Bundesamt für Sicherheit in der Informationstechnik

B 5.19 Internet-Nutzung

Logo Internet-Nutzung

Beschreibung

In den meisten Institutionen ist heute die Nutzung von Internet-Diensten am Arbeitsplatz selbstverständlich und notwendig. Hierzu gehören beispielsweise E-Mail, die Nutzung von Informationsangeboten und Internet-Dienstleistungen, Online-Banking, E-Commerce- und E-Government-Anwendungen. Je nach Art der Aufgaben und des Arbeitsplatzes kann zusätzlich die Nutzung von Instant Messaging, sozialen Netzwerken, Webkonferenzen und weiteren Diensten hinzukommen.

Die meisten Internet-Dienste können über Browser oder über andere Anwendungen heraus genutzt werden, die bereits in Standard-Betriebssystemen vorhanden sind. In einigen Einsatzszenarien wird für die Nutzung von Internet-Diensten spezielle Software benötigt wie beispielsweise für die Nutzung von Instant Messaging, für das Lesen von News oder das Online-Banking.

Dieser Baustein ist immer dann anzuwenden, wenn mit einem Browser oder spezieller Software auf das Internet zugegriffen werden soll (außer E-Mail). Der Baustein behandelt keine Netze und weiteren Verbindungen. Für diese sind die entsprechenden Bausteine anzuwenden. Die sichere Einbindung von E-Mail ist im Baustein B 5.3 Groupware beschrieben.

In diesem Baustein werden die für die Internet-Nutzung spezifischen Gefährdungen und Maßnahmen beschrieben. Darüber hinaus müssen für die sichere Anbindung an das Internet weitere Bausteine wie beispielsweise die entsprechenden Bausteine zu Netzen sowie B 3.301 Sicherheitsgateway (Firewall) und B 1.6 Schutz vor Schadprogrammen umgesetzt werden. Zur Absicherung der Clients ist der Baustein B 3.201 Allgemeiner Client sowie eventuell zusätzlich ein betriebssystem-spezifischer Baustein umzusetzen. Nicht in diesem Baustein betrachtet sind eigenständige Internet-PCs (siehe hierzu B 3.208 Internet-PC ), die eine Sonderform der Internet-Nutzung bilden.

Gefährdungslage

Für den IT-Grundschutz bei der Internet-Nutzung werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

G 1.10 Ausfall eines Weitverkehrsnetzes

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

Menschliche Fehlhandlungen

G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.38 Konfigurations- und Bedienungsfehler
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
G 3.105 Ungenehmigte Nutzung von externen Dienstleistungen
G 3.106 Ungeeignetes Verhalten bei der Internet-Nutzung
G 3.107 Rufschädigung

Technisches Versagen

G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.28 Verhinderung von Diensten
G 5.42 Social Engineering
G 5.48 IP-Spoofing
G 5.78 DNS-Spoofing
G 5.87 Web-Spoofing
G 5.88 Missbrauch aktiver Inhalte
G 5.156 Bot-Netze
G 5.157 Phishing und Pharming
G 5.158 Missbrauch sozialer Netzwerke
G 5.177 Missbrauch von Kurz-URLs oder QR-Codes

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für die sichere Internet-Nutzung sollten in einem Unternehmen bzw. in einer Behörde im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:

Planung und Konzeption

Zu Anfang müssen grundsätzliche Fragen der Internet-Nutzung festgelegt werden, beispielsweise welche Internet-Dienste in der Institution genutzt werden sollen, wer welche Internet-Dienste nutzen darf, welche Regeln dabei zu beachten sind und wie die internen IT-Systeme, die das Internet nutzen dürfen, zu schützen sind (siehe M 2.457 Konzeption für die sichere Internet-Nutzung ).

Für die sichere Internet-Nutzung muss eine verbindliche Richtlinie festgelegt werden, die beispielsweise umfasst, wer welche Internet-Dienste wann und wofür nutzen darf (siehe M 2.458 Richtlinie für die Internet-Nutzung ). Für E-Mail ist ein eigener Baustein vorhanden, in dem eine Richtlinie für die E-Mail-Nutzung enthalten ist.

Umsetzung

Sowohl Benutzer als auch Administratoren haben einen wesentlichen Einfluss auf die sichere Internet-Nutzung. Benutzer und Administratoren müssen daher für den Umgang mit den eingesetzten IT-Komponenten bzw. die Nutzung der Internet-Dienste geschult werden (siehe M 3.77 Sensibilisierung zur sicheren Internet-Nutzung ).

Betrieb

Je nach Sicherheitsanforderungen müssen die beteiligten IT-Komponenten unterschiedlich konfiguriert werden. Dies betrifft die Sicherheitsgateways und die Netzkoppel-Elemente, aber auch die Server und Clients. Bei den Clients ist insbesondere der verwendete Browser (siehe M 5.45 Sichere Nutzung von Browsern und M 5.155 Datenschutz-Aspekte bei der Internet-Nutzung ), der E-Mail-Client (siehe dazu auch Baustein B 5.3 Groupware ) und die Software für die genutzten Web-Applikationen abzusichern.

Notfallvorsorge

Da die Internet-Nutzung betriebskritisch sein kann, ist einem Ausfall vorzubeugen. Dazu müssen auch Ausweichverfahren für die Internet-Anwendungen feststehen (siehe M 6.141 Festlegung von Ausweichverfahren bei der Internet-Nutzung ). Außerdem müssen Reaktionen auf durch die Internet-Nutzung verursachte Sicherheitsvorfälle festgelegt werden (siehe auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen ).

Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-Nutzung" vorgestellt.

Planung und Konzeption

M 2.457 (A) Konzeption für die sichere Internet-Nutzung
M 2.458 (A) Richtlinie für die Internet-Nutzung
M 2.459 (W) Überblick über Internet-Dienste
M 5.66 (B) Clientseitige Verwendung von SSL/TLS
M 5.69 (A) Schutz vor aktiven Inhalten

Umsetzung

M 2.460 (C) Geregelte Nutzung von externen Dienstleistungen
M 3.77 (A) Sensibilisierung zur sicheren Internet-Nutzung

Betrieb

M 2.313 (A) Sichere Anmeldung bei Internet-Diensten
M 3.78 (Z) Korrektes Auftreten im Internet
M 5.45 (B) Sichere Nutzung von Browsern
M 5.155 (Z) Datenschutz-Aspekte bei der Internet-Nutzung
M 5.156 (Z) Sichere Nutzung von Twitter
M 5.157 (Z) Sichere Nutzung von sozialen Netzwerken
M 5.158 (Z) Nutzung von Web-Speicherplatz
M 5.173 (Z) Nutzung von Kurz-URLs und QR-Codes

Notfallvorsorge

M 6.141 (C) Festlegung von Ausweichverfahren bei der Internet-Nutzung

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK