M 2.27 Wartung einer TK-Anlage

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: Administrator

In einer TK-Anlage gibt es eine Wartungseinheit, mit der die TK-Anlage konfiguriert und administriert werden kann. Bei älteren Anlagen kann das eine spezielle Hardware sein, bei neueren Anlagen ist es meist eine Steuerungssoftware. Von außen kann auf diese Einheit je nach TK-Anlage mit unterschiedlichen Mitteln zugegriffen werden, beispielsweise:

Bei einem IP-Anlagenanschluss, bei dem die TK-Anlage physisch bei einem externen Anbieter steht, wird die TK-Anlage in der Regel über einen Browser administriert.

Die Wartungseinheit sollte so konfiguriert werden, dass nur dedizierte Wartungsrechner zugreifen dürfen. Beispielsweise indem nur IT-Systeme mit fest zugeordneten IP-Adressen mit der Wartungseinheit kommunizieren können. Verbindungsversuche von anderen IT-Systemen sollten abgewiesen werden. Der Zutritt zu den Wartungsrechnern sollte ebenfalls beschränkt werden. Hierfür könnten sie beispielsweise in einem separaten Sicherheitsbereich aufgestellt werden, den unbefugte Personen nicht betreten können.

Generell sollte der Zugriff auf die Wartungseinheit nur nach einer erfolgreichen Authentisierung möglich sein. Wenn möglich, sollte die Datenverbindung zwischen den Geräten, die zur Wartung genutzt werden und der Wartungseinheit verschlüsselt sein, außer es handelt sich um eine ausschließlich für diesen Zweck genutzte Verbindung (wie ein serielles Kabel). Die Geräte, über die die TK-Anlage gewartet und konfiguriert wird, müssen mit Passwörtern oder PINs abgesichert werden. Hierfür ist auch die Maßnahme M 2.11 Regelung des Passwortgebrauchs zu beachten. Nicht nur interne, sondern auch externe Wartungsmitarbeiter müssen sich authentisieren.

Die Wartung einer TK-Anlage sollte von Mitarbeitern mit entsprechendem Wissen, beispielsweise geschulten Administratoren, durchgeführt werden. Fehlen den vorhandenen Mitarbeitern die notwendigen Kenntnisse, um die TK-Anlage optimal zu warten und zu administrieren, und können diese nicht zeitnah geschult werden, sollte überlegt werden, externe Experten zu beauftragen.

Unabhängig davon, von wem die TK-Anlage gewartet wird, muss auch die Maßnahme M 2.4 Regelungen für Wartungs- und Reparaturarbeiten beachtet werden.

Fernwartung

Unter Umständen kann es erforderlich sein, dass TK-Anlagen von Dritten, wie beispielsweise externen Experten, konfiguriert und gewartet werden. Erfolgt die Administration über ein Datennetz, wird hierfür eine Kommunikationsverbindung zur TK-Anlage benötigt. Ist die TK-Anlage an das LAN des Standorts ("Hausnetz") angeschlossen, könnte ein Angreifer sowohl auf die TK-Anlage als auch auf das LAN zugreifen. Daher müssen die Zugänge abgesichert werden. Das kann wie folgt geschehen:

Sollen externe Experten für die Wartungs- und Reparaturarbeiten beauftragt werden, müssen entsprechende Regelungen getroffen werden. Hierzu gehört beispielsweise, wie externe Personen während ihrer Tätigkeit beaufsichtigt werden und wie mit Geräten umzugehen ist, die für eine Reparatur außer Haus gegeben werden. Weitere Informationen hierzu sind in M 1.1 Einhaltung einschlägiger Normen und Vorschriften zu finden. Generell können durch eine Fernwartung zahlreiche Sicherheitsprobleme auftreten. Um diese zu verringern, muss der Fernwartungszugriff geschützt werden. Mögliche Sicherheitsfunktionen hierfür sind in M 5.33 Absicherung von Fernwartung zu finden. Die Datenverbindung bei IP-basierten Zugängen über öffentliche Netz sollte z. B. mit Secure Shell (SSH) oder über ein Virtuelles Privates Netz (VPN) abgesichert und verschlüsselt werden.

Prüffragen: