Bundesamt für Sicherheit in der Informationstechnik

M 2.178 Erstellung einer Sicherheitsleitlinie für die Faxnutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Vor der Installation, Konfiguration und Freigabe von Faxservern sollte zunächst eine Sicherheitsleitlinie für die Faxnutzung festgelegt werden. Folgende Punkte werden üblicherweise mit solch einer Sicherheitsleitlinie geregelt:

1. Einsatzkonzept

Bevor ein Faxserver für die Nutzung freigegeben wird, muss zunächst festgelegt werden, in welcher Einsatzart das System betrieben werden soll. So ist z. B. denkbar, dass ein Faxserver nur dazu dient, Faxe über das LAN entgegenzunehmen und dann nach außen zu versenden. Ein Faxserver kann aber auch von außen eingehende Faxsendungen entgegennehmen. In diesem Fall muss festgelegt werden, wie die Eingangs-Faxsendungen an die Empfänger weitergeleitet werden. Die erste Möglichkeit besteht dabei in der Weiterleitung durch den Faxserver selbst, ggf. mit Anbindung an bereits bestehende E-Mail oder Workflow-Systeme. Eine andere Möglichkeit ist die manuelle Weiterleitung der Eingangs-Faxsendungen durch die Poststelle. Hier besteht einmal die Möglichkeit der Weiterleitung per E-Mail. Denkbar ist aber auch, dass die Poststelle eingehende Faxe ausdruckt und diese Ausdrucke an den Empfänger weiterleitet (siehe M 2.181 Auswahl eines geeigneten Faxservers ).

2. Integration in den Geschäftsablauf

Von der Betriebsart hängt auch ab, wie bei Benutzung eines Faxservers versandte oder empfangene Faxe in den Geschäftsablauf integriert werden. Sofern die Poststelle alle Faxeingänge ausdruckt und die Ausdrucke an den jeweiligen Empfänger weiterleitet, entspricht dies dem Ablauf, wie er auch bei herkömmlichen Faxgeräten üblich ist. Werden aber Faxe direkt aus einer Applikation vom Arbeitsplatzrechner des Benutzers versandt oder werden Faxeingänge direkt vom Faxserver an den Empfänger übermittelt, unterscheiden sich diese Verfahren erheblich von denen bei der Benutzung herkömmlicher Faxgeräte. Daher sollte in diesem Fall in der Richtlinie für die Faxnutzung festgelegt werden, von welchen Faxeingängen und Faxausgängen Ausdrucke für die Akten gefertigt werden müssen.

3. Regelungen zum Faxserver-Einsatz

Um den sicheren Betrieb und Einsatz eines Faxservers sicherstellen zu können, müssen eine Reihe von Regelungen getroffen werden (siehe M 2.179 Regelungen für den Faxserver-Einsatz ).

4. Inhaltliche Restriktionen

Weiterhin sollte in der Fax-Sicherheitsleitlinie festgelegt werden, welche Informationen überhaupt per Fax weitergegeben werden dürfen. Es kann in der Fax-Sicherheitsleitlinie zudem festgelegt werden, welche Kommunikationspartner welche Informationen erhalten dürfen.

Damit wird erreicht, dass der Empfänger auch die notwendigen Berechtigungen zum Weiterverarbeiten der Information besitzt. Beispielsweise kann festgelegt werden, dass Preislisten nur an Einkäufer oder Projektunterlagen nur an Projektbeteiligte per Fax versendet werden dürfen.

5. Notfallvorsorge und Ausfallsicherheit

Außerdem sollten in der Faxsicherheitsleitlinie Aussagen zur Notfallvorsorge und zur Ausfallsicherheit des Faxbetriebes enthalten sein. Abhängig von den Anforderungen an den Wert Verfügbarkeit ist ggf. der Einsatz redundanter Faxserver sinnvoll. In diesen Bereich fallen auch Überlegungen, ob für den Notfall noch herkömmliche Faxgeräte verfügbar gehalten werden (siehe auch M 6.69 Notfallvorsorge und Ausfallsicherheit bei Faxservern ).

6. Datensicherung

Der Faxserver sollte in das Datensicherungskonzept der Organisation aufgenommen werden (siehe Baustein B 1.4 Datensicherungskonzept ). Insbesondere ist dabei festzulegen, wer für die Durchführung der Datensicherungen zuständig ist und was zu sichern ist. Gegenstand der Datensicherung können dabei die Software, Konfigurationsdaten, gespeicherte bzw. archivierte Faxdaten oder auch Protokolldateien sein. Außerdem sind Festlegungen hinsichtlich des Sicherungsintervalls und der Anzahl der aufzubewahrenden Generationen notwendig. Es muss festgelegt werden, wer für die Überprüfung der bei der Datensicherung anfallenden Protokolle zuständig ist. Schließlich sollten sowohl die Durchführung der Datensicherung als auch die Auswertung der Protokolle dokumentiert werden.

7. Schulung

Die Faxsicherheitsleitlinie sollte zudem um ein organisationsweites Schulungskonzept ergänzt werden. Zunächst ist das Personal, dass das IT-System und die Faxserver-Applikation administriert, entsprechend zu schulen. Dann sollten die Benutzer für die Gefährdungen sensibilisiert werden, die durch einen Faxserver im Vergleich zu einem herkömmlichen Faxsystem entstehen.

Prüffragen:

  • Ist die Faxnutzung in einer Sicherheitsleitlinie festgelegt?

  • Ist festgelegt, in welcher Einsatzart der Faxserver betrieben werden soll?

  • Faxserver für eingehende Faxsendungen: Ist festgelegt, wie die Faxsendungen an die Empfänger weitergeleitet werden?

  • Ist in der Fax-Sicherheitsleitlinie beschrieben, wie mit Faxeingängen und Faxausgängen umzugehen ist?

  • Ist in der Fax-Sicherheitsleitlinie festgelegt, welche Informationen an welche Kommunikationspartner weitergegeben werden dürfen?

  • Beinhaltet die Fax-Sicherheitsleitlinie Informationen und Anweisungen zur Notfallvorsorge und Ausfallsicherheit des Faxbetriebes?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK