Bundesamt für Sicherheit in der Informationstechnik

M 2.27 Wartung einer TK-Anlage

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher, Leiter IT

Verantwortlich für Umsetzung: Administrator

In einer TK -Anlage gibt es eine Wartungseinheit, mit der die TK-Anlage konfiguriert und administriert werden kann. Bei älteren Anlagen kann das eine spezielle Hardware sein, bei neueren Anlagen ist es meist eine Steuerungssoftware. Von außen kann auf diese Einheit je nach TK-Anlage mit unterschiedlichen Mitteln zugegriffen werden, beispielsweise:

  • über ein Systemtelefon, also ein Endgerät mit erweiterter Funktionalität gegenüber normalen Endgeräten,
  • über einen lokal an die Telefonanlage angeschlossenen Computer ( z. B. über RS232, USB , Ethernet),
  • über einen PC im LAN , der spezielle Administrationssoftware installiert hat, falls die TK-Anlage auch an das LAN angeschlossen ist,
  • über einen Browser eines PCs im LAN, falls die TK-Anlage auch an das LAN angeschlossen ist.

Bei einem IP-Anlagenanschluss, bei dem die TK-Anlage physisch bei einem externen Anbieter steht, wird die TK-Anlage in der Regel über einen Browser administriert.

Die Wartungseinheit sollte so konfiguriert werden, dass nur dedizierte Wartungsrechner zugreifen dürfen. Beispielsweise indem nur IT -Systeme mit fest zugeordneten IP -Adressen mit der Wartungseinheit kommunizieren können. Verbindungsversuche von anderen IT-Systemen sollten abgewiesen werden. Der Zutritt zu den Wartungsrechnern sollte ebenfalls beschränkt werden. Hierfür könnten sie beispielsweise in einem separaten Sicherheitsbereich aufgestellt werden, den unbefugte Personen nicht betreten können.

Generell sollte der Zugriff auf die Wartungseinheit nur nach einer erfolgreichen Authentisierung möglich sein. Wenn möglich, sollte die Datenverbindung zwischen den Geräten, die zur Wartung genutzt werden und der Wartungseinheit verschlüsselt sein, außer es handelt sich um eine ausschließlich für diesen Zweck genutzte Verbindung (wie ein serielles Kabel). Die Geräte, über die die TK-Anlage gewartet und konfiguriert wird, müssen mit Passwörtern oder PIN s abgesichert werden. Hierfür ist auch die Maßnahme M 2.11 Regelung des Passwortgebrauchs zu beachten. Nicht nur interne, sondern auch externe Wartungsmitarbeiter müssen sich authentisieren.

Die Wartung einer TK-Anlage sollte von Mitarbeitern mit entsprechendem Wissen, beispielsweise geschulten Administratoren, durchgeführt werden. Fehlen den vorhandenen Mitarbeitern die notwendigen Kenntnisse, um die TK-Anlage optimal zu warten und zu administrieren, und können diese nicht zeitnah geschult werden, sollte überlegt werden, externe Experten zu beauftragen.

Unabhängig davon, von wem die TK-Anlage gewartet wird, muss auch die Maßnahme M 2.4 Regelungen für Wartungs- und Reparaturarbeiten beachtet werden.

Fernwartung

Unter Umständen kann es erforderlich sein, dass TK-Anlagen von Dritten, wie beispielsweise externen Experten, konfiguriert und gewartet werden. Erfolgt die Administration über ein Datennetz, wird hierfür eine Kommunikationsverbindung zur TK-Anlage benötigt. Ist die TK-Anlage an das LAN des Standorts ("Hausnetz") angeschlossen, könnte ein Angreifer sowohl auf die TK-Anlage als auch auf das LAN zugreifen. Daher müssen die Zugänge abgesichert werden. Das kann wie folgt geschehen:

Sollen externe Experten für die Wartungs- und Reparaturarbeiten beauftragt werden, müssen entsprechende Regelungen getroffen werden. Hierzu gehört beispielsweise, wie externe Personen während ihrer Tätigkeit beaufsichtigt werden und wie mit Geräten umzugehen ist, die für eine Reparatur außer Haus gegeben werden. Weitere Informationen hierzu sind in M 1.1 Einhaltung einschlägiger Normen und Vorschriften zu finden. Generell können durch eine Fernwartung zahlreiche Sicherheitsprobleme auftreten. Um diese zu verringern, muss der Fernwartungszugriff geschützt werden. Mögliche Sicherheitsfunktionen hierfür sind in M 5.33 Absicherung von Fernwartung zu finden. Die Datenverbindung bei IP-basierten Zugängen über öffentliche Netz sollte z. B. mit Secure Shell (SSH) oder über ein Virtuelles Privates Netz (VPN) abgesichert und verschlüsselt werden.

Prüffragen:

  • Sind die Wartungszugänge der TK -Anlage durch technische und organisatorische Maßnahmen vor unbefugter Benutzung geschützt?

  • Können nur die Wartungsrechner mit der Wartungseinheit der TK -Anlage kommunizieren?

  • Werden die Geräte zur Wartung und Konfiguration von TK -Anlagen mit Passwörtern bzw. PIN s abgesichert?

  • Ist die Datenverbindung bei IP -basierten Zugängen zur TK -Anlage verschlüsselt?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK