Bundesamt für Sicherheit in der Informationstechnik

M 2.179 Regelungen für den Faxserver-Einsatz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um den reibungslosen Betrieb des oder der Faxserver zu gewährleisten, müssen folgende Punkte geregelt werden:

1. Festlegung von Zuständigkeiten

Ein Faxserver besteht aus einem IT-System, dem darauf installierten Betriebssystem sowie der Faxserver-Applikation. Dazu kommen dann noch die Faxclients der Benutzer. Dementsprechend muss auch die Betreuung geregelt werden. Je nach der vorhandenen Organisationsstruktur müssen Verantwortliche für diese Bereiche benannt werden. Im Extremfall kann dies heißen, dass jeder dieser Bereiche von anderen Administratoren betreut wird. Die Administration des Betriebssystems kann z. B. durch die Organisationseinheit erfolgen, die auch für die Administration der sonstigen IT-Systeme zuständig ist. Die Administration der Faxapplikation sollte hingegen durch die Fax-Poststelle erfolgen. Je nach Einsatzart ist diese Stelle auch dafür verantwortlich, dass eingehende Faxsendungen an den zuständigen Bearbeiter weitergeleitet werden. Diese Stelle sollte dann auch für die Vergabe von Berechtigungen auf dem Faxserver verantwortlich sein. Weitere Aufgaben sind z. B. die Rücksetzung von Passwörtern und die Einrichtung von neuen Benutzern. Von besonderer Bedeutung ist daher die Festlegung der Aufgaben und Zuständigkeiten der Fax-Poststelle (siehe M 2.180 Einrichten einer Fax-Poststelle ).

2. Festlegung des Benutzerkreises

Außerdem sollte der Personenkreis festgelegt werden, der berechtigt ist, den Faxserver zu benutzen. Dabei sind u. a. folgende Berechtigungen für eingehende Faxsendungen denkbar:

  • lesen,
  • weiterleiten,
  • löschen.

Für ausgehende Faxsendungen sind folgende Berechtigungen denkbar:

  • senden,
  • anhalten,
  • löschen,
  • Sendeoptionen verändern.

Diese Berechtigungen sollten, wie in der Administration allgemein üblich, möglichst nur an Benutzergruppen und nur im Ausnahmefall an einzelne Benutzer vergeben werden (siehe auch M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ).

3. Festlegung von Nutzungsprofilen

Es sollte auch geregelt werden, in welchem Umfang berechtigte Benutzer den Faxserver in Anspruch nehmen dürfen. Dies ist insbesondere wichtig, um Überlastungen durch Serienfaxe zu verhindern.

4. Nutzungszeiten

Außerdem sollte überlegt werden, ob die Nutzung von Faxservern nur zu bestimmten Zeiten zugelassen wird. So kann z. B. verhindert werden, dass außerhalb der Arbeitszeiten Faxe versendet werden können.

5. Einrichtung von Gruppen

Sofern Faxeingänge automatisch an die Empfänger durch den Faxserver weitergeleitet werden, sollten für bestimmte Funktionen und Aufgaben eigene Faxnummern eingerichtet werden. Allen Mitgliedern einer Gruppe kann dann der Zugriff auf die für die entsprechende Rufnummer eingehenden Faxsendungen gewährt werden. Dies erleichtert auch etwaige Vertretungsregelungen.

Beispiel: In einem Unternehmen wird ein Faxserver betrieben, der eingehende Faxsendungen automatisch an die Empfänger weiterleitet. Eine -Rufnummer wird die Bestellannahme vergeben. Der Faxserver leitet alle Faxsendungen mit Bestellungen, die über diese Rufnummer an das Unternehmen übermittelt werden, nicht an einen einzelnen Mitarbeiter, sondern an alle Mitglieder der Bestellannahme weiter. Dabei muss durch das Unternehmen festgelegt werden, in welcher Reihenfolge die Mitarbeiter Eingangsfaxsendungen bearbeiten, um Bestellungen nicht doppelt auszuführen.

6. Vertretungsregelung

Gerade beim Einsatz von Faxservern, die Faxeingänge an einzelne Benutzer zustellen, ist eine Vertretungsregelung im Falle der Abwesenheit unumgänglich und daher eine entsprechende Verpflichtung in die Sicherheitspolitik aufzunehmen. Ansonsten kann nicht ausgeschlossen werden, dass wichtige Faxeingänge über einen längeren Zeitraum nicht zur Kenntnis genommen werden. Insoweit unterscheidet sich das Verfahren beim Einsatz von Faxservern erheblich von dem beim Einsatz herkömmlicher Faxgeräte. Bei letzteren werden Eingänge durch die Vertreter eher wahrgenommen, da die Faxe in Papierform vorliegen.

7. Protokollierung

Es sollten Regelungen für den Umgang mit anfallenden Protokolldaten erarbeitet werden. So sollte festgelegt werden, wer welche Protokolldaten in welchen Abständen auswerten muss (siehe M 2.64 Kontrolle der Protokolldateien ).

8. Adressbücher

Auch sollte festgelegt werden, welche Adressbücher zum Einsatz kommen und wer die Pflege übernimmt. Viele Faxserver-Applikationen bieten die Möglichkeit, sowohl individuelle als auch unternehmensweit gültige Adressbücher anzulegen.

Zudem ist es häufig auch möglich, die Adressbücher von Faxservern mit den Verteilerlisten/Adressbüchern bereits vorhandener E-Mail-Systeme zu synchronisieren. Während organisationsweit gültige Adressbücher zentral durch die Fax-Poststelle gepflegt werden sollten, muss dies bei den individuellen Adressbüchern durch die Benutzer selbst erfolgen. Die Benutzer sollten außerdem verpflichtet werden, bei wichtigen Faxsendungen (z. B. individuelle Angebote) die Empfängerrufnummer zu überprüfen.

9. Nutzung des Faxservers

Außerdem müssen auch Regelungen für die Nutzung des Faxservers durch die Mitarbeiter erarbeitet werden (siehe M 3.15 Informationen für alle Mitarbeiter über die Faxnutzung ). Schließlich ist festzulegen, welche Rechte die Mitarbeiter auf dem Faxserver ausüben dürfen.

10. Schutz der Faxclients

Es muss durch geeignete organisatorische und technische Maßnahmen sichergestellt werden, dass keine Faxe unbefugt gelesen oder unbefugt bzw. unbeabsichtigt gesendet werden. Die Benutzer sind daher für die Benutzung der Fax-Programme zu schulen und hinsichtlich der auftretenden Risiken zu sensibilisieren.

Von besonderer Bedeutung ist die Authentisierung der Mitarbeiter am Faxserver. Diese kann explizit über einen Faxclient oder aber auch mit der Anmeldung an einem Verzeichnisdienst, einem Domänen-Controller (bei Verwendung von Microsoft Windows) oder an einem E-Mail-System erfolgen. Sofern die Authentisierung zwischen Mitarbeiter und Faxserver über einen Client erfolgt, sollte möglichst darauf verzichtet werden, das Anmelde-Passwort auf der Festplatte abzulegen, da dadurch dieser Sicherheitsmechanismus seinen Wert verliert. Jeder, der auf den entsprechenden Faxclient Zugriff hat, kann unter fremdem Namen Faxe versenden und unbefugt eingehende Faxsendungen lesen. Weiterhin sind die Mitarbeiter dazu anzuhalten, sich nach der Abholung eingegangener Faxsendungen und nach der Versendung von Ausgangsfaxen wieder am Faxserver abzumelden. Es ist darauf hinzuwirken, dass Mitarbeiter beim Verlassen des Arbeitsplatzes den Rechner schützen, z. B. durch die Benutzung eines Bildschirmschoners mit Passwort oder über Mechanismen des eingesetzten Betriebssystems (siehe M 4.1 Passwortschutz für IT-Systeme und M 4.2 Bildschirmsperre ).

11. Reparatur und Wartung

Es sollten auch Regelungen zur Durchführung von Reparatur- und Wartungsarbeiten des Faxservers festgelegt werden. Für die Administratoren des Systems muss klar sein, wer im Wartungs- und Reparaturfall zu benachrichtigen ist. Auch sollte geregelt werden, wie mit defekten Datenträgern, insbesondere defekten Festplatten umgegangen werden muss.

Prüffragen:

  • Wurde überprüft, ob eine Nutzung der Fax-Systeme nur zu bestimmten Zeiten zugelassen sein soll?

  • Sind Vertretungsregelungen und die entsprechenden Verpflichtungen hinsichtlich der Faxeingänge in der Sicherheitsleitlinie berücksichtigt?

  • Ist der Umgang mit den Protokolldaten des Faxservers geregelt?

  • Ist der Einsatz und die Pflege von Adressbüchern für die Fax-Systeme festgelegt?

  • Ist sichergestellt, dass keine Faxe unbefugt gelesen oder gesendet werden können?

  • Erfolgt eine Authentisierung der Mitarbeiter am Fax-Server?

  • Ist die Durchführung von Reparatur- und Wartungsarbeiten des Faxservers geregelt?

Stand: 13. EL Stand 2013