B 3.202 Allgemeines nicht vernetztes IT-System

Logo Allgemeines nicht vernetztes IT-System

Beschreibung

Betrachtet wird ein IT-System, das mit keinem anderen IT-System vernetzt ist. Es kann mit einem beliebigen Betriebssystem ausgestattet sein. Das IT-System kann auf einer beliebigen Plattform betrieben werden, es kann sich dabei um einen PC mit oder ohne Festplatte, aber auch um eine Unix-Workstation oder einen Apple Macintosh handeln. Das IT-System kann beispielsweise über Disketten-, CD-ROM -, DVD - oder andere Laufwerke für auswechselbare Datenträger sowie andere Peripheriegeräte verfügen. Falls der Client weitere Schnittstellen zum Datenaustausch hat, wie z. B. USB, Bluetooth, WLAN, müssen diese entsprechend den Sicherheitsvorgaben der Institution abgesichert werden, wie dies in den entsprechenden Bausteinen beschrieben ist. Ein eventuell vorhandener Drucker wird direkt am IT-System angeschlossen.

Dieses Kapitel bietet einen Überblick über Gefährdungen und Sicherheitsmaßnahmen, die für nicht vernetzte IT-Systeme typisch sind. Dieser Überblick ist unabhängig vom eingesetzten Betriebssystem. Dafür sind die weiterführenden Bausteine der IT-Grundschutz-Kataloge zu beachten.

Gefährdungslage

Für den IT-Grundschutz eines allgemeinen nicht vernetzten IT-Systems werden folgende Gefährdungen angenommen:

Höhere Gewalt

- G 1.1 Personalausfall
- G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

Menschliche Fehlhandlungen

- G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
- G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung von IT-Systemen
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.17 Kein ordnungsgemäßer PC-Benutzerwechsel

Technisches Versagen

- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datenträger

Vorsätzliche Handlungen

- G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
- G 5.2 Manipulation an Informationen oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwörtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.23 Schadprogramme

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Allgemeines nicht vernetztes IT-System" vorgestellt. Ein Teil der hier genannten Maßnahmen ist in jedem Fall umzusetzen, auch wenn nur eine einzige Person dieses IT-System nutzt. Sollen an dem IT-System mehrere Benutzer arbeiten, so ist zusätzlich eine Administration des Rechners und eine Benutzertrennung unumgänglich. In diesem Fall sind auch die Maßnahmen und Gefährdungen zu betrachten, die für den Mehrbenutzerbetrieb relevant sind.

Abhängig vom eingesetzten Betriebssystem sind neben der Anwendung dieses Bausteins gegebenenfalls weitere Maßnahmen erforderlich, die in anderen Bausteinen beschrieben sind.

Für den Einsatz von nicht vernetzten Arbeitsplatzrechnern sollten im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:

Für das allgemeine nicht vernetzte IT-System sind folgende Maßnahmen umzusetzen:

Planung und Konzeption

- M 2.23 (Z) Herausgabe einer PC-Richtlinie
- M 2.63 (A) Einrichten der Zugriffsrechte
- M 4.41 (Z) Einsatz angemessener Sicherheitsprodukte für IT-Systeme

Umsetzung

- M 4.7 (A) Änderung voreingestellter Passwörter
- M 4.15 (A) Gesichertes Login

Betrieb

- M 2.22 (Z) Hinterlegen des Passwortes
- M 3.18 (A) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung
- M 4.2 (A) Bildschirmsperre
- M 4.4 (C) Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern
- M 4.30 (A) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen

Notfallvorsorge

- M 6.32 (A) Regelmäßige Datensicherung