Bundesamt für Sicherheit in der Informationstechnik

M 2.455 Festlegung einer Sicherheitsrichtlinie für Groupware

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Wie für jedes in einer Behörde oder einem Unternehmen eingesetzte Client-Server-System muss auch für den Einsatz von Groupware-Servern und -Clients eine geeignete Sicherheitsrichtlinie festgelegt werden, in der die Regelungen beschrieben sind, die von den Groupware-Administratoren und den Groupware-Benutzern zu beachten sind.

  • Die Sicherheitsrichtlinie für Groupware-Systeme muss konform zu den geltenden generellen Sicherheitsrichtlinien des Unternehmens bzw. der Behörde sein.
  • Es muss festgelegt werden, wann eine Kommunikationsabsicherung, z. B. für Netz- oder E-Mail-Kommunikation, vorgenommen werden muss (z. B. beim Zugriff über das Internet). Dabei ist auch festzulegen, welche Mechanismen dafür genutzt werden sollen.
  • Die Sicherheitsrichtlinie muss an alle mittel- und unmittelbar betroffenen Personen der Institution verteilt werden. Am Besten sollte sie im Rahmen einer internen Schulung vorgestellt werden. Die Sicherheitsrichtlinie muss regelmäßig aktualisiert werden. Änderungen müssen in geeigneter Weise den betroffenen Personen mitgeteilt werden.

Es ist sinnvoll, die Groupware-Sicherheitsrichtlinie in einen Teil für Benutzer und einen Teil für Administratoren zu trennen, um sie verständlicher gestalten zu können. In der Sicherheitsrichtlinie für Groupware für Benutzer ist beispielsweise festzulegen,

  • welche Benutzer auf welche Groupware-Server zugreifen dürfen und welche Benutzer auf welche Groupware-Server nicht zugreifen sollen (Ausschlussliste),
  • welche Benutzer mit welchen Rechten auf welche Groupware-Datenbanken zugreifen dürfen,
  • welche Informationen an welche Kommunikationspartner weitergegeben werden dürfen,
  • wie die übermittelten Informationen (in Abhängigkeit von ihrem Schutzbedarf) abzusichern sind, vor allem sollte geregelt sein, wann übertragene Dateien verschlüsselt bzw. digital signiert werden müssen.

Die Groupware-Sicherheitsrichtlinie für Administratoren sollte unter anderem umfassen,

  • wie die Groupware-Komponenten durch die Administratoren zu konfigurieren sind, um angemessene Sicherheit zu ermöglichen,
  • welche anderen Server auf einen Groupware-Server zugreifen dürfen und
  • von wo aus auf einen Groupware-Server zugegriffen werden darf.

In der Groupware-Sicherheitsrichtlinie wäre beispielsweise beim Einsatz von Microsoft Exchange festzulegen, welche Benutzer mit welchen Rechten auf welche Exchange-Objekte zugreifen dürfen. Da sich Microsoft Exchange-Systeme sehr stark in die Windows-Umgebung integrieren, speziell in das Active Directory, muss die Windows-Sicherheitsrichtlinie berücksichtigt werden.

Prüffragen:

  • Existiert eine aktuelle Sicherheitsrichtlinie zu Groupware-Systemen?

  • Werden alle Benutzer über neue oder veränderte Sicherheitsvorgaben zu Groupware-Systemen informiert?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK