M 5.87 Vereinbarung über die Anbindung an Netze Dritter

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Immer mehr Unternehmen und Behörden schließen ihre bisher nach außen abgeschotteten Netze zu Netzverbünden zusammen, so genannten Extranets. Bei der Anbindung des eigenen internen Netzes an Netze Dritter ist es erforderlich, dass eine detaillierte Vereinbarung (Data Connection Agreement - DCA) geschlossen wird, bevor eine Netzanbindung erfolgt. Hierdurch muss genau definiert werden, wer dadurch Zugriff auf das eigene Netz erhält, unter welchen Bedingungen und auf welche Bereiche und Dienste des eigenen Netzes Zugriff gegeben werden soll. Ebenso wichtig ist dabei auch die andere Richtung, also die Frage, wer aus der eigenen Organisation mit welchen Zugriffsrechten und zu welchen Bedingungen Zugriff auf ein Fremdnetz erhalten soll.

Eine solche Vereinbarung sollte folgende Bestandteile umfassen:

Die Vereinbarung sollte durch die Personen abgeschlossen werden, die auch für deren Einhaltung die Verantwortung tragen. Dafür ist zunächst zu klären, wer die Verantwortung für die Netzanbindung tragen sollte, da hier üblicherweise unterschiedliche Bereiche eines Unternehmens bzw. einer Behörde involviert sind. Sinnvollerweise sollte hierzu ein Team gebildet werden, bei dem zumindest der IT-Sicherheitsbeauftragte, der IT-Leiter, der Fachverantwortliche und der Datenschutzbeauftragte beteiligt sind. Bei kritischen Entscheidungen, z. B. ob die Verbindung wegen Problemen zeitweise getrennt werden soll, sollten alle oben genannten Personen beteiligt werden, da sich deren Interessen erfahrungsgemäß stark voneinander unterscheiden können.

Bevor eine Netzanbindung aktiviert wird, sollten alle Sicherheitsmängel auf beiden Seiten ausgeräumt worden sein. Hier sollte auch ein Weg gefunden werden, sich von dem IT-Sicherheitsniveau seiner Partner zu überzeugen, beispielsweise durch Basis-Sicherheitschecks oder Stichproben vor Ort. Auf keinen Fall darf die Beseitigung von Sicherheitslücken in den Echtbetrieb verschoben werden, da die Erfahrung lehrt, dass diese niedriger priorisiert werden als reine Verfügbarkeitsprobleme.

Dritten sollten nur die Dienste zur Verfügung gestellt werden, die zum einen vertraglich vereinbart worden sind und zum anderen unbedingt erforderlich sind. Auf welche Bereiche des eigenen Netzes Dritten Zugriff gewährt wird, muss abhängig gemacht werden von der Art der bestehenden Beziehungen zwischen den Kommunikationspartnern und vom Vertrauen in die Kommunikationspartner. Bei ausländischen Partnern müssen unbedingt deren nationale Gesetze berücksichtigt werden, z. B. in den Bereichen Kryptographie bzw. Urheberrecht.

Falls durch die Netzanbindung Sicherheitsprobleme auftreten, muss klar definiert sein, wer wann die Verbindung trennen darf, wer darüber zu informieren ist und welche Eskalationsschritte vorzusehen sind.

Ergänzende Kontrollfragen: