M 4.63 Sicherheitstechnische Anforderungen an den Telearbeitsrechner
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Die sicherheitstechnischen Anforderungen an den Telearbeitsrechner richten sich nach dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz und der Daten, auf die der Telearbeiter über den Kommunikationsrechner der Institution zugreifen kann. Je höher der Schutzbedarf, desto mehr Maßnahmen müssen ergriffen werden, um diesen Schutz zu gewährleisten. Allgemeine Sicherheitsziele für den Telearbeitsrechner sind:
- Der Telearbeitsrechner darf nur von autorisierten Personen benutzt werden können.
- Damit wird sichergestellt, dass nur autorisierte Personen die Daten und Programme, die im Telearbeitsrechner gespeichert sind bzw. auf die über den Kommunikationsrechner zugegriffen werden kann, nutzen können. Autorisierte Personen sind der Administrator des Telearbeitsrechners und der Telearbeiter nebst seines Stellvertreters.
- Der Telearbeitsrechner darf nur für autorisierte Zwecke benutzt werden.
- Damit wird unterstützt, dass der Telearbeiter den Rechner nicht unautorisiert benutzt oder verändert. Dies beugt Schäden durch Fehlbedienung und Missbrauch vor.
- Schäden aufgrund eines Diebstahls oder Defektes des Telearbeitsrechners müssen tolerabel sein.
- Telearbeitsrechner werden üblicherweise in einer wenig gesicherten Umgebung eingesetzt, so dass mit Diebstahl zu rechnen ist. Dabei tritt ein Verlust der Verfügbarkeit und ggf. der Vertraulichkeit der gespeicherten Daten ein. Dennoch müssen die Schäden gering bleiben.
- Versuchte oder erfolgte Manipulationen am Telearbeitsrechner sollen für den Telearbeiter erkennbar sein.
- Damit wird sichergestellt, dass der Telearbeitsrechner in einem integren Zustand verbleibt, auch wenn Manipulationsversuche nicht ausgeschlossen werden können.
Für einen Telearbeitsrechner sind folgende Funktionalitäten sinnvoll:
-
Der Telearbeitsrechner muss über einen Identifizierungs- und Authentisierungsmechanismus verfügen. Insbesondere ist sicherzustellen, dass
- sicherheitskritische Parameter, wie Passwort, Benutzer-Kennung, usw., sicher verwaltet werden. Passwörter dürfen nie unverschlüsselt auf dem Telearbeitsrechner gespeichert werden.
- das Zugangsverfahren definiert auf Fehleingaben reagiert. Erfolgt zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist der Zugang zum Telearbeitsrechner zu sperren oder alternativ sind die zeitlichen Abstände, nach denen ein weiterer Zugangsversuch erlaubt wird, sukzessiv zu vergrößern.
- das Setzen bestimmter Minimalvorgaben für die sicherheitskritischen Parameter möglich ist. So sollte die Mindestlänge eines Passwortes sechs Zeichen betragen.
- nach zeitweiser Inaktivität der Tastatur oder Maus automatisch eine Bildschirmsperre aktiviert wird, die erst nach erneuter Identifikation und Authentisierung deaktiviert werden kann.
-
Der Telearbeitsrechner muss über eine Zugriffskontrolle verfügen. Insbesondere ist sicherzustellen, dass
- der Telearbeitsrechner verschiedene Benutzer unterscheiden kann. Es muss möglich sein, mindestens zwei getrennte Rollen auf dem Telearbeitsrechner einzurichten, nämlich Administrator und Benutzer.
- mittels einer differenzierten Rechtestruktur (lesen, schreiben, ausführen, ...) der Zugriff auf Dateien und Programme regelbar ist.
-
Soll der Telearbeitsrechner über eine Protokollierung verfügen, können folgende Anforderungen sinnvoll sein:
- Der Mindestumfang, den der Telearbeitsrechner protokollieren soll, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen inklusive der aufgetretenen Fehlerfälle protokollierbar sein:
- bei Authentisierung: Benutzer-Kennung, Datum und Uhrzeit, Erfolg, usw.
- bei der Zugriffskontrolle: Benutzer-Kennung, Datum und Uhrzeit, Erfolg, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben, usw. Durchführung von Administratortätigkeiten, Auftreten von funktionalen Fehlern.
- Die Protokollierung darf von Unberechtigten nicht deaktivierbar sein. Die Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar sein.
- Die Protokollierung muss übersichtlich, vollständig und korrekt sein.
- Der Mindestumfang, den der Telearbeitsrechner protokollieren soll, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen inklusive der aufgetretenen Fehlerfälle protokollierbar sein:
- Soll der Telearbeitsrechner über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:
- Eine Auswertefunktion muss nach den bei der Protokollierung geforderten Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").
- Die Auswertefunktion muss auswertbare ("lesbare") Berichte erzeugen, so dass keine sicherheitskritischen Aktivitäten übersehen werden.
-
Der Telearbeitsrechner sollte über Funktionen zur Datensicherung verfügen. Diese sollten u. a. folgende Anforderungen erfüllen:
- Das Datensicherungsprogramm muss benutzerfreundlich und schnell arbeiten. Es sollte automatisierbar sein.
- Es muss konfigurierbar sein, welche Daten wann gesichert werden.
- Es muss eine Option zum Einspielen beliebiger Datensicherungen existieren.
- Die Funktion muss das Sichern von mehreren Generationen ermöglichen.
- Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung sollen möglich sein.
-
Soll der Telearbeitsrechner über eine Verschlüsselungskomponente verfügen, ist zunächst zu überlegen, welche Funktionalität benötigt wird: die Verschlüsselung ausgewählter Daten (offline) oder automatisch der gesamten Festplatte (online). Dies setzt voraus, dass ein geeigneter Verschlüsselungsalgorithmus eingesetzt wird und dass ein Datenverlust bei Fehlfunktion (Stromausfall, Abbruch der Verschlüsselung) systemseitig abgefangen wird. Darüber hinaus sind folgende Anforderungen sinnvoll:
- Der implementierte Verschlüsselungsalgorithmus sollte - beim Einsatz in Behörden - vom BSI anerkannt sein. Hier empfiehlt sich eine individuelle Beratung durch das BSI. Außerhalb der Behörden ist bei mittlerem Schutzbedarf der DES, bei hohem Schutzbedarf der Triple-DES geeignet.
- Das Schlüsselmanagement muss mit der Funktionalität des Telearbeitsrechners harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen: Symmetrische Verfahren benutzen einen geheim zu haltenden Schlüssel für die Ent- und Verschlüsselung, asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten (geheim zu haltenden) für die Entschlüsselung.
- Der Telearbeitsrechner muss die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt auslesbar, auf dem Telearbeitsrechner abgelegt werden.
-
Soll der Telearbeitsrechner über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:
- Es sollten Verfahren zur Integritätsprüfung eingesetzt werden, die absichtliche Manipulationen am Telearbeitsrechner bzw. den darauf gespeicherten Daten sowie ein unbefugtes Einspielen von Programmen zuverlässig aufdecken können.
- Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Adressfeldern und den Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, um unerkannte Manipulationen an den obengenannten Daten vornehmen zu können.
- Der Telearbeitsrechner sollte über einen Boot-Schutz verfügen, um zu verhindern, dass unbefugt von auswechselbaren Datenträgern, z. B. von Diskette oder CD, gebootet werden kann.
- Es sollte möglich sein, die Benutzerumgebung des Telearbeitsrechners einzuschränken. Damit soll der Administrator festlegen können, welche Programme der Telearbeiter ausführen kann, welche Peripheriegeräte nutzbar sind und welche Änderungen der Telearbeiter am System vornehmen darf. Darüber hinaus sollte der Telearbeiter Einstellungen, die für den sicheren Betrieb notwendig sind, nicht unautorisiert ändern und nicht unerlaubt Fremdsoftware aufspielen können.
- Auf dem Telearbeitsrechner muss ein Computer-Viren-Prüfprogramm installiert sein, um regelmäßig den Rechner auf Computer-Viren überprüfen zu können. Vor dem Einspielen von Daten von auswechselbaren Datenträgern, vor der Weitergabe von Datenträgern bzw. beim Senden und Empfangen von Daten muss ein Virencheck durchgeführt werden. Da an Telearbeitsrechnern der Datenaustausch mit externen IT-Systemen eine wesentliche Rolle spielt und da Einzelprüfungen sehr zeitaufwendig und umständlich sind und daher häufig unterlassen werden, sollte bei einem Telearbeitsrechner bevorzugt ein residenter Virenscanner installiert sein.
- Wenn der Telearbeitsrechner über Fernwartung administriert werden soll, ist sicherzustellen, dass die Fernadministration nur autorisiert durchgeführt werden kann. Bei der Fernwartung muss eine Authentikation des Fernwartungspersonals, die Verschlüsselung der übertragenen Daten und eine Protokollierung der Administrationsvorgänge gewährleistet sein.
- Die Software auf einem Telearbeitsrechner sollte benutzerfreundlich sein. Sie sollte leicht bedienbar, verständlich und gut erlernbar sein, da Telearbeiter stärker auf sich alleine gestellt sind als andere Mitarbeiter. Insbesondere sollte den Benutzern aussagekräftige und nachvollziehbare Dokumentationen des Betriebssystems und aller installierten Programme zur Verfügung gestellt werden.
Aus den obigen Funktionalitäten sind diejenigen auszuwählen, die aufgrund der Sicherheitsanforderungen an den Telearbeitsrechner benötigt werden. Anhand dieser Funktionalitäten muss dann ein geeignetes Betriebssystem als Plattform ausgewählt werden. Wenn dieses nicht alle benötigten Funktionalitäten unterstützt, müssen dazu Zusatzprodukte eingesetzt werden. Dabei sollten möglichst alle Telearbeitsrechner einer Institution gleich ausgestattet sein, um die Betreuung und Wartung zu erleichtern. Zur sicherheitstechnischen Eignungsprüfung sollte Baustein B 1.10 Standardsoftware beachtet werden.
Das Gesamtsystem ist durch die Administratoren so zu konfigurieren, dass maximale Sicherheit erreicht werden kann.
Ergänzende Kontrollfragen:
- Bietet das ausgewählte Betriebssystem des Telearbeitsrechners die notwendige Funktionalität? Sind Zusatz-Sicherheitsprodukte notwendig?
- Welche der zusätzlich empfohlenen Maßnahmen sind realisiert?
- Akzeptieren die Telearbeiter die ergriffenen Sicherheitsmaßnahmen?