Bundesamt für Sicherheit in der Informationstechnik

M 2.416 Planung des VPN-Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Da es sich bei der Einrichtung eines VPN s um eine komplexe Aufgabe handelt, ist eine strukturierte Vorgehensweise erforderlich. Daher sollte vor der Einführung eines VPN s in einer Institution unbedingt eine sorgfältige Planung erfolgen. Dieser Schritt folgt unmittelbar auf die Anforderungsanalyse (siehe M 2.415 Durchführung einer VPN-Anforderungsanalyse ) und sollte auf den dort gewonnenen Erkenntnissen aufbauen.

Im Folgenden werden jeweils die wesentlichen Fragestellungen aufgezeigt, die im Rahmen eines organisatorischen Konzepts beantwortet werden müssen. Je nach konkreter Situation ergibt sich naturgemäß ein speziell auf die jeweiligen Gegebenheiten zugeschnittener zusätzlicher Regelungsbedarf.

  • Es sollten die Verantwortlichkeiten für das jeweilige VPN festgelegt werden (Installation, Verwaltung, Überprüfung, Überwachung). Je nach organisatorischer Struktur müssen die Verantwortlichkeiten existierender Rollen erweitert oder neue Rollen geschaffen werden (siehe auch M 2.1 Festlegung von Verantwortlichkeiten und Regelungen ).
  • Es muss festgelegt werden, wie und von wem die Benutzerkonten und die Zugriffsberechtigungen verwaltet und administriert werden (Berechtigungskonzept). Ein per Extranet angebundener Lieferant muss beispielsweise andere Zugriffrechte als eine angebundene Zweigstelle haben.
    Es empfiehlt sich, für den VPN -Zugang unterschiedliche Benutzergruppen mit verschiedenen Berechtigungen zu definieren. Die Gruppenzugehörigkeit von einzelnen Benutzern sollte durch ein entsprechendes Anforderungsprofil geregelt werden, das festlegt, welche Voraussetzungen für die Mitgliedschaft in einer Gruppe erfüllt werden müssen. Mögliche Voraussetzungen sind der Einsatzzweck ( z. B. Telearbeit, Außendienst-Tätigkeiten, Wartungsarbeiten), Nachweis bestimmter Kenntnisse ( z. B. Teilnahme an Schulungen) und eine Zustimmung durch Vorgesetzte. Wie die Erlaubnis zum entfernten Zugriff reglementiert werden soll, muss jeweils innerhalb der Institution entschieden werden. Oft existieren schon ähnliche Regelungen, z. B. für die Erlaubnis zur Nutzung von Internet-Zugängen, die dann adaptiert werden können.
    Die erteilten Zugangs- und Zugriffsberechtigungen müssen dokumentiert und bei Änderungen fortgeschrieben werden.
  • Für feste entfernte Standorte (wie Telearbeitsplätze) müssen Anforderungen festgelegt werden, die beschreiben, welchen Ansprüchen ( z. B. in Bezug auf Sicherheit und technischer Ausstattung) der entfernte Arbeitsplatz genügen muss, damit von dort VPN -Verbindungen in das LAN der Institution erlaubt werden können. Das Konzept kann eine anfängliche sowie eine periodisch wiederkehrende Überprüfung der Räumlichkeiten und dortigen Technik vorsehen und regeln, wie und durch wen diese erfolgt.
    Die Betriebsorte von VPN -Clients unterliegen häufig nicht der Kontrolle des LAN -Betreibers und besitzen daher auch ein besonderes Gefährdungspotential. Gegenüber stationären Clients kommen bei mobilen Clients weitere Gefährdungen hinzu. Nicht jeder Ort, an dem die technischen Voraussetzungen zum VPN -Verbindungsaufbau vorhanden sind, ist dafür geeignet. Daher müssen Regelungen getroffen werden, von welchen Standorten aus VPN -Verbindungen zum Ziel- LAN aufgebaut werden dürfen. Je nach geplantem Einsatzszenario kann es zweckmäßiger sein, eine Negativliste von besonders ungeeigneten Standorten zu führen. Dazu können z. B. Hotel-Foyers, Hotel-Business-Center oder öffentliche Verkehrsmittel gehören.
  • Wird die Sicherheit von VPN -Zugängen verletzt, kann dies unter Umständen die Kompromittierung des gesamten LAN s nach sich ziehen. Für die VPN -Administration sollten deshalb Verfahren festgelegt werden, die beschreiben, wie Änderungen an der VPN -Konfiguration durchzuführen sind (Beispiel: Beantragung, Überprüfung der geplanten Konfiguration, Durchführung, Überprüfung der durchgeführten Veränderung).
  • Ein weiterer wichtiger Punkt bei der Konzeption ist die grundsätzliche Frage, ob eine Eigenrealisierung bzw. Eigenbetrieb des VPN s notwendig ist oder ob auf Fremdrealisierung bzw. -betrieb zurückgegriffen wird. Viele Dienstleister verfügen über hohe Kompetenz und Erfahrung in Bezug auf die Planung, Einrichtung und den Betrieb von VPN s. Allerdings ist es nicht immer vorteilhaft oder erwünscht, den kompletten Betrieb eines VPN s aus der Hand zu geben. Bei Fremdbetrieb eines VPN s müssen die Anforderungen des Bausteins B 1.11 Outsourcing beachtet werden.
  • Der Schutzbedarf für das VPN muss ermittelt werden. Dieser leitet sich aus dem Schutzbedarf der darüber übertragenen Informationen sowie der damit verbundenen IT -Komponenten ab. In diesem Zusammenhang muss auch ermittelt werden, wie sich eine Nichtverfügbarkeit des Systems auswirkt und welche Ausfallzeiten hingenommen werden können.
    Die Anforderungen an die VPN -Sicherheitsmechanismen ( z. B. Authentisierung und Integritätssicherung) müssen definiert werden. Hierbei muss hinterfragt werden, ob starke Kryptographie an allen beteiligten Standorten rechtlich eingesetzt werden darf.
  • Haben externe Zulieferer oder Kunden eine Anbindung an das VPN , so müssen unterschiedliche Sicherheitszonen definiert werden. Aus den Sicherheitszonen heraus dürfen nur die Zugriffe erlaubt werden, die tatsächlich für die Benutzer erforderlich sind.
  • Um einem Missbrauch vorzubeugen, müssen in der VPN -Sicherheitsrichtlinie die Rechte und Pflichten von VPN -Benutzern festgelegt werden. Diese müssen entsprechend verbindlich verpflichtet werden, die Sicherheitsregelungen einzuhalten.
  • Da beim entfernten Zugriff auf ein LAN besondere Sicherheitsrisiken durch die meist ungesicherte Umgebung eines VPN -Clients bestehen, sollte jeder VPN -Benutzer eine besondere Schulung erhalten. Im Rahmen dieser Schulung sollen die Benutzer einerseits für die spezifischen VPN -Gefährdungen sensibilisiert und andererseits im Umgang mit den technischen Geräten und der Software unterrichtet werden. Falls Authentisierungstoken zum Einsatz kommen sollen, müssen die Benutzer über deren ordnungsgemäße Handhabung informiert werden.
    Ebenso müssen auch die Administratoren sowohl für die eingesetzten Produkte gründlich ausgebildet als auch über VPN -Sicherheitsrisiken und Sicherheitsmaßnahmen aufgeklärt werden.
  • Den Administratoren muss nicht nur für den Betrieb des VPN s ausreichend Zeit zur Verfügung stehen, sondern auch für die Suche nach Informationen über aktuelle VPN -Sicherheitslücken, die Konzeption von Maßnahmen zur Steigerung der Informationssicherheit beim VPN -Betrieb und die Einarbeitung in neue Komponenten.

Die VPN -Planung muss der Leitungsebene zur Entscheidung vorgelegt werden. Alle Entscheidungen müssen nachvollziehbar dokumentiert werden.

Prüffragen:

  • Sind die Verantwortlichkeiten für den VPN -Betrieb festgelegt?

  • Ist festgelegt, wie und von wem die Benutzerkonten und die Zugriffsberechtigungen für den VPN -Betrieb verwaltet und administriert werden?

  • Ist der Schutzbedarf jedes VPN s hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit bekannt?

  • Sind alle VPN -Benutzer bezüglich der VPN-Nutzung hinreichend geschult und zur Einhaltung der Sicherheitsrichtlinien verpflichtet?

  • Ist festgelegt, welche Zugriffsmöglichkeiten externen VPN -Benutzern eingeräumt werden?

  • Werden die erteilten Zugangs- und Zugriffsberechtigungen dokumentiert und bei Änderungen angepasst?

  • Ist festgelegt, welchen Ansprüchen entfernte Arbeitsplätze für VPN -Zugriffe genügen müssen?

  • Ist ein Änderungsmanagement für das VPN eingerichtet?

Stand: 13. EL Stand 2013