Navigation und Service


BSI-Standards zur Internet-Sicherheit (ISi-Reihe)

Ziel des BSI-Standards zur Internet-Sicherheit (ISi-Reihe) ist es, Behörden und Unternehmen umfassende Informationen zur Verfügung zu stellen, damit diese ihre Internet-Aktivitäten möglichst eigenständig sicher neu aufbauen, erweitern oder anpassen können.

BSI-Standards zur Internet-Sicherheit (ISi-Reihe)

Als Einführung und Wegweiser durch die ISi-Reihe dient die Studie ISi-E "Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise". In dieser Studie wird eine umfassende Einführung in Zielsetzung, Aufbau und Anwendung der ISi-Reihe gegeben. Durch einen detaillierten Ablaufplan wird die Anwendung der ISi-Reihe in allen Projekt-Phasen der Internet-Anbindung konkret erläutert.

Umfang und Aufbau

Die ISi-Reihe besteht aus mehreren Modulen. In jedem ISi-Modul (je Fachthema gibt es ein zugehöriges Modul) wird eine Grundarchitektur vorgestellt, die einen wirksamen Schutz gegen Gefährdungen aus dem Internet bietet. Zahlreiche Varianten erlauben es, die Grundarchitektur an individuelle Bedürfnisse (z. B. unterschiedliche Unternehmensgrößen) anzupassen. Darüber hinaus gibt es Empfehlungen für den hohen Schutzbedarf.

Die Module sind wie folgt gegliedert:

  • Studie ISi-S für IT-Fachleute (IT-Experten, IT-Sicherheitsbeauftragte, IT-Berater),
  • Leitlinie ISi-L für IT-Führungskräfte (CIO, IT-Leiter, IT-Direktoren), die die wesentlichen Punkte der Studie in kurzer, leicht verständlicher Form aufgreift und
  • Checklisten ISi-Check (generisch oder produktbezogen) als Hilfestellung zur Auswahl, Konfiguration und Betrieb von Komponenten für Administratoren, Programmierer, und Web-Entwickler.

Themenbereiche

Die Module der ISi-Reihe sind thematisch geordnet:

Aufbau des Netzes
Internet-anbindungSichere Anbindung von lokalen Netzen an das Internet
(ISi-LANA)
Wird ein lokales Netz (LAN) an ein nicht vertrauenswürdiges Netz (z. B. Internet) angeschlossen, so setzt sich der Betreiber des LANs erheblichen zusätzlichen Gefährdungen aus. Die Studie ISi-LANA gibt Empfehlungen, wie diesen Gefahren bei normalem Schutzbedarf durch eine robuste Grundarchitektur, eine geeignete Geräteauswahl, sichere Konfigurationseinstellungen und einen kontrollierten Betrieb zu begegnen ist.
WLANSicheres Wireless LAN
(ISi-WLAN)
Wireless LANs (WLAN) sind inzwischen weit verbreitet und werden meist dort eingesetzt, wo kabelgebundene Netzwerke (LAN) zu teuer, zu umständlich oder zu unkomfortabel sind. Aufgrund der Vielzahl an Bedrohungen (z. B. Abhören der Kommunikation, Anfälligkeit für Störungen) werden in der Richtlinie zu WLAN Maßnahmen beschrieben, um diesen Bedrohungen zu begegnen.
Komponenten im Netz
ClientAbsicherung eines PC-Clients
(ISi-Client)
Der Arbeitsplatz-PC (APC) ist die technische Basis für die Nutzung von IT-gestützten Arbeitsabläufen. Aufgrund der Abhängigkeit von einer funktionierenden IT-Landschaft ist es von größter Bedeutung, die Arbeitsplatzrechner als Schnittstelle zwischen Benutzern und IT-Infrastruktur vor Angriffen zu schützen, ohne dabei die Arbeitsfähigkeit der Anwender mit dem Arbeitsplatz-PC maßgeblich einzuschränken. Basis für die Empfehlungen der Studie ISi-Client ist ein Minimalsystem, in dem auf nicht benötigte Hard- und Software-Komponenten verzichtet wird. Dieses Minimalsystem bildet zusammen mit einigen zusätzliche Schutzkomponenten die Grundarchitektur für einen sicheren APC.
ServerAbsicherung eines Servers
(ISi-Server) (geplant)
Dienste und Anwendungen im Internet
E-MailSichere Nutzung von E-Mail
(ISi-Mail-Client)

Die Nutzung von E-Mail wird auf verschiedene Weise gefährdet. So werden E-Mails zum Verbreiten von Schadprogrammen wie Viren, Würmer und Trojanische Pferde genutzt. Unerwünschte E-Mails (Spam) sind sowohl eine Belästigung für den Nutzer als auch eine Bedrohung für die Verfügbarkeit des E-Mail-Dienstes.

Die Studie (ISi-S) zum E-Mail-Client beschreibt, wie bestehenden Gefährdungen bei normalem Schutzbedarf mit geeigneten Maßnahmen begegnet werden kann.

Sicherer Betrieb von E-Mail-Servern
(ISi-Mail-Server)
Das Modul ISi-Mail-Server stellt eine sichere Grundarchitektur für den normalen Schutzbedarf vor, mit der alle relevanten Gegenmaßnahmen abgedeckt sind. Um diese Architektur flexibel an die Größe der Infrastruktur und individuellen Schutzanforderungen anpassen zu können, stellt die Studie zusätzlich erweiterte oder alternative Maßnahmen vor. Auch einem erhöhten Schutzbedarf kann so Rechnung getragen werden.
WebSichere Nutzung von Webangeboten
(ISi-Web-Client)

Die Nutzung von Web-Angeboten selbst bringt zahlreiche Gefährdungen mit sich, die spezielle Sicherheitsmaßnahmen erforderlich machen. Über das Web kann es einem Angreifer gelingen, in Systeme einzudringen ("Hacking"), die Benutzer zu täuschen, zu betrügen oder Informationen zu stehlen.

Die Studie ISi-Web-Client gibt Empfehlungen, wie diesen Gefährdungen bei normalem Schutzbedarf zu begegnen ist.

Sicheres Bereitstellen von Webangeboten
(ISi-Web-Server)

Viele Wirtschaftsunternehmen und Behörden stellen heute Web-Angebote im Internet zur Verfügung und öffnen ihre Dienstleistungen einer großen Zahl von Benutzern. Gleichzeitig können aber auch Angreifer Schwachstellen der Web-Angebote ausnutzen, um unberechtigterweise Daten auszulesen, zu verändern oder den Betrieb der Dienste zu stören.

Die Studie "Sicheres Bereitstellen von Web-Angeboten" behandelt ausführlich die besonderen Gefährdungen, die bei dem Bereitstellen von Web-Angeboten beachtet werden müssen, und stellt entsprechende Gegenmaßnahmen vor.

VoIPSichere Internet-Telefonie
(ISi-VoIP)

Neben dem Surfen im Web und dem Versenden von E-Mails stellt das Telefonieren über das Internet eine der nächsten großen Anwendung in den Datennetzen dar. Das Zusammenlegen von Telefon- und Datennetzen verspricht auf den ersten Blick große Einsparungen in Anschaffung und Betrieb. In diesem Szenario gibt es neben den aus der herkömmlichen Telefonie bekannten Gefährdungen, zahlreiche neue Risiken, z. B. das Abhören von Gesprächen, das Auslesen von Adressbuchdaten, das Stören oder Verhindern von Telefongesprächen oder Gebührenbetrug.

In der Leitlinie "IP-Telefonie (Voice over IP)" wird ein Überblick über die IP-Telefonie, die wesentlichen Gefährdungen, die grundlegenden Architekturelemente und die entsprechenden Empfehlungen gegeben.

FernzugriffSicherer Fernzugriff auf lokale Netze
(ISi-Fern)
In Verwaltung, Wirtschaft und anderen Bereichen wächst die Notwendigkeit, auf Daten und Anwendungen einer Institution unabhängig vom Standort dieser Institution zuzugreifen. Mit dem Gewinn an Flexibilität sind Risiken verbunden, die vor allen Dingen die Möglichkeit der Spionage und des Verlusts von Daten sowie der Sabotage der -Systeme der Institution betreffen. Die Studie (ISi-S) zum Fernzugriff beschreibt, wie gegen diese Risiken bei normalem Schutzbedarf mit geeigneten Maßnahmen begegnet werden kann.
Verfahren zur Absicherung des Datentransports
VPNVirtual Private Network
(ISi-VPN)

VPNs werden u.a. benutzt um Außendienstmitarbeiter einen verschlüsselten Zugriff auf Daten im internen Netz zu gewähren oder um zwei Standorte sicher miteinander zu verbinden. Bei der Nutzung eines VPN muss notwendigerweise ein Kommunikationskanal in das interne Netz geöffnet werden, der ggf. von einem Angreifer missbraucht werden kann und den es gut zu schützen gilt.

In der vorliegenden Leitlinie "Virtuelles Privates Netz (ISi-VPN)" wird ein Überblick über VPNs, die wesentlichen Gefährdungen und die entsprechenden Empfehlungen gegeben.


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved