Bundesamt für Sicherheit in der Informationstechnik

M 2.61 Regelung des Modem-Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Es ist festzulegen:

  • wer der Verantwortliche für den sicheren Betrieb des Modems ist (beispielsweise im Stand-alone Einsatz der IT-Benutzer, in vernetzten Systemen der Administrator),
  • wer das Modem benutzen darf,
  • in welchen Fällen vertrauliche Informationen bei der Übertragung verschlüsselt werden sollten,
  • in welchen Fällen durchgeführte Datenübertragungen zu protokollieren sind (z. B. bei Übermittlung personenbezogener Daten). Bietet die Kommunikationssoftware Protokollierungsfunktion an, sollte diesen im sinnvollen Rahmen genutzt werden.

Alle Login-Vorgänge, ob erfolgreich oder erfolglos, müssen protokolliert werden. Korrekt eingegebene Passwörter sollten nicht mitprotokolliert werden, es ist aber zu überlegen, die bei erfolglosen Login-Versuchen eingegebenen Passwörter mitzuprotokollieren, um Passwort-Attacken zu entdecken.

Indizien für Passwort-Attacken können z. B. sein: häufige erfolglose Login-Versuche für einen Benutzer, erfolglose Login-Versuche immer vom selben Anschluss, Versuche sich auf verschiedene Benutzernamen anzumelden während einer Verbindung oder von einem Anschluss.

Nach dem Verbindungsaufbau muss dem Anrufenden ein Anmelde-Prompt angezeigt werden. Dabei sollte darauf geachtet werden, dass vor der erfolgreichen Anmeldung möglichst wenig Informationen über das angewählte IT-System weitergegeben werden. Es sollte weder die Art der eingesetzten Hardware noch des Betriebssystems gegeben werden. Der Anmelde-Prompt sollte den Namen des IT-Systems und/oder der Organisation enthalten, einen Hinweis, dass alle Verbindungen protokolliert werden und eine Eingabeaufforderung für Benutzername und Passwort. Bei erfolglosen Anmeldeversuchen darf keine Ursache angezeigt werden (falscher Benutzername, falsches Passwort).

Trennung Dial-In / Dial-Out

Für ein- bzw. abgehende Verbindungen sollten getrennte Leitungen und Modems benutzt werden. Ein Anrufer sollte keine Möglichkeit haben, sich über das angewählte IT-System wieder nach außen verbinden zu lassen. (Wenn dies für Außendienstmitarbeiter unbedingt notwendig ist, muss dem eine starke Authentisierung vorangehen, z. B. über Chipkarten.) Ansonsten besteht die Gefahr, dass Hacker den Zugang missbrauchen, zum einen um teure Fernverbindungen aufzubauen und zum anderen um ihre Spuren zu verwischen.

Beim Callback sollte für den Rückruf ein anderes Modem oder eine andere Leitung benutzt werden, als das anrufende Modem benutzt hat (siehe auch M 5.44 Einseitiger Verbindungsaufbau ).

Prüffragen:

  • Sind die Rahmenbedingungen für die Nutzung von Modems geregelt?

  • Sind den Mitarbeitern die Regelungen für die Nutzung von Modems bekannt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK