M 2.184 Entwicklung eines RAS-Konzeptes
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Der Aufbau eines RAS-Systems erfordert, dass nach der Durchführung der Anforderungsanalyse (siehe Maßnahme M 2.183 Durchführung einer RAS-Anforderungsanalyse) und vor der technischen Realisierung des Systems ein RAS-Konzept entworfen wird. Das Konzept legt im Wesentlichen fest, welche RAS-Systemarchitektur gewählt werden soll und welche Regeln für den Umgang mit dem RAS-System für alle Betroffenen gelten. Das Konzept kann grob in drei Teilbereiche unterteilt werden:
- Das organisatorische Konzept, durch das alle organisatorischen Belange für das RAS-System erfasst werden. Es ist darauf zu achten, dass das RAS-System in existierende organisatorische Abläufe integriert wird, so dass deren Homogenität und Konsistenz gewahrt bleibt.
- Das technische Konzept, das eine technische Realisierung des RAS-Systems beschreibt. Dieses sollte den Bedarf abdecken, der durch die Anforderungsanalyse festgestellt wurde, und - so weit realisierbar - alle erforderlichen Zugangsszenarien ermöglichen. Bei der technischen Planung sind alle existierenden Rahmenbedingungen aus der aktuellen technischen Situation zu berücksichtigen, um technische Inkompatibilitäten zu vermeiden.
- Das Sicherheitskonzept, das die sicherheitsrelevanten Belange des RAS-Systems umfasst. Da die Sicherheit in der Regel nur durch organisatorische und technische Maßnahmen gemeinsam zu gewährleisten ist, sollte die Konzeption der Sicherheit eine separate Einheit bilden und nicht innerhalb des organisatorischen und des technischen Konzeptes lediglich als Unterabschnitt enthalten sein.
Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt, die im Rahmen der Teilkonzepte beantwortet werden müssen. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen organisatorischen und technischen Gegebenheiten zugeschnittener zusätzlicher Abstimmungsbedarf.
Das organisatorische Konzept sollte folgende Punkte beinhalten bzw. regeln:
- Es sollten die Verantwortlichkeiten für das RAS-System festgelegt werden (Installation, Verwaltung, Überprüfung, Überwachung). Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert werden oder es ist die Schaffung neuer Rollen notwendig (siehe auch Maßnahme M 2.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz).
- Es sollten verbindliche Regelungen darüber festgelegt werden, welchen Benutzern der entfernte Zugang über das RAS-System erlaubt werden soll. Es empfiehlt sich, auch für den RAS-Zugang unterschiedliche Gruppen mit verschiedenen Berechtigungen zu definieren. Die Gruppenzugehörigkeit von einzelnen Benutzern sollte durch ein entsprechendes Anforderungsprofil geregelt werden, das festlegt, welche Voraussetzungen
- für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. Mögliche Voraussetzungen sind die Notwendigkeit (Telearbeiter, Außendienstler), die Länge der Betriebszugehörigkeit und eine Befürwortung durch Vorgesetzte. Ob und wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll, muss jeweils innerhalb der Organisation entschieden werden. Oft existieren schon entsprechende Regelungen, z. B. für die Erlaubnis zur Nutzung von Internetzugängen, die dann adaptiert werden können.
- Die erteilten Zugangs- und Zugriffsberechtigungen sind im Rahmen der RAS-System-Dokumentation zu erfassen und müssen bei Änderungen fortgeschrieben werden.
- Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden, die beschreiben, welchen Ansprüchen (z. B. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss, damit von dort RAS-Verbindungen in das lokale Netz erlaubt werden können. Das Konzept kann weiterhin eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten vorsehen und regeln, wie und durch wen diese erfolgt.
- Die Betriebsorte von RAS-Clients unterliegen in der Regel nicht der Kontrolle des LAN-Betreibers und besitzen daher auch ein besonderes Gefährdungspotential. Kann das Gefährdungspotential für stationäre Clients (beispielsweise bei Telearbeit) durch entsprechende Vorgaben noch eingeschränkt werden, so muss für mobile RAS-Clients in der Regel ein sehr hohes Gefährdungsmaß angenommen werden. Nicht jeder Ort, der die technischen Voraussetzungen zum RAS-Verbindungsaufbau bereitstellt, ist auch dafür geeignet. Daher müssen Regelungen dafür getroffen werden, von welchen entfernten Standorten aus RAS-Verbindungen zum Ziel-LAN aufgebaut werden dürfen. Je nach geplantem Einsatzszenario kann es aber zweckmäßiger sein, eine Negativliste von besonders ungeeigneten Standorten zu führen. Dazu können z. B. Hotel-Foyers, Hotel-Business-Center oder Zug-Abteile gehören.
- Für die RAS-Administration sollten Prozeduren festgelegt werden, wie Änderungen an der RAS-Konfiguration durchzuführen sind. Da Verletzungen der Sicherheit von RAS-Zugängen u. U. die Kompromittierung des gesamten LANs nach sich ziehen können, sollten Änderungen an der RAS-Konfiguration nur durch eine festgelegte Vorgehensweise erfolgen (Beispiel: Beantragung, Überprüfung der geplanten Konfiguration, Durchführung, Überprüfung der durchgeführten Veränderung).
Das technische Konzept sollte folgende Punkte beinhalten bzw. regeln:
- Es sollte beschrieben sein, wie das RAS-System durch Hard- und Software-Komponenten technisch realisiert ist. Die Komponenten werden lediglich durch ihre Funktion definiert. Durch eine nachgeschaltete Analyse vorhandener Systemkomponenten und am Markt beschaffbarer neuer Komponenten können dann die Elemente des Konzeptes tatsächlichen Geräten und Software-Komponenten zugeordnet werden (siehe M 2.186 Geeignete Auswahl eines RAS-Produktes).
- Alle möglichen Zugangspunkte und die darüber verwendeten Zugangsprotokolle sind zu beschreiben.
- Alle Dienste und Protokolle, die über den RAS-Zugang zugelassen werden, sowie die darüber zugreifbaren Ressourcen sind aufzuführen.
- Es ist zu planen, welche Teilnetze über den RAS-Zugang erreichbar sein sollen bzw. müssen (vergleiche auch RAS-Sicherheitskonzept).
Das RAS-Sicherheitskonzept sollte folgende Punkte beinhalten bzw. regeln:
- Für die RAS-Nutzung sollte eine Sicherheitsrichtlinie formuliert werden. Diese RAS-Sicherheitsrichtlinie muss sich an den existierenden übergreifenden Sicherheitsrichtlinien orientieren. In der Regel gilt der Grundsatz, dass beim Zugriff über das RAS-System geringere Berechtigungen gelten und stärkere Überprüfungen stattfinden sollten, als beim lokalen Zugriff.
- Die Art und Weise der Benutzer-Authentisierung sowie die dafür zu verwendenden Mechanismen sollten festlegt werden.
- Alle an der Authentisierung beteiligten Komponenten sollten erfasst und deren Aufgaben und Interaktionen beschrieben werden.
- Alle an der Zugriffskontrolle beteiligten Komponenten sollten erfasst und deren Aufgaben und Interaktionen beschrieben werden. Auf diese Weise kann festgestellt werden, ob z. B. existierende Zugriffskontrollmechanismen so konfiguriert werden können, dass beim entfernten Zugriff automatisch restriktivere Einstellungen gelten.
- Im Rahmen der Sicherheitskonzeption sind alle RAS-Zugangspunkte zum lokalen Netz zu erfassen und es ist zu beschreiben, wie diese Zugangspunkte an das LAN angeschlossen werden (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall) ).
- Das Sicherheitskonzept muss analysieren, aufbauend auf der aktuellen Netzstruktur, welche Teilnetze bei Nutzung eines RAS-Zugangs erreichbar sind. Für Bus-basierte Netze (beispielsweise Ethernet) sind typischerweise alle Rechner des Teilnetzes zugreifbar, in dem der RAS-Zugang angesiedelt ist. Hier sollte überlegt werden, dedizierte Zugangsnetze (Access Network) zu bilden, aus denen nur kontrolliert (über Router, Paketfilter bzw. interne Firewall) in das produktive Netz zugegriffen werden kann. Die Bildung von Zugangsnetzen erfordert dabei die Anschaffung und Wartung zusätzlicher Hard- und Software (siehe auch M 5.77 Bildung von Teilnetzen).
- Für den Fall von Sicherheitsvorfällen sind organisatorische Meldewege zu planen, über die gezielt und schnell auf Sicherheitsvorfälle reagiert werden kann. Im technischen Konzept sollten entsprechend Mechanismen geplant werden, die das Erkennen von Sicherheitsvorfällen erlauben und diese Vorfälle zu dem zuständigen Administrator leiten, der den Anfang des organisatorischen Meldewegs bildet.
- Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines RAS-Clients bestehen, sollte jeder Benutzer, für den der RAS-Zugang erlaubt werden soll, eine besonde-
- re Schulung erhalten. Im Rahmen dieser Schulung sollen die Benutzer einerseits für die Gefahren sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden.
- Falls Authentisierungs-Token zum Einsatz kommen sollen, müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden.
- Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch für Sicherheitsrisiken sensibilisiert werden.
- Den Administratoren muss nicht nur für den Betrieb der RAS-Systeme ausreichend Zeit zur Verfügung stehen, sondern auch für die Informationssuche über aktuelle Sicherheitslücken und die Einarbeitung in neue Komponenten.
- Bestehende Regelungen zur Rollentrennung (z. B. Administrator und Revisor) sollten auf die Verwaltung des RAS-Systems übertragen werden.
- Schließlich müssen die Anforderungen an die Verfügbarkeit der RAS-Systeme festgelegt werden. Falls erforderlich sind außerdem Ausweichlösungen vorzusehen, die beim Ausfall eines RAS-Systems ersatzweise verwendet werden können.
Aus der RAS-Anforderungsanalyse und -Konzeption ergeben sich naturgemäß konkrete Anforderungen an die Hard- und Software-Komponenten, die eingesetzt werden sollen. Diese sollten für eine Beschaffung verfeinert und konkretisiert werden, wie in Maßnahme M 2.186 Geeignete Auswahl eines RAS-Produktes beschrieben.
Ergänzende Kontrollfragen:
- Existiert ein Sicherheitskonzept für die RAS-Nutzung?
- Existieren Sicherheitsrichtlinien für die RAS-Nutzung, an denen sich die Benutzer orientieren können?
- Ist ein Berechtigungskonzept für entfernte Zugriffe vorhanden?
- Werden die Maßnahmen des RAS-Sicherheitskonzepts regelmäßig auf deren korrekte Umsetzung geprüft?