Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: B 3.208 Internet-PC - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 3.208 Internet-PC

Logo Internet-PC

Beschreibung

Die Nutzung des Internets zur Informationsbeschaffung und Kommunikation ist in weiten Bereichen der öffentlichen Verwaltung und Privatwirtschaft zur Selbstverständlichkeit geworden. Auch E-Commerce- und E-Government-Anwendungen gewinnen immer mehr an Bedeutung. Größtmöglichen Komfort bietet es dabei, den Mitarbeitern einer Institution einen Internet-Zugang direkt über den Arbeitsplatz-PC zur Verfügung zu stellen. Dieser ist jedoch meist in ein lokales Netz (LAN) eingebunden, so dass dadurch unter Umständen zusätzliche Bedrohungen für die Institution entstehen.

Um diese Probleme zu umgehen oder aus anderen anwendungsspezifischen Gründen stellen viele Behörden und Unternehmen eigenständige "Internet-PCs" zur Verfügung. Ein Internet-PC ist ein Computer, der über eine Internet-Anbindung verfügt, jedoch nicht mit dem internen Netz der Institution verbunden ist. Falls es sich um mehrere Internet-PCs handelt, können diese Computer auch untereinander vernetzt sein, beispielsweise um eine gemeinsame Internet-Anbindung zu nutzen. Internet-PCs dienen meist dazu, Mitarbeitern die Nutzung von Internet-Diensten zu ermöglichen und dabei zusätzliche Bedrohungen für das lokale Netz zu vermeiden.

Betrachtet wird ein Internet-PC auf der Basis eines Windows-Betriebssystems oder Linux. Für die Nutzung der Internet-Dienste kommen gängige Browser, wie z. B. Internet Explorer, Netscape Navigator oder Opera, sowie E-Mail-Clients, wie z. B. Microsoft Outlook, Outlook Express, Netscape Messenger oder KMail, zum Einsatz. Je nach Einsatzszenario können weitere Programme für die Nutzung anderer Internet-Dienste, beispielsweise News, Instant Messaging oder Internet-Banking, installiert sein.

Gefährdungslage

Für den IT-Grundschutz eines Internet-PCs werden die folgenden typischen Gefährdungen ange-nommen:

Höhere Gewalt:

- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

Menschliche Fehlhandlungen:

- G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen:

- G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen:

- G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2 Manipulation an Daten oder Software
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.48 IP-Spoofing
- G 5.78 DNS-Spoofing
- G 5.87 Web-Spoofing
- G 5.88 Missbrauch aktiver Inhalte
- G 5.91 Abschalten von Sicherheitsmechanismen für den RAS-Zugang
- G 5.103 Missbrauch von Webmail

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ist geplant, in einem Unternehmen bzw. in einer Behörde einen oder mehrere Internet-PCs zur Verfügung zu stellen, sollten im Hinblick auf die IT-Sicherheit folgende Schritte durchlaufen werden:

  1. Konzeption von Internet-PCs (siehe M 2.234 Konzeption von Internet-PCs)
    Zu Anfang müssen grundsätzliche Fragen des Einsatzes festgelegt werden, beispielsweise welche Internet-Dienste genutzt werden sollen und wer für die Administration des Internet-PCs zuständig ist.
  2. Richtlinien für die Nutzung von Internet-PCs (siehe M 2.235 Richtlinien für die Nutzung von Internet-PCs)
    Für die sichere Nutzung eines Internet-PCs müssen verbindliche Richtlinien festgelegt werden. Dies umfasst beispielsweise, wer den Internet-PC wann und wofür nutzen darf und ggf. wie Daten zwischen dem Internet-PC und dem Hausnetz transportiert werden.
  3. Sichere Installation von Internet-PCs (siehe M 4.151 Sichere Installation von Internet-PCs)
    Durch die Verbindung zum Internet ergeben sich für die auf dem Internet-PC installierten Anwendungen und für die gespeicherten Daten zusätzliche Gefährdungen. Eine sorgfältige Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere Installation ist daher besonders wichtig.
  4. Sichere Konfiguration der installierten Komponenten
    Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten unterschiedlich konfiguriert werden. Dies betrifft insbesondere den verwendeten Browser (siehe M 5.93 Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs) den E-Mail-Client (siehe M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs) und ggf. spezielle E-Business-Software.
  5. Sicherer Betrieb von Internet-PCs (siehe M 4.152 Sicherer Betrieb von Internet-PCs)
    Eine der wichtigsten IT-Sicherheitsmaßnahmen beim Betrieb eines Internet-PCs ist das systematische und schnellstmögliche Einspielen sicherheitsrelevanter Patches und Updates. Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können, sollte das System außerdem überwacht werden.
  6. Datensicherung beim Einsatz von Internet-PCs (siehe M 6.79 Datensicherung beim Einsatz von Internet-PCs)
    Die Vorgehensweise und der erforderliche Umfang der Datensicherung richtet sich nach dem Einsatzszenario des Internet-PC.

Der vorliegende Baustein gibt Empfehlungen zur Konzeption, Konfiguration und Betrieb eines solchen Internet-PCs. Wichtig ist dabei, dass die hier aufgeführten Maßnahmen nicht ausreichend sind für einen Standard-Arbeitsplatz-PC, auf dem in der Regel mehrere unterschiedliche Anwendungen betrieben und mit dem schützenswerte Daten verarbeitet werden. Dieses Maßnahmenbündel richtet sich ausschließlich an das spezielle Einsatzszenario "Internet-PC". Geeignete IT-Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in anderen Client-Bausteinen der Schicht 3 beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-PC" vorgestellt:

Planung und Konzeption

- M 2.234 (A) Konzeption von Internet-PCs
- M 2.235 (A) Richtlinien für die Nutzung von Internet-PCs
- M 4.41 (Z) Einsatz angemessener Sicherheitsprodukte für IT-Systeme
- M 5.66 (B) Verwendung von SSL
- M 5.91 (Z) Einsatz von Personal Firewalls für Internet-PCs
- M 5.92 (B) Sichere Internet-Anbindung von Internet-PCs

Umsetzung

- M 4.151 (B) Sichere Installation von Internet-PCs
- M 5.59 (C) Schutz vor DNS-Spoofing
- M 5.98 (C) Schutz vor Missbrauch kostenpflichtiger Einwahlnummern

Betrieb

- M 2.313 (A) Sichere Anmeldung bei Internet-Diensten
- M 4.3 (A) Regelmäßiger Einsatz eines Viren-Schutzprogramms
- M 4.152 (B) Sicherer Betrieb von Internet-PCs
- M 5.93 (A) Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs
- M 5.94 (A) Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs
- M 5.95 (B) Sicherer E-Commerce bei der Nutzung von Internet-PCs
- M 5.96 (A) Sichere Nutzung von Webmail

Notfallvorsorge

- M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs