welche Funktionen von der eingesetzten Groupware genutzt werden sollen. Grundsätzlich gilt, dass für die Nutzung jeder Funktionalität eine eigene Planung erforderlich ist, bei der auch Sicherheitsaspekte zu berücksichtigen sind.

Abhängig davon, wofür Groupware-Systeme eingesetzt werden sollen, unterscheiden sich auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten.

Grundsätzlich müssen bei der Einsatzplanung von Groupware folgende Aspekte berücksichtigt werden:

Bei der Planung sollte auch festgelegt werden, wie durch organisatorische Regelungen oder durch die technische Umsetzung ein ordnungsgemäßer Dateitransfer gewährleistet wird. Dazu gehören z. B. die folgenden Punkte:

Grundsätzlich sollten Nachrichten, die an interne Adressen verschickt wurden, nicht über externe Strecken oder an externe Adressen weitergeleitet werden. Sollen hiervon Ausnahmen gemacht werden, sind alle Mitarbeiter darüber zu informieren. Beispielsweise kann für Außendienstmitarbeiter oder andere Mitarbeiter, die viel unterwegs sind, die E-Mail an externe Zugriffspunkte weitergeleitet werden. Die Nutzung von Groupware-Anwendungen und vor allem die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Institution sollte über sichere Kanäle, z. B. ein VPN oder eigene Standleitungen, erfolgen.

Bei der Konzeption der sicheren Groupware-Nutzung sind außerdem folgende Punkte zu berücksichtigen:

Wenn für den Groupware-Einsatz externe Dienstleister genutzt werden sollen, z. B. Mailprovider, sind hierfür die im Baustein B 1.11 Outsourcing beschriebenen Sicherheitsempfehlungen umzusetzen. Vor allem ist zu klären, welche Sicherheitsmaßnahmen durch den Dienstleister ergriffen werden (siehe auch M 2.123 Auswahl eines Groupware- oder Mailproviders).

Es wird immer wieder diskutiert, ob und inwieweit dienstliche Groupware-Anwendungen, vor allem E-Mail, für private Zwecke benutzt werden dürfen. Solange die private Nutzung sich in Grenzen hält, wird dies sogar von vielen Institutionen unterstützt, da sich dies positiv auf die Mitarbeiter-Motivation auswirkt. Generell empfiehlt es sich aber, hierzu in der Groupware-Richtlinie zu vereinbaren, welche Spielregeln bei der Groupware-Nutzung allgemein und auch hinsichtlich privater Nutzung von E-Mail und anderen Groupware-Diensten einzuhalten sind.

Bei der Nutzung von Groupware-Systemen in Institutionen sollte auch festgelegt werden, welche Groupware-Anwendungen die Benutzer einsetzen dürfen. Neben den verschiedenen Diensten, die die im Haus eingesetzten Groupware-Systeme bieten, kann auch auf andere, über die Arbeitsplatzrechner nutzbare Groupware-Anwendungen zugegriffen werden, wie z. B. Webmail oder Internet-Terminalkalender. Es muss klar geregelt sein, welche internen oder externen Groupware-Anwendungen die Mitarbeiter nutzen dürfen. Wie dies aussehen kann, ist im Folgenden am Beispiel Webmail beschrieben. Grundsätzlich gilt immer, dass Mitarbeiter nur von ihrer Institution freigegebene Programme und externe Dienstleistungen benutzen dürfen.

Als Webmail werden Angebote bezeichnet, bei denen über einen Browser auf webbasierte E-Mail-Dienste zugegriffen wird. Verschiedene Mailprovider bieten entsprechende Erweiterungen entweder direkt in ihr Produkt integriert oder als Zusatzmodule an. Webmail hat den Vorteil, dass hierbei von jedem Rechner mit Internet-Anschluss weltweit auf die E-Mail-Postfächer zugegriffen werden kann, ohne dass hierfür in aufwendige Infrastruktur investiert werden muss. Es ist allerdings schwieriger als beim Transport über die internen E-Mail-Server, die organisationsweit gültigen Sicherheitsrichtlinien durchzusetzen, beispielsweise im Hinblick auf Virenschutz oder Verschlüsselung. Außerdem ist die Gefahr, dass vertrauliche E-Mails mitgelesen oder Passwörter abgehört werden, beim externen Zugriff auf Webmailzugänge wesentlich höher.

Bei der Nutzung von Webmail aus einem Behörden- bzw. Unternehmensnetz heraus muss unbedingt der Schutz vor Schadsoftware beachtet werden. Bei aktuellen Virenwarnungen kann es einige Zeit in Anspruch nehmen, die neuen Virenschutz-Updates auf alle Clients aufzuspielen. In einer solchen Situation kann es sinnvoll sein, den Zugriff auf Webmail zumindest solange zu verhindern, bis die Verantwortlichen sicher sind, dass ein ausreichender Schutz besteht.

Der Umgang mit Webmail in der Behörde bzw. dem Unternehmen sollte geregelt sein. Hierbei gibt es mehrere Varianten:

Wenn Webmail eingesetzt wird, sollten die Empfehlungen in M 5.96 Sichere Nutzung von Webmail beachtet werden.

Prüffragen: