Bundesamt für Sicherheit in der Informationstechnik

B 3.203 Laptop

Logo Laptop

Beschreibung

Unter einem Laptop oder Notebook wird ein PC verstanden, der aufgrund seiner Bauart transportfreundlich ist und mobil genutzt werden kann. Ein Laptop hat eine kompaktere Bauform als Arbeitsplatzrechner und kann über Akkus zeitweise unabhängig von externer Stromversorgung betrieben werden. Er verfügt über eine Festplatte und meist auch über weitere Speichergeräte wie ein Disketten-, CD-ROM - oder DVD -Laufwerke sowie über Schnittstellen zur Kommunikation über verschiedene Medien (beispielsweise Modem, ISDN , LAN, USB, Firewire, WLAN). Laptops können mit allen üblichen Betriebssystemen wie Windows oder Linux betrieben werden. Daher ist zusätzlich der betriebssystemspezifische Client-Baustein zu betrachten.

Typischerweise wird ein Laptop zeitweise allein, ohne Anschluss an ein Rechnernetz betrieben, und von Zeit zu Zeit wird er zum Abgleich der Daten sowie zur Datensicherung mit dem Behörden- oder Unternehmensnetz verbunden. Häufig wird er auch während der mobilen Nutzung über Modem direkt mit externen Netzen, insbesondere mit dem Internet, verbunden, so dass er indirekt als Brücke zwischen dem LAN und dem Internet wirken kann.

Die Einrichtungen zur Datenfernübertragung (über Modem, ISDN-Karte, etc.) werden hier nicht behandelt (siehe Baustein B 4.3). Für den Laptop wird vorausgesetzt, dass er innerhalb eines bestimmten Zeitraums nur von einem Benutzer gebraucht wird. Ein anschließender Benutzerwechsel wird berücksichtigt.

Gefährdungslage

Für den IT-Grundschutz eines Laptops werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen
G 1.15 Beeinträchtigung durch wechselnde Einsatzumgebung

Organisatorische Mängel

G 2.7 Unerlaubte Ausübung von Rechten
G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs

Menschliche Fehlhandlungen

G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.38 Konfigurations- und Bedienungsfehler
G 3.76 Fehler bei der Synchronisation mobiler Endgeräte

Technisches Versagen

G 4.9 Ausfall der internen Stromversorgung
G 4.13 Verlust gespeicherter Daten
G 4.22 Software-Schwachstellen oder -Fehler
G 4.52 Datenverlust bei mobilem Einsatz

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.4 Diebstahl
G 5.9 Unberechtigte IT-Nutzung
G 5.18 Systematisches Ausprobieren von Passwörtern
G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
G 5.23 Schadprogramme
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.124 Missbrauch der Informationen von mobilen Endgeräten
G 5.125 Datendiebstahl mithilfe mobiler Endgeräte
G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgeräten

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des Einsatzes von Laptops sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

  • Richtlinien für die Nutzung von Laptops
    Um Laptops sicher und effektiv in Behörden oder Unternehmen einsetzen zu können, sollte ein Konzept erstellt werden, das auf den Sicherheitsanforderungen für die bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien beruht (siehe M 2.36 Geregelte Übergabe und Rücknahme eines tragbaren PC sowie Baustein B 3.201 Allgemeiner Client ).
    Darauf aufbauend ist die Laptop-Nutzung zu regeln und Sicherheitsrichtlinien dafür zu erarbeiten (siehe M 2.309 Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung ). Dies umfasst beispielsweise, wer das System wann und wofür nutzen darf und ob und in welcher Weise ein Anschluss an das Unternehmens- bzw. Behördennetz gestattet wird. Ebenso ist zu regeln, ob und in welcher Form bei mobiler Nutzung eine direkte Verbindung des Laptops mit dem Internet zulässig ist.
  • Beschaffung von Laptops
    Für die Beschaffung von Laptops müssen die aus dem Konzept resultierenden Anforderungen an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getroffen werden (siehe M 2.310 Geeignete Auswahl von Laptops ).
  • Sichere Installation von Laptops
    Eine sorgfältige Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere Installation ist notwendig, um Risiken durch Fehlbedienung oder absichtlichen Missbrauch der Laptops auszuschließen. Die hier zu treffenden Maßnahmen sind in hohem Grade abhängig von dem eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine, beispielsweise B 3.204 Client unter Unix oder B 3.209 Client unter Windows XP , zu realisieren.
    Dabei ist die Maßnahme M 4.29 Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme von besonderer Bedeutung, da bei Laptops ein relativ hohes Diebstahlsrisiko besteht und die normalen Funktionen der Zugangs- und Zugriffskontrolle ihre Wirksamkeit verlieren, wenn der Laptop unter der Kontrolle des Diebes steht.
  • Sichere Konfiguration der installierten Komponenten
    Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten unterschiedlich konfiguriert werden. Die hier zu treffenden Maßnahmen sind ebenfalls abhängig vom eingesetzten Betriebssystem und sind daher im Rahmen der Umsetzung der entsprechenden Bausteine zu realisieren. Auch hier sind zusätzliche Maßnahmen erforderlich, wenn eine Trennung der Rechte mehrerer Benutzer erforderlich ist. Zu beachten ist auch die Maßnahme M 4.7 Änderung voreingestellter Passwörter , weil nur zu häufig jede Zugangskontrolle dadurch illusorisch ist, dass die verwendeten Passwörter allgemein bekannt sind.
  • Sicherer Betrieb von Laptops
    Eine der wichtigsten Sicherheitsmaßnahmen beim Betrieb heutiger Laptops ist die Installation und permanente Aktualisierung eines Virenschutzprogramms. Laptops werden häufig über längere Zeit losgelöst vom Firmen- oder Behördennetz oder auch mit temporären Verbindungen zum Internet betrieben. Somit sind unter Umständen einerseits ihre Virendefinitionsdateien veraltet und sie sind andererseits einem hohen Infektionsrisiko ausgesetzt. Die im Baustein B 1.6 Schutz vor Schadprogrammen vorgesehenen Maßnahmen, vor allem die Maßnahme M 2.159 Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen sind daher für Laptops ganz besonders wichtig. Diese Geräte können sonst bei Anschluss an ein Firmen- oder Behördennetz Infektionsquellen ersten Grades darstellen.
    Sofern Laptops bei mobiler Nutzung direkt an das Internet angeschlossen werden, ist es unabdingbar, sie durch eine restriktiv konfigurierte Personal Firewall gegen Angriffe aus dem Netz zu schützen. Der Virenschutz reicht alleine nicht aus, um alle zu erwartenden Angriffe abzuwehren. Ebenso ist es unbedingt erforderlich, die Software des Laptops auf aktuellem Stand zu halten und notwendige Sicherheitspatches zeitnah einzuspielen. Soll ein Laptop, der direkt am Internet betrieben wurde, wieder an das Unternehmens- bzw. Behördennetz angeschlossen werden, so ist zunächst durch eine gründliche Überprüfung mit aktuellen Virensignaturen sicherzustellen, dass dieser Laptop nicht infiziert ist. Erst wenn dies sichergestellt ist, darf der Anschluss an das lokale Netz erfolgen. Dies gilt auch für den Fall, dass der Anschluss an das Unternehmens- bzw. Behördennetz über ein Virtual Private Network (VPN) erfolgt, da Viren auch über verschlüsselte Kommunikationsverbindungen weiter verbreitet werden können.
    Bei einem Wechsel zwischen netzgebundenem und mobilem Betrieb müssen die Datenbestände zwischen dem Server und dem Laptop synchronisiert werden. Es muss dabei gewährleistet werden, dass jederzeit erkennbar ist, ob sich die aktuellste Version der bearbeiteten Daten auf dem Laptop oder im Netz befindet (siehe M 4.235 Abgleich der Datenbestände von Laptops ).
    Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können, sind bei Laptops vor allem organisatorische Maßnahmen notwendig. Die notwendigen Maßnahmen werden im Rahmen der Umsetzung des Bausteins B 1.9 Hard- und Software-Management realisiert und brauchen daher hier nicht weiter betrachtet zu werden. Um einen Überblick über die aktuell in das lokale Netz eingebundenen Laptops zu behalten und die Konfiguration aller Laptops jederzeit nachvollziehen zu können, ist eine zentrale Verwaltung dieser Geräte wichtig (siehe M 4.236 Zentrale Administration von Laptops ).
    Weitere spezifische Maßnahmen für Einzelsysteme sind vor allem M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern und M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen .
    Je nach der in einem Gebäude oder Büroraum gegebenen physischen Sicherheit kann es auch sinnvoll oder sogar notwendig sein, die Maßnahme M 1.46 Einsatz von Diebstahl-Sicherungen umzusetzen. Bei mobiler Nutzung ist in jedem Fall die Maßnahme M 1.33 Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz anzuwenden, um den Laptop vor Diebstahl zu schützen.
  • Aussonderung
    Bei Übergabe von Laptops an andere Benutzer, sei es im Rahmen des normalen Betriebs oder auch bei ihrer Aussonderung, ist darauf zu achten, dass keine schützenswerten Informationen mehr auf der Festplatte vorhanden sind. Hier sind vor allem die Maßnahmen M 2.36 Geregelte Übergabe und Rücknahme eines tragbaren PC sowie gegebenenfalls auch M 4.28 Software-Reinstallation bei Benutzerwechsel eines Laptops zu beachten.
  • Datensicherung von Laptops
    Die Vorgehensweise und der erforderliche Umfang der Datensicherung richten sich nach dem Einsatzszenario des Laptops (siehe Maßnahme M 6.71 Datensicherung bei mobiler Nutzung des IT-Systems ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Laptop" vorgestellt.

Planung und Konzeption

M 2.36 (B) Geregelte Übergabe und Rücknahme eines tragbaren PC
M 2.218 (C) Regelung der Mitnahme von Datenträgern und IT-Komponenten
M 2.309 (A) Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung
M 4.29 (Z) Einsatz eines Verschlüsselungsproduktes für tragbare IT-Systeme

Beschaffung

M 2.310 (Z) Geeignete Auswahl von Laptops

Umsetzung

M 5.91 (A) Einsatz von Personal Firewalls für Clients
M 5.121 (B) Sichere Kommunikation von unterwegs
M 5.122 (A) Sicherer Anschluss von Laptops an lokale Netze

Betrieb

M 1.33 (A) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
M 1.34 (A) Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz
M 1.35 (Z) Sammelaufbewahrung tragbarer IT-Systeme
M 1.46 (Z) Einsatz von Diebstahl-Sicherungen
M 4.3 (A) Einsatz von Viren-Schutzprogrammen
M 4.27 (A) Zugriffsschutz am Laptop
M 4.28 (Z) Software-Reinstallation bei Benutzerwechsel eines Laptops
M 4.31 (A) Sicherstellung der Energieversorgung im mobilen Einsatz
M 4.235 (B) Abgleich der Datenbestände von Laptops
M 4.236 (Z) Zentrale Administration von Laptops
M 4.255 (A) Nutzung von IrDA-Schnittstellen

Aussonderung

M 2.306 (A) Verlustmeldung

Notfallvorsorge

M 6.71 (A) Datensicherung bei mobiler Nutzung des IT-Systems

Stand: 11. EL Stand 2009