B 3.208 Internet-PC

Logo Internet-PC

Beschreibung

Die Nutzung des Internets zur Informationsbeschaffung und Kommunikation ist in weiten Bereichen der öffentlichen Verwaltung und Privatwirtschaft zur Selbstverständlichkeit geworden. Auch E-Commerce- und E-Government-Anwendungen gewinnen immer mehr an Bedeutung. Größtmöglichen Komfort bietet es dabei, den Mitarbeitern einer Institution einen Internet-Zugang direkt über den Arbeitsplatz-PC zur Verfügung zu stellen. Dieser ist jedoch meist in ein lokales Netz ( LAN ) eingebunden, so dass dadurch unter Umständen zusätzliche Bedrohungen für die Institution entstehen.

Um diese Probleme zu umgehen oder aus anderen anwendungsspezifischen Gründen stellen viele Behörden und Unternehmen eigenständige "Internet-PCs" zur Verfügung. Ein Internet-PC ist ein Computer, der über eine Internet-Anbindung verfügt, jedoch nicht mit dem internen Netz der Institution verbunden ist. Falls es sich um mehrere Internet-PCs handelt, können diese Computer auch untereinander vernetzt sein, beispielsweise um eine gemeinsame Internet-Anbindung zu nutzen. Internet-PCs dienen meist dazu, Mitarbeitern die Nutzung von Internet-Diensten zu ermöglichen und dabei zusätzliche Bedrohungen für das lokale Netz zu vermeiden.

Betrachtet wird ein Internet-PC auf der Basis eines Windows-Betriebssystems oder Linux. Für die Nutzung der Internet-Dienste kommen gängige Browser, wie z. B. Internet Explorer, Firefox oder Chrome, sowie E-Mail-Clients, wie z. B. Microsoft Outlook, Outlook Express, Thunderbird oder KMail, zum Einsatz. Je nach Einsatzszenario können weitere Programme für die Nutzung anderer Internet-Dienste, beispielsweise News, Instant Messaging oder Internet-Banking, installiert sein.

Gefährdungslage

Für den IT-Grundschutz eines Internet-PCs werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

-G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

-G 2.1 Fehlende oder unzureichende Regelungen
-G 2.2 Unzureichende Kenntnis über Regelungen
-G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

Menschliche Fehlhandlungen

-G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
-G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
-G 3.9 Fehlerhafte Administration von IT-Systemen
-G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen

-G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

-G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
-G 5.2 Manipulation an Informationen oder Software
-G 5.21 Trojanische Pferde
-G 5.23 Schadprogramme
-G 5.43 Makro-Viren
-G 5.48 IP-Spoofing
-G 5.78 DNS-Spoofing
-G 5.87 Web-Spoofing
-G 5.88 Missbrauch aktiver Inhalte
-G 5.103 Missbrauch von Webmail
-G 5.143 Man-in-the-Middle-Angriff

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ist geplant, in einem Unternehmen bzw. in einer Behörde einen oder mehrere Internet-PCs zur Verfügung zu stellen, sollten im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:

Die Vorgehensweise und der erforderliche Umfang der Datensicherung richtet sich nach dem Einsatzszenario des Internet-PC.

Der vorliegende Baustein gibt Empfehlungen zur Konzeption, Konfiguration und Betrieb eines solchen Internet-PCs. Wichtig ist dabei, dass die hier aufgeführten Maßnahmen nicht ausreichend sind für einen Standard-Arbeitsplatz-PC, auf dem in der Regel mehrere unterschiedliche Anwendungen betrieben und mit dem schützenswerte Daten verarbeitet werden. Dieses Maßnahmenbündel richtet sich ausschließlich an das spezielle Einsatzszenario "Internet-PC". Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in anderen Client-Bausteinen der Schicht 3 beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-PC" vorgestellt.

Planung und Konzeption

-M 2.234 (A) Konzeption von Internet-PCs
-M 2.235 (A) Richtlinien für die Nutzung von Internet-PCs
-M 4.41 (Z) Einsatz angemessener Sicherheitsprodukte für IT-Systeme
-M 5.66 (B) Verwendung von TLS/SSL
-M 5.92 (B) Sichere Internet-Anbindung von Internet-PCs

Umsetzung

-M 4.151 (B) Sichere Installation von Internet-PCs
-M 5.91 (A) Einsatz von Personal Firewalls für Clients
-M 5.98 (C) Schutz vor Missbrauch kostenpflichtiger Einwahlnummern

Betrieb

-M 2.313 (A) Sichere Anmeldung bei Internet-Diensten
-M 4.3 (A) Einsatz von Viren-Schutzprogrammen
-M 4.152 (B) Sicherer Betrieb von Internet-PCs
-M 5.59 (A) Schutz vor DNS-Spoofing bei Authentisierungsmechanismen
-M 5.93 (A) Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs
-M 5.94 (A) Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs
-M 5.95 (B) Sicherer E-Commerce bei der Nutzung von Internet-PCs
-M 5.96 (A) Sichere Nutzung von Webmail

Notfallvorsorge

-M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs