Bundesamt für Sicherheit in der Informationstechnik

M 2.457 Konzeption für die sichere Internet-Nutzung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Nahezu jede Institution nutzt heute das Internet. Neben den vielen Vorteilen des Internet gibt es permanent neue Meldungen über Risiken, denen Anwender bei der Internet-Nutzung ausgesetzt sind. Um diese zu minimieren, sollte jede neue Variante der Internet-Nutzung sorgfältig geplant werden sowie alle IT-Komponenten und ihre Vernetzung sicher installiert und konfiguriert werden.

In einer Konzeption für die sichere Internet-Nutzung muss zunächst geklärt werden, wer welche Internet-Dienste nutzen darf, welche Regelungen dabei zu beachten sind und wie die internen IT -Systeme zu schützen sind. Die Konzeption muss in die allgemeine Sicherheitsstrategie der jeweiligen Institution eingebettet sein und daher mit dem Informationssicherheitsmanagement abgestimmt werden.

Planung

Es muss festgelegt werden, welche Arten von Internet-Kommunikation zugelassen werden (siehe auch M 2.459 Überblick über Internet-Dienste ). Dazu muss geklärt werden, welche Ziele mit der Internet-Nutzung erreicht werden sollen. Es muss eine geeignete und den Bedürfnissen der Institution entsprechende Auswahl von Internet-Diensten getroffen werden. Dies kann von dem Extrem, dass nur ausgewählte Mitarbeiter Internet-Zugang haben und dieser restriktiv gehandhabt wird, bis zu dem anderen Extrem, dass von jedem Arbeitsplatz aus Internet-Anwendungen aller Art genutzt werden können, reichen. Der Aspekt der Sicherheit muss bereits sehr früh in der Planungsphase berücksichtigt werden, um die entstehende Architektur entsprechend sicher auslegen zu können.

Wird für bestimmte Bereiche keine oder nur eine eingeschränkte Internet-Nutzung zugelassen, so kann es sinnvoll sein, für den Internet-Zugang in diesen Bereichen eigenständige Internet-PCs bereitzustellen (siehe Baustein B 3.208 Internet-PC ).

In der Sicherheitskonzeption für die Internet-Nutzung sollten die folgenden Fragen beantwortet werden:

  • Wer erhält Internet-Zugang?
  • Unter welchen Bedingungen bzw. zu welchen Zwecken darf auf das Internet zugegriffen werden?
  • Welche Dienste dürfen im Internet benutzt werden?
  • Welche Informationen dürfen oder dürfen nicht im Internet weitergegeben werden?
  • Sind Benutzerschulungen erforderlich und falls ja, wie werden sie durchgeführt?
  • Wie wird technische Hilfestellung für die Benutzer gewährleistet?

Die Nutzung der einzelnen Internet-Dienste sollte geregelt und für jede Gruppe von Benutzern und/oder IT-Systeme geklärt werden, welche Sicherheitsbedingungen zu beachten sind. Dabei sollten nur die Dienste zugelassen werden, die zur Erfüllung der Aufgaben unbedingt notwendig sind. Dienste, für die noch keine expliziten Regeln festgelegt wurden, dürfen nicht eingesetzt werden, ehe entweder neue Regeln festgelegt oder bestehende Regelungen angepasst wurden. Dazu gehören beispielsweise das Sicherheitskonzept und auch die Benutzerrichtlinien. Weiterhin muss die private Internet-Nutzung geklärt werden.

Die Entscheidungen, die zur Nutzung der verschiedenen Internet-Dienste getroffen wurden, sollten, ebenso wie die Gründe für diese Entscheidungen, nachvollziehbar dokumentiert werden.

Aktualität

Die Konzeption für die Internet-Nutzung muss regelmäßig aktualisiert werden, mindestens einmal jährlich, da sich dieser Bereich sehr dynamisch entwickelt. Auch sollte die Entwicklung und Aktualisierung der Konzeption zur Internet-Nutzung Hand in Hand mit der Konzeption der Internet-Anbindung erfolgen, um eine sichere Anbindung an das Internet und damit auch eine sichere Nutzung des Internets zu gewährleisten.

Bei Änderungen in den Zielen, der Strategien oder der Gefährdungslage der Institution muss geprüft werden, welche Auswirkungen diese auf die Internet-Nutzung haben.

Prüffragen:

  • Ist eine aktuelle Konzeption für die Internet-Nutzung vorhanden?

  • Wird die Konzeption regelmäßig überprüft und falls erforderlich angepasst?

Stand: 12. EL Stand 2011