Bundesamt für Sicherheit in der Informationstechnik

B 5.3 Groupware

Logo Groupware

Beschreibung

Als Groupware werden Anwendungen bezeichnet, die dabei helfen, die in Arbeitsgruppen anfallenden Abläufe und Geschäftsprozesse über IT-Systeme zu unterstützen und zu organisieren. Im Fokus von Groupware liegt die Unterstützung von Arbeitsgruppen bei der Zusammenarbeit, bei der Terminabstimmung, -Koordination sowie bei der täglichen Kommunikation. Unter dem Begriff Groupware-System werden der Groupware-Anwendungsserver, die zugehörigen Groupware-Clients und die erforderlichen Groupware-Dienste zusammengefasst.

Groupware ist unter anderem dazu gedacht, in Institutionen den internen und externen Austausch von Nachrichten, wie z. B. E-Mails, zu ermöglichen, Nachrichten können daher mit Groupware verwaltet, zugestellt, gefiltert und versendet werden. Ebenso werden typische Kommunikationsanwendungen wie Newsgroups, Kalender und Aufgabenlisten sowie Unified Messaging angeboten und von Groupware-Systemen verwaltet.

Der Funktionsumfang von Groupware-Systemen ist sehr unterschiedlich, eine der Grundfunktionen ist im Allgemeinen E-Mail, so dass in diesem Baustein auch allgemeine Sicherheitsanforderungen an E-Mail-Systeme mitbehandelt werden.

Software für Groupware-Systeme wird von vielen Herstellern angeboten. Beispiele hierfür sind Microsoft Exchange und Outlook (siehe B 5.12 Microsoft Exchange/Outlook ) und Lotus Notes (B 5.5 Lotus Notes / Domino ). Daneben gibt es auch zahlreiche andere Groupware-Systeme oder -Komponenten, die auf frei verfügbaren Quellen basieren.

Dieser Baustein betrachtet allgemeine Sicherheitsaspekte von Groupware-Systemen unabhängig vom eingesetzten Produkt. Dazu gehören auch allgemeine Sicherheitsaspekte eines E-Mail-Systems, Verschlüsselung und Digitale Signatur, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles mehr. Für produktspezifische Sicherheitsaspekte existieren in den IT-Grundschutz-Katalogen weitere Bausteine, die zusätzlich auf das jeweilige Groupware-System anzuwenden sind.

Gefährdungslage

Für den IT-Grundschutz im Rahmen eines Groupware-Systems werden folgende typische Gefährdungen angenommen:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.54 Vertraulichkeitsverlust durch Restinformationen
G 2.55 Ungeordnete Groupware-Nutzung

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.13 Weitergabe falscher oder interner Informationen

Technisches Versagen

G 4.20 Überlastung von Informationssystemen
G 4.32 Nichtzustellung einer Nachricht
G 4.37 Mangelnde Verlässlichkeit von Groupware

Vorsätzliche Handlungen

G 5.9 Unberechtigte IT-Nutzung
G 5.23 Schadprogramme
G 5.24 Wiedereinspielen von Nachrichten
G 5.25 Maskerade
G 5.26 Analyse des Nachrichtenflusses
G 5.27 Nichtanerkennung einer Nachricht
G 5.28 Verhinderung von Diensten
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.72 Missbräuchliche Groupware-Nutzung
G 5.73 Vortäuschen eines falschen Absenders
G 5.75 Überlastung durch eingehende E-Mails
G 5.77 Mitlesen von E-Mails
G 5.110 Web-Bugs
G 5.111 Missbrauch aktiver Inhalte in E-Mails

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Sicherheitsmaßnahmen für Groupware betreffen die eingesetzten Clients sowie im eigenen Bereich betriebene Server. Entsprechend müssen die Clients und Server abgesichert werden. Dies ist jedoch nicht Bestandteil dieses Bausteins. Für deren sicheren Betrieb sind die entsprechenden Bausteine der Schicht 3 umzusetzen. Von besonderer Bedeutung sind auch die von den Benutzern einzuhaltenden Sicherheitsvorkehrungen und Anweisungen.

Groupware-Systeme werden in der Regel im Umfeld mit weiteren Systemen eingesetzt, die den Zugriff auf das interne Netz von außen kontrollieren. Hierbei sind insbesondere Sicherheitsgateways und Systeme zur Fernwartung zu nennen, mit denen die Groupware zusammenarbeiten muss. Aus diesem Grund sind bei der Durchführung der für die Groupware spezifischen Maßnahmen stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zusätzlich betroffener Systeme zu berücksichtigen. Dazu gehören unter anderem die folgenden Bausteine:

Für den erfolgreichen Aufbau eines Groupware-Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit strategischen Entscheidungen, über Planung, Konzeption und Installation bis zum Betrieb.

Planung und Konzeption

Ist die Entscheidung für ein Groupware-System gefallen, muss der Einsatz geplant und konzipiert werden. Die dabei zu berücksichtigenden Aspekte sind in der Maßnahme M 2.454 Planung des sicheren Einsatzes von Groupware-Systemen zusammengefasst. Die Sicherheit eines Groupware-Systems kann bereits in der Planungs- und Konzeptionsphase entscheidend beeinflusst werden, indem sicherheitsrelevante Aspekte berücksichtigt werden.

Umsetzung

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt worden sind, kann die Installation eines Groupware-Systems erfolgen. Dabei ist die Maßnahme M 4.356 Sichere Installation von Groupware-Systemen zu beachten.

Maßnahmen für die spezifische Benutzerschulung finden sich in M 3.74 Schulung zur Systemarchitektur und Sicherheit von Groupware-Systemen für Administratoren und M 3.75 Schulung zu Sicherheitsmechanismen von Groupware-Clients für Benutzer , da ausreichende Kenntnisse bei Benutzern und Administratoren von Groupware-Systemen die Sicherheit beeinflussen.

Die reine Installation eines Groupware-Systems stellt nur einen geringen Anteil der Arbeiten dar, die in der Umsetzungsphase durchzuführen sind. Der überwiegende Arbeitsaufwand fällt nach der Installation durch die Erstkonfiguration des Groupware-Systems an. Durch die erste Konfiguration werden die Basissicherheit bei der Betriebsaufnahme und die Rahmenbedingungen für die zukünftige Sicherheit des Groupware-Systems festgelegt.

Die sichere Administration muss geplant werden (siehe M 2.456 Sichere Administration von Groupware-Systemen ).

Groupware-Systeme sind verteilt aufgebaut und kommunizieren über verschiedene Schnittstellen miteinander oder mit anderen externen Client- oder Server-Systemen. Daher ist es wichtig, die Kommunikation angemessen abzusichern. Generell kann ein Groupware-System viele unterschiedliche Kommunikationskanäle nutzen, die auch von den installierten Applikationen und Modulen abhängen. In der Regel werden jedoch einige wenige Basis-Kommunikationsmechanismen und -Schnittstellen genutzt. Die relevante Einstiegsmaßnahme ist M 2.456 Sichere Administration von Groupware-Systemen .

Betrieb

Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Damit Sicherheitsprobleme zeitnah bemerkt werden, muss das Groupware-System angemessen überwacht werden. Hinweise dazu finden sich in M 4.358 Protokollierung von Groupware-Systemen .

Da ein Groupware-System immer Veränderungen unterworfen ist, die sich meist aus veränderten Anforderungen oder Einsatzszenarien ableiten, muss sichergestellt werden, dass das gewünschte Sicherheitsniveau aufrecht erhalten wird (siehe hierzu M 2.221 Änderungsmanagement bzw. B 1.14 Patch- und Änderungsmanagement ).

Notfallvorsorge

Parallel zur Betriebsphase muss die Notfallvorsorge sicherstellen, dass der Betrieb auch im Notfall aufrecht erhalten werden kann. Informationssicherheitsmanagement und Revision stellen sicher, dass das Regelwerk auch eingehalten wird. Empfehlungen zur Notfallvorsorge für Groupware-Systeme finden sich in der Maßnahme M 6.140 Erstellen eines Notfallplans für den Ausfall von Groupware-Systemen .

Nachfolgend wird das Maßnahmenbündel für Groupware vorgestellt:

Planung und Konzeption

M 2.42 (A) Festlegung der möglichen Kommunikationspartner
M 2.274 (A) Vertretungsregelungen bei E-Mail-Nutzung
M 2.454 (A) Planung des sicheren Einsatzes von Groupware-Systemen
M 2.455 (A) Festlegung einer Sicherheitsrichtlinie für Groupware

Beschaffung

M 2.123 (Z) Auswahl eines Groupware- oder Mailproviders

Umsetzung

M 2.122 (Z) Einheitliche E-Mail-Adressen
M 2.456 (A) Sichere Administration von Groupware-Systemen
M 3.74 (A) Schulung zur Systemarchitektur und Sicherheit von Groupware-Systemen für Administratoren
M 3.75 (C) Schulung zu Sicherheitsmechanismen von Groupware-Clients für Benutzer
M 4.64 (C) Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen
M 4.355 (A) Berechtigungsverwaltung für Groupware-Systeme
M 4.356 (A) Sichere Installation von Groupware-Systemen
M 5.57 (A) Sichere Konfiguration der Groupware-/Mail-Clients

Betrieb

M 3.76 (C) Einweisung der Benutzer in den Einsatz von Groupware und E-Mail
M 4.199 (B) Vermeidung problematischer Dateiformate
M 4.357 (A) Sicherer Betrieb von Groupware-Systemen
M 4.358 (B) Protokollierung von Groupware-Systemen
M 5.54 (B) Umgang mit unerwünschten E-Mails
M 5.56 (A) Sicherer Betrieb eines Mailservers
M 5.108 (Z) Kryptographische Absicherung von Groupware bzw. E-Mail
M 5.109 (Z) Einsatz eines E-Mail-Scanners auf dem Mailserver

Notfallvorsorge

M 6.90 (C) Datensicherung und Archivierung bei Groupware und E-Mail
M 6.140 (C) Erstellen eines Notfallplans für den Ausfall von Groupware-Systemen

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK