Bundesamt für Sicherheit in der Informationstechnik

B 3.208 Internet-PC

Logo Internet-PC

Beschreibung

Die Nutzung des Internets zur Informationsbeschaffung und Kommunikation ist in weiten Bereichen der öffentlichen Verwaltung und Privatwirtschaft zur Selbstverständlichkeit geworden. Auch E-Commerce- und E-Government-Anwendungen gewinnen immer mehr an Bedeutung. Größtmöglichen Komfort bietet es dabei, den Mitarbeitern einer Institution einen Internet-Zugang direkt über den Arbeitsplatz-PC zur Verfügung zu stellen. Dieser ist jedoch meist in ein lokales Netz ( LAN ) eingebunden, so dass dadurch unter Umständen zusätzliche Bedrohungen für die Institution entstehen.

Um diese Probleme zu umgehen oder aus anderen anwendungsspezifischen Gründen stellen viele Behörden und Unternehmen eigenständige "Internet-PCs" zur Verfügung. Ein Internet-PC ist ein Computer, der über eine Internet-Anbindung verfügt, jedoch nicht mit dem internen Netz der Institution verbunden ist. Falls es sich um mehrere Internet-PCs handelt, können diese Computer auch untereinander vernetzt sein, beispielsweise um eine gemeinsame Internet-Anbindung zu nutzen. Internet-PCs dienen meist dazu, Mitarbeitern die Nutzung von Internet-Diensten zu ermöglichen und dabei zusätzliche Bedrohungen für das lokale Netz zu vermeiden.

Betrachtet wird ein Internet-PC auf der Basis eines Windows-Betriebssystems oder Linux. Für die Nutzung der Internet-Dienste kommen gängige Browser, wie z. B. Internet Explorer, Firefox oder Chrome, sowie E-Mail-Clients, wie z. B. Microsoft Outlook, Outlook Express, Thunderbird oder KMail, zum Einsatz. Je nach Einsatzszenario können weitere Programme für die Nutzung anderer Internet-Dienste, beispielsweise News, Instant Messaging oder Internet-Banking, installiert sein.

Gefährdungslage

Für den IT-Grundschutz eines Internet-PCs werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen

G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.21 Trojanische Pferde
G 5.23 Schadprogramme
G 5.43 Makro-Viren
G 5.48 IP-Spoofing
G 5.78 DNS-Spoofing
G 5.87 Web-Spoofing
G 5.88 Missbrauch aktiver Inhalte
G 5.103 Missbrauch von Webmail
G 5.143 Man-in-the-Middle-Angriff

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ist geplant, in einem Unternehmen bzw. in einer Behörde einen oder mehrere Internet-PCs zur Verfügung zu stellen, sollten im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:

  • Konzeption von Internet-PCs (siehe M 2.234 Konzeption von Internet-PCs )
    Zu Anfang müssen grundsätzliche Fragen des Einsatzes festgelegt werden, beispielsweise welche Internet-Dienste genutzt werden sollen und wer für die Administration des Internet-PCs zuständig ist.
  • Richtlinien für die Nutzung von Internet-PCs (siehe M 2.235 Richtlinien für die Nutzung von Internet-PCs )
    Für die sichere Nutzung eines Internet-PCs müssen verbindliche Richtlinien festgelegt werden. Dies umfasst beispielsweise, wer den Internet-PC wann und wofür nutzen darf und ggf. wie Daten zwischen dem Internet-PC und dem Hausnetz transportiert werden.
  • Sichere Installation von Internet-PCs (siehe M 4.151 Sichere Installation von Internet-PCs )
    Durch die Verbindung zum Internet ergeben sich für die auf dem Internet-PC installierten Anwendungen und für die gespeicherten Daten zusätzliche Gefährdungen. Eine sorgfältige Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere Installation ist daher besonders wichtig.
  • Sichere Konfiguration der installierten Komponenten
    Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten unterschiedlich konfiguriert werden. Dies betrifft insbesondere den verwendeten Browser (siehe M 5.93 Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs ), den E-Mail-Client (siehe M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs ) und ggf. spezielle E-Business-Software.
  • Sicherer Betrieb von Internet-PCs (siehe M 4.152 Sicherer Betrieb von Internet-PCs )
    Eine der wichtigsten Sicherheitsmaßnahmen beim Betrieb eines Internet-PCs ist das systematische und schnellstmögliche Einspielen sicherheitsrelevanter Patches und Updates. Neben dem Betriebssystem und dem Schutz vor Schadprogrammen sind auch Browser und E-Mail-Programm aktuell zu halten. Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können, sollten kritische Systemereignisse außerdem protokolliert werden.
  • Datensicherung beim Einsatz von Internet-PCs (siehe M 6.79 Datensicherung beim Einsatz von Internet-PCs )

Die Vorgehensweise und der erforderliche Umfang der Datensicherung richtet sich nach dem Einsatzszenario des Internet-PC.

Der vorliegende Baustein gibt Empfehlungen zur Konzeption, Konfiguration und Betrieb eines solchen Internet-PCs. Wichtig ist dabei, dass die hier aufgeführten Maßnahmen nicht ausreichend sind für einen Standard-Arbeitsplatz-PC, auf dem in der Regel mehrere unterschiedliche Anwendungen betrieben und mit dem schützenswerte Daten verarbeitet werden. Dieses Maßnahmenbündel richtet sich ausschließlich an das spezielle Einsatzszenario "Internet-PC". Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in anderen Client-Bausteinen der Schicht 3 beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-PC" vorgestellt.

Planung und Konzeption

M 2.234 (A) Konzeption von Internet-PCs
M 2.235 (A) Richtlinien für die Nutzung von Internet-PCs
M 4.41 (Z) Einsatz angemessener Sicherheitsprodukte für IT-Systeme
M 5.66 (B) Clientseitige Verwendung von SSL/TLS
M 5.92 (B) Sichere Internet-Anbindung von Internet-PCs

Umsetzung

M 4.151 (B) Sichere Installation von Internet-PCs
M 5.91 (A) Einsatz von Personal Firewalls für Clients
M 5.98 (C) Schutz vor Missbrauch kostenpflichtiger Einwahlnummern

Betrieb

M 2.313 (A) Sichere Anmeldung bei Internet-Diensten
M 4.3 (A) Einsatz von Viren-Schutzprogrammen
M 4.152 (B) Sicherer Betrieb von Internet-PCs
M 5.59 (A) Schutz vor DNS-Spoofing bei Authentisierungsmechanismen
M 5.93 (A) Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs
M 5.94 (A) Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs
M 5.95 (B) Sicherer E-Commerce bei der Nutzung von Internet-PCs
M 5.96 (A) Sichere Nutzung von Webmail

Notfallvorsorge

M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK