Bundesamt für Sicherheit in der Informationstechnik

M 2.418 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Für den Einsatz von VPN -Komponenten in Behörden und Unternehmen müssen geeignete Sicherheitsrichtlinien aufgestellt werden. Diese VPN -spezifischen Sicherheitsrichtlinien müssen konform zum generellen Sicherheitskonzept und den allgemeinen Sicherheitsrichtlinien der Institution sein. Sie müssen regelmäßig auf Aktualität überprüft und gegebenenfalls angepasst werden. Die VPN -spezifischen Vorgaben können in den vorhandenen Richtlinien ergänzt oder in einer eigenen Richtlinie zusammengefasst werden. Eine VPN -Sicherheitsrichtlinie sollte unter anderem folgende Punkte umfassen:

  • Es sollte beschrieben sein, wer in der Institution VPN -Komponenten installieren, konfigurieren und benutzen darf. Dazu sind auch eine Vielzahl von Randbedingungen festzulegen wie z. B.
    • welche Informationen über VPN s übertragen werden dürfen,
    • wo die VPN -Komponenten benutzt werden dürfen,
    • auf welche anderen internen oder externen Netze oder IT -Systeme über ein VPN zugegriffen werden darf.
  • Für alle VPN -Komponenten sollten Sicherheitsmaßnahmen und eine Standard-Konfiguration festgelegt werden.
  • Alle VPN -Benutzer sollten darauf hingewiesen werden, dass bei einem Verdacht auf Sicherheitsprobleme ein Sicherheitsverantwortlicher hierüber informiert werden muss, damit dieser weitere Schritte unternehmen kann (siehe auch B 1.8 Behandlung von Sicherheitsvorfällen ).
  • Administratoren, aber auch Benutzer von VPN -Komponenten sollten über VPN -Gefährdungen und die zu beachtenden Sicherheitsmaßnahmen informiert bzw. geschult werden.

Die korrekte Umsetzung der in der VPN -Sicherheitsrichtlinie beschriebenen Sicherheitsmaßnahmen sollte regelmäßig kontrolliert werden.

Benutzerrichtlinie für VPN

Um Benutzer nicht mit zu vielen Details zu belasten, kann es sinnvoll sein, eine eigene VPN -Benutzerrichtlinie zu erstellen, z. B. in Form eines Merkblattes. In einer solchen Benutzerrichtlinie sollten dann kurz die Besonderheiten bei der VPN -Nutzung beschrieben werden, wie z. B.

  • an welche anderen internen und externen Netze oder IT -Systeme der VPN -Client gekoppelt werden darf,
  • unter welchen Rahmenbedingungen sie sich an einem internen oder externen VPN anmelden dürfen,
  • welche Schritte bei (vermuteter) Kompromittierung des VPN -Clients zu unternehmen sind, vor allem, wer zu benachrichtigen ist.

Benutzer sollten darauf hingewiesen werden, dass VPN s nur von geeigneten Standorten und mit von der Institution dafür zugelassenen IT -Komponenten aufgebaut werden dürfen. Ungeeignete Standorte können je nach Einsatzzweck z. B. Hotel-Foyers, Hotel-Business-Center oder öffentliche Verkehrsmittel sein, fremd-administrierte IT -Systeme können ebenso ungeeignet sein (siehe M 4.251 Arbeiten mit fremden IT-Systemen ). Wichtig ist auch, dass klar beschrieben wird, wie mit Client-seitigen Sicherheitslösungen umzugehen ist. Dazu gehört beispielsweise, dass

  • keine sicherheitsrelevanten Konfigurationen verändert werden dürfen,
  • Passwörter nicht auf dem Client gespeichert werden dürfen, es sei denn mit von dafür freigegebenen Passwort-Speicher-Tools (siehe M 4.306 Umgang mit Passwort-Speicher-Tools ),
  • stets ein Virenscanner aktiviert sein muss,
  • eine vorhandene Personal Firewall nicht abgeschaltet werden darf (siehe auch M 5.91 Einsatz von Personal Firewalls für Clients ),
  • die Konfiguration der VPN -Clients nicht von den Benutzern verändert werden darf, nur durch die hierfür benannten Administratoren, und
  • alle Freigaben von Verzeichnissen oder Diensten deaktiviert oder zumindest durch gute Passwörter geschützt sind.

Außerdem sollte die Benutzerrichtlinie Angaben dazu enthalten, welche Daten im VPN genutzt und übertragen werden dürfen und welche nicht. Hierzu gehört vor allem der Umgang mit klassifizierten Informationen, beispielsweise Verschlusssachen. Benutzer sollten für VPN -Gefährdungen sowie für Inhalte und Auswirkungen der VPN -Richtlinie sensibilisiert werden.

Richtlinie für Administratoren eines VPN s

Daneben sollte eine VPN -spezifische Richtlinie für Administratoren erstellt werden, die auch als Grundlage für die Schulung der Administratoren dienen kann. Darin sollte festgelegt sein, wer für die Administration der unterschiedlichen VPN -Komponenten zuständig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Administratoren gibt, und wann welche Informationen zwischen den Zuständigen fließen müssen. So ist es durchaus üblich, dass für den Betrieb der serverseitigen Komponenten eine andere Organisationseinheit zuständig ist als für die Betreuung der VPN -Clients oder für das Identitäts- und Berechtigungsmanagement. Die VPN -Richtlinie für Administratoren sollte weiterhin die wesentlichen Kernaspekte zum Betrieb einer VPN -Infrastruktur umfassen, wie z. B.

  • Festlegung einer sicheren VPN -Konfiguration und Definition von sicheren Standard-Konfigurationen,
  • geeignete Verwaltung aller VPN -Komponenten,
  • Auswahl und Einrichtung von Kryptoverfahren inklusive Schlüsselmanagement,
  • Regelmäßige Auswertung von Protokolldateien, zumindest auf den Servern,
  • Inbetriebnahme von Ersatzsystemen,
  • Maßnahmen bei Kompromittierung des VPN s.

Alle VPN -Anwender, egal ob Benutzer oder Administratoren, sollten mit ihrer Unterschrift bestätigen, dass sie den Inhalt der VPN -Sicherheitsrichtlinie gelesen haben und die darin definierten Anweisungen auch einhalten. Ohne diese schriftliche Bestätigung sollte niemand VPN s nutzen dürfen. Die unterschriebenen Erklärungen sind an einem geeigneten Ort, beispielsweise in der Personalakte, aufzubewahren.

Prüffragen:

  • Existiert eine aktuelle VPN -Sicherheitsrichtlinie?

  • Besitzt jeder VPN -Benutzer ein Exemplar der VPN-Richtlinie oder ein Merkblatt mit einem Überblick der wichtigsten Sicherheitsmechanismen?

  • Wird die Sicherheitsrichtlinie für die VPN -Nutzung den Benutzern im Rahmen der Schulungen zu Sicherheitsmaßnahmen erläutert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK