B 5.19 Internet-Nutzung
Beschreibung
In den meisten Institutionen ist heute die Nutzung von Internet-Diensten am Arbeitsplatz selbstverständlich und notwendig. Hierzu gehören beispielsweise E-Mail, die Nutzung von Informationsangeboten und Internet-Dienstleistungen, Online-Banking, E-Commerce- und E-Government-Anwendungen. Je nach Art der Aufgaben und des Arbeitsplatzes kann zusätzlich die Nutzung von Instant Messaging, sozialen Netzwerken, Webkonferenzen und weiteren Diensten hinzukommen.
Die meisten Internet-Dienste können über Browser oder über andere Anwendungen heraus genutzt werden, die bereits in Standard-Betriebssystemen vorhanden sind. In einigen Einsatzszenarien wird für die Nutzung von Internet-Diensten spezielle Software benötigt wie beispielsweise für die Nutzung von Instant Messaging, für das Lesen von News oder das Online-Banking.
Dieser Baustein ist immer dann anzuwenden, wenn mit einem Browser oder spezieller Software auf das Internet zugegriffen werden soll (außer E-Mail). Der Baustein behandelt keine Netze und weiteren Verbindungen. Für diese sind die entsprechenden Bausteine anzuwenden. Die sichere Einbindung von E-Mail ist im Baustein B 5.3 Groupware beschrieben.
In diesem Baustein werden die für die Internet-Nutzung spezifischen Gefährdungen und Maßnahmen beschrieben. Darüber hinaus müssen für die sichere Anbindung an das Internet weitere Bausteine wie beispielsweise die entsprechenden Bausteine zu Netzen sowie B 3.301 Sicherheitsgateway (Firewall) und B 1.6 Schutz vor Schadprogrammen umgesetzt werden. Zur Absicherung der Clients ist der Baustein B 3.201 Allgemeiner Client sowie eventuell zusätzlich ein betriebssystem-spezifischer Baustein umzusetzen. Nicht in diesem Baustein betrachtet sind eigenständige Internet-PCs (siehe hierzu B 3.208 Internet-PC ), die eine Sonderform der Internet-Nutzung bilden.
Gefährdungslage
Für den IT-Grundschutz bei der Internet-Nutzung werden die folgenden typischen Gefährdungen angenommen:
Höhere Gewalt
- | G 1.10 | Ausfall eines Weitverkehrsnetzes |
Organisatorische Mängel
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
- | G 2.4 | Unzureichende Kontrolle der Sicherheitsmaßnahmen |
Menschliche Fehlhandlungen
- | G 3.3 | Nichtbeachtung von Sicherheitsmaßnahmen |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
- | G 3.44 | Sorglosigkeit im Umgang mit Informationen |
- | G 3.45 | Unzureichende Identifikationsprüfung von Kommunikationspartnern |
- | G 3.105 | Ungenehmigte Nutzung von externen Dienstleistungen |
- | G 3.106 | Ungeeignetes Verhalten bei der Internet-Nutzung |
- | G 3.107 | Rufschädigung |
Technisches Versagen
- | G 4.22 | Software-Schwachstellen oder -Fehler |
Vorsätzliche Handlungen
- | G 5.2 | Manipulation an Informationen oder Software |
- | G 5.28 | Verhinderung von Diensten |
- | G 5.42 | Social Engineering |
- | G 5.48 | IP-Spoofing |
- | G 5.78 | DNS-Spoofing |
- | G 5.87 | Web-Spoofing |
- | G 5.88 | Missbrauch aktiver Inhalte |
- | G 5.156 | Bot-Netze |
- | G 5.157 | Phishing und Pharming |
- | G 5.158 | Missbrauch sozialer Netzwerke |
- | G 5.177 | Missbrauch von Kurz-URLs oder QR-Codes |
Maßnahmenempfehlungen
Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Für die sichere Internet-Nutzung sollten in einem Unternehmen bzw. in einer Behörde im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:
Planung und Konzeption
Zu Anfang müssen grundsätzliche Fragen der Internet-Nutzung festgelegt werden, beispielsweise welche Internet-Dienste in der Institution genutzt werden sollen, wer welche Internet-Dienste nutzen darf, welche Regeln dabei zu beachten sind und wie die internen IT-Systeme, die das Internet nutzen dürfen, zu schützen sind (siehe M 2.457 Konzeption für die sichere Internet-Nutzung ).
Für die sichere Internet-Nutzung muss eine verbindliche Richtlinie festgelegt werden, die beispielsweise umfasst, wer welche Internet-Dienste wann und wofür nutzen darf (siehe M 2.458 Richtlinie für die Internet-Nutzung ). Für E-Mail ist ein eigener Baustein vorhanden, in dem eine Richtlinie für die E-Mail-Nutzung enthalten ist.
Umsetzung
Sowohl Benutzer als auch Administratoren haben einen wesentlichen Einfluss auf die sichere Internet-Nutzung. Benutzer und Administratoren müssen daher für den Umgang mit den eingesetzten IT-Komponenten bzw. die Nutzung der Internet-Dienste geschult werden (siehe M 3.77 Sensibilisierung zur sicheren Internet-Nutzung ).
Betrieb
Je nach Sicherheitsanforderungen müssen die beteiligten IT-Komponenten unterschiedlich konfiguriert werden. Dies betrifft die Sicherheitsgateways und die Netzkoppel-Elemente, aber auch die Server und Clients. Bei den Clients ist insbesondere der verwendete Browser (siehe M 5.45 Sichere Nutzung von Browsern und M 5.155 Datenschutz-Aspekte bei der Internet-Nutzung ), der E-Mail-Client (siehe dazu auch Baustein B 5.3 Groupware ) und die Software für die genutzten Web-Applikationen abzusichern.
Notfallvorsorge
Da die Internet-Nutzung betriebskritisch sein kann, ist einem Ausfall vorzubeugen. Dazu müssen auch Ausweichverfahren für die Internet-Anwendungen feststehen (siehe M 6.141 Festlegung von Ausweichverfahren bei der Internet-Nutzung ). Außerdem müssen Reaktionen auf durch die Internet-Nutzung verursachte Sicherheitsvorfälle festgelegt werden (siehe auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen ).
Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-Nutzung" vorgestellt.
Planung und Konzeption
- | M 2.457 | (A) | Konzeption für die sichere Internet-Nutzung |
- | M 2.458 | (A) | Richtlinie für die Internet-Nutzung |
- | M 2.459 | (W) | Überblick über Internet-Dienste |
- | M 5.66 | (B) | Verwendung von TLS/SSL |
- | M 5.69 | (A) | Schutz vor aktiven Inhalten |
Umsetzung
- | M 2.460 | (C) | Geregelte Nutzung von externen Dienstleistungen |
- | M 3.77 | (A) | Sensibilisierung zur sicheren Internet-Nutzung |
Betrieb
- | M 2.313 | (A) | Sichere Anmeldung bei Internet-Diensten |
- | M 3.78 | (W) | Korrektes Auftreten im Internet |
- | M 5.45 | (B) | Sichere Nutzung von Browsern |
- | M 5.155 | (Z) | Datenschutz-Aspekte bei der Internet-Nutzung |
- | M 5.156 | (Z) | Sichere Nutzung von Twitter |
- | M 5.157 | (Z) | Sichere Nutzung von sozialen Netzwerken |
- | M 5.158 | (Z) | Nutzung von Web-Speicherplatz |
- | M 5.173 | (Z) | Nutzung von Kurz-URLs und QR-Codes |
Notfallvorsorge
- | M 6.141 | (C) | Festlegung von Ausweichverfahren bei der Internet-Nutzung |