Bundesamt für Sicherheit in der Informationstechnik

B 3.208 Internet-PC

Logo Internet-PC

Beschreibung

Die Nutzung des Internets zur Informationsbeschaffung und Kommunikation ist in weiten Bereichen der öffentlichen Verwaltung und Privatwirtschaft zur Selbstverständlichkeit geworden. Auch E-Commerce- und E-Government-Anwendungen gewinnen immer mehr an Bedeutung. Größtmöglichen Komfort bietet es dabei, den Mitarbeitern einer Institution einen Internet-Zugang direkt über den Arbeitsplatz-PC zur Verfügung zu stellen. Dieser ist jedoch meist in ein lokales Netz ( LAN ) eingebunden, so dass dadurch unter Umständen zusätzliche Bedrohungen für die Institution entstehen.

Um diese Probleme zu umgehen oder aus anderen anwendungsspezifischen Gründen stellen viele Behörden und Unternehmen eigenständige "Internet-PCs" zur Verfügung. Ein Internet-PC ist ein Computer, der über eine Internet-Anbindung verfügt, jedoch nicht mit dem internen Netz der Institution verbunden ist. Falls es sich um mehrere Internet-PCs handelt, können diese Computer auch untereinander vernetzt sein, beispielsweise um eine gemeinsame Internet-Anbindung zu nutzen. Internet-PCs dienen meist dazu, Mitarbeitern die Nutzung von Internet-Diensten zu ermöglichen und dabei zusätzliche Bedrohungen für das lokale Netz zu vermeiden.

Betrachtet wird ein Internet-PC auf der Basis eines Windows-Betriebssystems oder Linux. Für die Nutzung der Internet-Dienste kommen gängige Browser, wie z. B. Internet Explorer, Firefox oder Chrome, sowie E-Mail-Clients, wie z. B. Microsoft Outlook, Outlook Express, Thunderbird oder KMail, zum Einsatz. Je nach Einsatzszenario können weitere Programme für die Nutzung anderer Internet-Dienste, beispielsweise News, Instant Messaging oder Internet-Banking, installiert sein.

Gefährdungslage

Für den IT-Grundschutz eines Internet-PCs werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen

G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.21 Trojanische Pferde
G 5.23 Schadprogramme
G 5.43 Makro-Viren
G 5.48 IP-Spoofing
G 5.78 DNS-Spoofing
G 5.87 Web-Spoofing
G 5.88 Missbrauch aktiver Inhalte
G 5.103 Missbrauch von Webmail
G 5.143 Man-in-the-Middle-Angriff

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ist geplant, in einem Unternehmen bzw. in einer Behörde einen oder mehrere Internet-PCs zur Verfügung zu stellen, sollten im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:

  • Konzeption von Internet-PCs (siehe M 2.234 Konzeption von Internet-PCs )
    Zu Anfang müssen grundsätzliche Fragen des Einsatzes festgelegt werden, beispielsweise welche Internet-Dienste genutzt werden sollen und wer für die Administration des Internet-PCs zuständig ist.
  • Richtlinien für die Nutzung von Internet-PCs (siehe M 2.235 Richtlinien für die Nutzung von Internet-PCs )
    Für die sichere Nutzung eines Internet-PCs müssen verbindliche Richtlinien festgelegt werden. Dies umfasst beispielsweise, wer den Internet-PC wann und wofür nutzen darf und ggf. wie Daten zwischen dem Internet-PC und dem Hausnetz transportiert werden.
  • Sichere Installation von Internet-PCs (siehe M 4.151 Sichere Installation von Internet-PCs )
    Durch die Verbindung zum Internet ergeben sich für die auf dem Internet-PC installierten Anwendungen und für die gespeicherten Daten zusätzliche Gefährdungen. Eine sorgfältige Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere Installation ist daher besonders wichtig.
  • Sichere Konfiguration der installierten Komponenten
    Je nach Sicherheitsanforderungen müssen die beteiligten Software-Komponenten unterschiedlich konfiguriert werden. Dies betrifft insbesondere den verwendeten Browser (siehe M 5.93 Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs ), den E-Mail-Client (siehe M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs ) und ggf. spezielle E-Business-Software.
  • Sicherer Betrieb von Internet-PCs (siehe M 4.152 Sicherer Betrieb von Internet-PCs )
    Eine der wichtigsten Sicherheitsmaßnahmen beim Betrieb eines Internet-PCs ist das systematische und schnellstmögliche Einspielen sicherheitsrelevanter Patches und Updates. Neben dem Betriebssystem und dem Schutz vor Schadprogrammen sind auch Browser und E-Mail-Programm aktuell zu halten. Um Angriffsversuche und missbräuchliche Nutzung erkennen zu können, sollten kritische Systemereignisse außerdem protokolliert werden.
  • Datensicherung beim Einsatz von Internet-PCs (siehe M 6.79 Datensicherung beim Einsatz von Internet-PCs )

Die Vorgehensweise und der erforderliche Umfang der Datensicherung richtet sich nach dem Einsatzszenario des Internet-PC.

Der vorliegende Baustein gibt Empfehlungen zur Konzeption, Konfiguration und Betrieb eines solchen Internet-PCs. Wichtig ist dabei, dass die hier aufgeführten Maßnahmen nicht ausreichend sind für einen Standard-Arbeitsplatz-PC, auf dem in der Regel mehrere unterschiedliche Anwendungen betrieben und mit dem schützenswerte Daten verarbeitet werden. Dieses Maßnahmenbündel richtet sich ausschließlich an das spezielle Einsatzszenario "Internet-PC". Geeignete Sicherheitsempfehlungen für Standard-Arbeitsplatz-PCs sind in anderen Client-Bausteinen der Schicht 3 beschrieben.

Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-PC" vorgestellt.

Planung und Konzeption

M 2.234 (A) Konzeption von Internet-PCs
M 2.235 (A) Richtlinien für die Nutzung von Internet-PCs
M 4.41 (Z) Einsatz angemessener Sicherheitsprodukte für IT-Systeme
M 5.66 (B) Clientseitige Verwendung von SSL/TLS
M 5.92 (B) Sichere Internet-Anbindung von Internet-PCs

Umsetzung

M 4.151 (B) Sichere Installation von Internet-PCs
M 5.91 (A) Einsatz von Personal Firewalls für Clients
M 5.98 (C) Schutz vor Missbrauch kostenpflichtiger Einwahlnummern

Betrieb

M 2.313 (A) Sichere Anmeldung bei Internet-Diensten
M 4.3 (A) Einsatz von Viren-Schutzprogrammen
M 4.152 (B) Sicherer Betrieb von Internet-PCs
M 5.59 (A) Schutz vor DNS-Spoofing bei Authentisierungsmechanismen
M 5.93 (A) Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs
M 5.94 (A) Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs
M 5.95 (B) Sicherer E-Commerce bei der Nutzung von Internet-PCs
M 5.96 (A) Sichere Nutzung von Webmail

Notfallvorsorge

M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs

Stand: 14. EL Stand 2014