Bundesamt für Sicherheit in der Informationstechnik

B 5.19 Internet-Nutzung

Logo Internet-Nutzung

Beschreibung

In den meisten Institutionen ist heute die Nutzung von Internet-Diensten am Arbeitsplatz selbstverständlich und notwendig. Hierzu gehören beispielsweise E-Mail, die Nutzung von Informationsangeboten und Internet-Dienstleistungen, Online-Banking, E-Commerce- und E-Government-Anwendungen. Je nach Art der Aufgaben und des Arbeitsplatzes kann zusätzlich die Nutzung von Instant Messaging, sozialen Netzwerken, Webkonferenzen und weiteren Diensten hinzukommen.

Die meisten Internet-Dienste können über Browser oder über andere Anwendungen heraus genutzt werden, die bereits in Standard-Betriebssystemen vorhanden sind. In einigen Einsatzszenarien wird für die Nutzung von Internet-Diensten spezielle Software benötigt wie beispielsweise für die Nutzung von Instant Messaging, für das Lesen von News oder das Online-Banking.

Dieser Baustein ist immer dann anzuwenden, wenn mit einem Browser oder spezieller Software auf das Internet zugegriffen werden soll (außer E-Mail). Der Baustein behandelt keine Netze und weiteren Verbindungen. Für diese sind die entsprechenden Bausteine anzuwenden. Die sichere Einbindung von E-Mail ist im Baustein B 5.3 Groupware beschrieben.

In diesem Baustein werden die für die Internet-Nutzung spezifischen Gefährdungen und Maßnahmen beschrieben. Darüber hinaus müssen für die sichere Anbindung an das Internet weitere Bausteine wie beispielsweise die entsprechenden Bausteine zu Netzen sowie B 3.301 Sicherheitsgateway (Firewall) und B 1.6 Schutz vor Schadprogrammen umgesetzt werden. Zur Absicherung der Clients ist der Baustein B 3.201 Allgemeiner Client sowie eventuell zusätzlich ein betriebssystem-spezifischer Baustein umzusetzen. Nicht in diesem Baustein betrachtet sind eigenständige Internet-PCs (siehe hierzu B 3.208 Internet-PC ), die eine Sonderform der Internet-Nutzung bilden.

Gefährdungslage

Für den IT-Grundschutz bei der Internet-Nutzung werden die folgenden typischen Gefährdungen angenommen:

Höhere Gewalt

G 1.10 Ausfall eines Weitverkehrsnetzes

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

Menschliche Fehlhandlungen

G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.38 Konfigurations- und Bedienungsfehler
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.45 Unzureichende Identifikationsprüfung von Kommunikationspartnern
G 3.105 Ungenehmigte Nutzung von externen Dienstleistungen
G 3.106 Ungeeignetes Verhalten bei der Internet-Nutzung
G 3.107 Rufschädigung

Technisches Versagen

G 4.22 Software-Schwachstellen oder -Fehler

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.28 Verhinderung von Diensten
G 5.42 Social Engineering
G 5.48 IP-Spoofing
G 5.78 DNS-Spoofing
G 5.87 Web-Spoofing
G 5.88 Missbrauch aktiver Inhalte
G 5.156 Bot-Netze
G 5.157 Phishing und Pharming
G 5.158 Missbrauch sozialer Netzwerke
G 5.177 Missbrauch von Kurz-URLs oder QR-Codes

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für die sichere Internet-Nutzung sollten in einem Unternehmen bzw. in einer Behörde im Hinblick auf die Informationssicherheit folgende Schritte durchlaufen werden:

Planung und Konzeption

Zu Anfang müssen grundsätzliche Fragen der Internet-Nutzung festgelegt werden, beispielsweise welche Internet-Dienste in der Institution genutzt werden sollen, wer welche Internet-Dienste nutzen darf, welche Regeln dabei zu beachten sind und wie die internen IT-Systeme, die das Internet nutzen dürfen, zu schützen sind (siehe M 2.457 Konzeption für die sichere Internet-Nutzung ).

Für die sichere Internet-Nutzung muss eine verbindliche Richtlinie festgelegt werden, die beispielsweise umfasst, wer welche Internet-Dienste wann und wofür nutzen darf (siehe M 2.458 Richtlinie für die Internet-Nutzung ). Für E-Mail ist ein eigener Baustein vorhanden, in dem eine Richtlinie für die E-Mail-Nutzung enthalten ist.

Umsetzung

Sowohl Benutzer als auch Administratoren haben einen wesentlichen Einfluss auf die sichere Internet-Nutzung. Benutzer und Administratoren müssen daher für den Umgang mit den eingesetzten IT-Komponenten bzw. die Nutzung der Internet-Dienste geschult werden (siehe M 3.77 Sensibilisierung zur sicheren Internet-Nutzung ).

Betrieb

Je nach Sicherheitsanforderungen müssen die beteiligten IT-Komponenten unterschiedlich konfiguriert werden. Dies betrifft die Sicherheitsgateways und die Netzkoppel-Elemente, aber auch die Server und Clients. Bei den Clients ist insbesondere der verwendete Browser (siehe M 5.45 Sichere Nutzung von Browsern und M 5.155 Datenschutz-Aspekte bei der Internet-Nutzung ), der E-Mail-Client (siehe dazu auch Baustein B 5.3 Groupware ) und die Software für die genutzten Web-Applikationen abzusichern.

Notfallvorsorge

Da die Internet-Nutzung betriebskritisch sein kann, ist einem Ausfall vorzubeugen. Dazu müssen auch Ausweichverfahren für die Internet-Anwendungen feststehen (siehe M 6.141 Festlegung von Ausweichverfahren bei der Internet-Nutzung ). Außerdem müssen Reaktionen auf durch die Internet-Nutzung verursachte Sicherheitsvorfälle festgelegt werden (siehe auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen ).

Nachfolgend wird das Maßnahmenbündel für den Baustein "Internet-Nutzung" vorgestellt.

Planung und Konzeption

M 2.457 (A) Konzeption für die sichere Internet-Nutzung
M 2.458 (A) Richtlinie für die Internet-Nutzung
M 2.459 (W) Überblick über Internet-Dienste
M 5.66 (B) Clientseitige Verwendung von SSL/TLS
M 5.69 (A) Schutz vor aktiven Inhalten

Umsetzung

M 2.460 (C) Geregelte Nutzung von externen Dienstleistungen
M 3.77 (A) Sensibilisierung zur sicheren Internet-Nutzung

Betrieb

M 2.313 (A) Sichere Anmeldung bei Internet-Diensten
M 3.78 (Z) Korrektes Auftreten im Internet
M 5.45 (B) Sichere Nutzung von Browsern
M 5.155 (Z) Datenschutz-Aspekte bei der Internet-Nutzung
M 5.156 (Z) Sichere Nutzung von Twitter
M 5.157 (Z) Sichere Nutzung von sozialen Netzwerken
M 5.158 (Z) Nutzung von Web-Speicherplatz
M 5.173 (Z) Nutzung von Kurz-URLs und QR-Codes

Notfallvorsorge

M 6.141 (C) Festlegung von Ausweichverfahren bei der Internet-Nutzung

Stand: 12. EL Stand 2011