Bundesamt für Sicherheit in der Informationstechnik

M 2.235 Richtlinien für die Nutzung von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Für die sichere Nutzung von Internet-PCs ist es erforderlich, dass hierfür verbindliche Richtlinien festgelegt werden. Diese Richtlinien müssen allen beteiligten Mitarbeitern der Institution, d. h. mindestens den Benutzern des Internet-PCs und den zuständigen Administratoren, bekannt gemacht werden.

Es wird empfohlen, die Richtlinien für die Nutzung des Internet-PCs in einem Dokument zusammenzufassen und als Datei auf dem Internet-PC zur Verfügung zu stellen, z. B. auf dem Desktop. Dabei sollten mindestens folgende Teilaspekte berücksichtigt werden:

Die Benutzer sollten in kurzer, verständlicher Form über die Risiken informiert werden, die mit der Nutzung des Internet-PCs verbunden sind. Diese Information dient gleichzeitig als Motivation für die nachfolgenden Richtlinien.

Auch der Internet-PC muss durch fachkundiges Personal administriert und gewartet werden. Dies kann entweder durch die vorhandene Administration, z. B. für IT-Systeme im Hausnetz, oder durch andere Mitarbeiter erfolgen, die dann entsprechend geschult werden müssen. Die Zuständigkeit sollte in den Richtlinien dokumentiert werden.

In einigen Fällen kann es zweckmäßig sein, dass Benutzer bestimmte Konfigurationseinstellungen selbst vornehmen dürfen. Dies sollte in den Richtlinien vermerkt, anderenfalls sollte es untersagt werden.

In den Richtlinien sollte festgelegt werden, welche Personen den Internet-PC zu welchen Zeiten und für welche Zwecke benutzen dürfen. In diesem Zusammenhang ist insbesondere festzulegen, ob nur dienstliche oder auch private Nutzung - z. B. in der Mittagspause - zugelassen ist.

Weiterhin sollte dokumentiert werden, welche Programme für die Nutzung von Internet-Diensten verwendet werden dürfen und ob aktive Inhalte, wie z. B. Javascript, Java oder ActiveX, auf dem Internet-PC ausgeführt werden dürfen. Wichtig ist in diesem Zusammenhang auch, ob Benutzer selbständig Browser-Erweiterungen ("Plug-Ins") installieren und nutzen dürfen.

Falls das verwendete Betriebssystem eine Benutzertrennung unterstützt, sollten Client-Programme für die Nutzung von Internet-Diensten nicht unter dem Administrator-Benutzerkonto, z. B. root oder Administrator, gestartet werden. Auch von Administratoren sollten hierfür normale Benutzerkonten verwendet werden.

Es müssen Regelungen dafür festgelegt werden, welche persönlichen Daten und welche Informationen über die Behörde bzw. das Unternehmen, z. B. Postadressen, über den Internet-Zugang weitergegeben werden dürfen. Dazu gehört auch die Frage, ob Nachrichten mit einer dienstlichen Absenderadresse gesendet werden dürfen, falls der Internet-PC für E-Mail oder News genutzt wird.

Außerdem sollte in den Richtlinien vorgegeben werden, welche Daten auf dem Internet-PC abgespeichert werden dürfen und welche Verzeichnisse hierfür vorgesehen sind. Es muss auch geregelt werden, unter welchen Bedingungen Daten vom Internet-PC in das Hausnetz oder umgekehrt transportiert werden dürfen.

In beiden Fällen ist mindestens eine Prüfung auf Computer-Viren durchzuführen. Für den Import von Daten und Programmen ins Hausnetz wird der Einsatz eines Schleusen-PCs empfohlen.

Falls eine lokale Datenhaltung auf dem Internet-PC vorgesehen ist, muss geregelt werden, ob die Benutzer für eine evtl. erforderliche Datensicherung selbst verantwortlich sind oder ob dies automatisch bzw. durch die Administration geschieht. Dies ist besonders wichtig, wenn der Internet-PC für E-Mail, Banking, elektronische Beschaffung oder ähnliche Aufgaben eingesetzt wird.

Die Benutzer müssen darüber belehrt werden, welche Angebote, z. B. illegale Inhalte, Pornographie oder Extremismus, auf keinen Fall genutzt werden dürfen. Außerdem müssen die Benutzer darüber belehrt werden, dass sie sich bei der Nutzung des Internets an geltende Rechtsvorschriften und die "Netiquette" halten müssen, da sie ja im Namen der Behörde bzw. des Unternehmens agieren.

Für die Einwahl beim Internet Service Provider oder für die lokale Anmeldung am Internet-PC werden meist Passwörter benötigt. In den Richtlinien sollte vorgegeben werden, welches Format und welche (Mindest-)länge diese Passwörter haben und wie oft sie geändert werden müssen.

Falls eine Benutzer-Authentisierung im Einsatzkonzept vorgesehen ist, sind die Benutzer darüber zu belehren, dass sie mit den Authentisierungsgeheimnissen sorgfältig umgehen und sich vom System abmelden müssen, wenn sie den Internet-PC verlassen.

Schließlich sollte festgelegt werden, ob das für die Einwahl beim Internet Service Provider benötigte Passwort abgespeichert werden darf oder ob es bei jeder Einwahl erneut eingegeben werden muss. Diese Entscheidung sollte auf einer Einschätzung beruhen, wie groß die Gefahr einer missbräuchlichen Nutzung der Internet-Anbindung im vorliegenden Einsatzumfeld ist. Ein doppelter Zugangsschutz (erst Benutzeranmeldung, dann Eingabe des Einwahlpasswortes) wird von Benutzern oft nicht akzeptiert.

Je nach Anwendungsfall und Einsatzumgebung müssen unter Umständen weitere Richtlinien oder Regelungen für den Internet-PC getroffen werden.

Prüffragen:

  • Sind verbindliche Richtlinien für die Nutzung von Internet-PCs festgelegt?

  • Sind die Richtlinien für die Nutzung von Internet-PCs den Benutzern sowie den zuständigen Administratoren bekannt?

  • Sind die Benutzer von Internet-PCs über die damit verbundenen Risiken informiert?

  • Ist festgelegt, welche Personen den Internet- PC zu welchen Zeiten und für welche Zwecke benutzen dürfen?

  • Ist festgelegt, ob ausschließlich eine dienstliche oder auch eine private Nutzung des Internet-PCs zugelassen ist?

  • Ist dokumentiert, welche Programme für die Nutzung von Internet-Diensten verwendet und ob aktive Inhalte auf dem Internet- PC ausgeführt werden dürfen?

  • Ist sichergestellt, dass Client-Programme für die Nutzung von Internet-Diensten nicht unter dem Administrator-Benutzerkonto gestartet werden?

  • Ist geregelt, welche persönlichen Daten und Informationen über die Organisation über den Internet-Zugang weitergegeben werden dürfen?

  • Ist geregelt, welche Daten auf dem Internet- PC gespeichert und unter welchen Bedingungen in das Hausnetz oder heraus transportiert werden dürfen?

  • Sind die Benutzer darüber belehrt, welche Internet-Angebote nicht genutzt werden dürfen und welche Rechtsvorschriften zu beachten sind?

  • Sind Passwort-Kriterien für den Zugang zu Internet-Diensten festgelegt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK