M 2.464 Erstellung einer Sicherheitsrichtlinie zur Terminalserver-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei dem Einsatz von Terminalserver-Systemen sind geeignete Sicherheitsrichtlinien aufzustellen. Die hierin schriftlich festgehaltenen Maßgaben sowie Zielsetzungen müssen die individuellen Bedingungen und Anforderungen einer sicheren Terminalserver-Umgebung widerspiegeln. Das allgemeine Sicherheitskonzept, die Sicherheitsleitlinie sowie die hiervon abgeleiteten Sicherheitsrichtlinien stellen dabei den Rahmen dar, in dem sich die Terminalserver-spezifischen Erweiterungen widerspruchsfrei integrieren sollen. Die Richtlinien müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Die auf Terminalserver bezogenen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einem eigenen Dokument zusammengefasst werden.

Die Richtlinien sollten unter anderem folgende Punkte regeln:

Benutzerrichtlinie für Terminalserver-Umgebungen

Um Benutzer nicht mit zu vielen Details zu belasten, kann es sinnvoll sein, eine eigene Benutzerrichtlinie für Terminalserver-Umgebungen zu erstellen. In ihr sollten dann kurz die Besonderheiten der Terminalserver-Nutzung beschrieben werden, wie z. B. :

Wichtig ist auch, dass klar beschrieben wird, wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise, dass

Beim Zugriff auf Terminalserver über ein entferntes Netz ist klarzustellen, dass

Terminalserver-Sitzungen können während der Benutzung willentlich oder durch einen Verbindungsabbruch getrennt werden. Bereits gestartete Anwendungen laufen dabei in der Regel weiter und die Sitzung kann zu einem späteren Zeitpunkt fortgesetzt werden. Um Wartungsarbeiten an den Servern nicht zu behindern und Datenverluste durch regelmäßige Neustartzyklen zu vermeiden, sind daher Verhaltensweisen zum sicheren Umgang in den Benutzerrichtlinien festzuhalten.

Außerdem sollte die Richtlinie insbesondere im Hinblick auf die Nutzung von klassifizierten Informationen, beispielsweise Verschlusssachen, Angaben dazu enthalten, welche Daten über Terminalserver-Systeme genutzt und auf den Client übertragen werden dürfen. Benutzer sollten für Terminalserver-Gefährdungen sowie für Inhalte und Auswirkungen der Terminalserver-Richtlinie sensibilisiert werden.

Richtlinien für Administratoren

Daneben sollte eine Terminalserver-spezifische Richtlinie für Administratoren erstellt werden, die auch als Grundlage für die Schulung der Administratoren dienen kann. Darin sollte festgelegt sein, wer für die Administration der unterschiedlichen Terminalserver-Komponenten zuständig ist, welche Schnittstellen es zwischen den beteiligten Administratoren gibt und wann welche Informationen zwischen den Zuständigen ausgetauscht werden müssen. So ist es durchaus üblich, dass für den Betrieb einer Terminalserver-Farm eine andere Organisationseinheit zuständig ist, als für die Betreuung der Clients oder für das Identitäts- und Berechtigungsmanagement oder für den Perimeterschutz.

Die Terminalserver-Richtlinie für Administratoren sollte des Weiteren die wesentlichen Kernaspekte zum Betrieb einer Terminalserver-Infrastruktur umfassen, wie z. B. :

Administratoren haben beim Einsatz von Terminalservern oft die Möglichkeit, Sitzungen zu spiegeln (shadowing). Hierbei sind datenschutzrechtliche Anforderungen zu berücksichtigen. So greift eine Überwachung von Sitzungen ohne die ausdrückliche Zustimmung in die Persönlichkeitsrechte des Anwenders ein. Die Verwendung dieser Funktion ist daher innerhalb der Administratorenrichtlinien zu regulieren.

Alle Terminalserver-Anwender, egal ob Benutzer oder Administratoren, sollten mit ihrer Unterschrift bestätigen, dass sie den Inhalt der Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Ohne diese schriftliche Bestätigung sollte niemand diese Systeme nutzen dürfen. Die unterschriebenen Erklärungen sind an einem geeigneten Ort, beispielsweise in der Personalakte, aufzubewahren.

Prüffragen: