Bundesamt für Sicherheit in der Informationstechnik

M 2.471 Planung des Einsatzes von TK-Anlagen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor der Planung des Einsatzes einer TK -Anlage ist eine umfangreiche Analyse durchzuführen, in der die wichtigsten Anforderungen an eine TK-Anlage festgelegt werden (siehe M 2.470 Durchführung einer Anforderungsanalyse für TK-Anlagen ).

Eine grundlegende Voraussetzung für den sicheren Einsatz von TK-Anlagen ist eine angemessene Planung im Vorfeld. Der Einsatz von TK-Anlagen kann in mehreren Schritten nach dem Prinzip des Top-Down-Entwurfs geplant werden: Ausgehend vom Gesamtsystem werden konkrete Planungen für Teilkomponenten durchgeführt. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen können.

Es ist daher sinnvoll, das eventuell vorhandene Telekommunikationssystem der Institution mit seinen Funktionen detailliert zu erfassen. Zusätzlich ist es notwendig, einen Überblick über die am Telekommunikationssystem angeschlossenen Komponenten zu erhalten.

Von grundlegender Bedeutung ist auch die, in der Anforderungsanalyse bestimmte Betriebsart der TK-Anlage als klassische TK-Anlage, VoIP -Anlage, hybride TK-Anlage oder IP -Anlagenanschluss.

Die nachfolgenden Aspekte sollten bei der Planung des Einsatzes von TK-Anlagen berücksichtigt werden:

Richtlinien für die Nutzung

Um TK-Anlagen sicher und effektiv einsetzen zu können, müssen Sicherheitsvorgaben erstellt werden, die auf den vorhandenen Sicherheitszielen basieren. Außerdem sollen Anforderungen aus den geplanten Einsatzszenarien mit einbezogen werden. Diese spezifischen Sicherheitsvorgaben müssen mit dem übergreifenden Sicherheitskonzept der Institution abgestimmt sein (siehe dazu auch M 2.472 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen ).

Ausstattungsmerkmale/Endgeräte

Je nach Nutzung der TK-Anlage muss festgelegt werden, welche Endgeräte benötigt werden. Neben der klassischen Funktion der Sprachtelefonie bieten schon einfache TK-Anlagen eine Reihe von komfortablen Ausstattungsmerkmalen. Dabei wird sowohl bei klassischen als auch bei hybriden TK-Anlagen zwischen analogen und digitalen Geräten und den Gerätetypen wie Modem, Fax sowie schnurlosen und schnurgebundenen Telefonen unterschieden. Die Auswahl sollte auch Bedieneigenschaften, Bedienkomfort und Geräteeigenschaften berücksichtigen. So können bei den Telefonen beispielsweise je nach konkretem Einsatzbereich auch Headsets oder ganz einfache Geräte ausgewählt werden.

Leistungsmerkmale

TK-Anlagen bieten eine Vielzahl von Leistungsmerkmalen. Diese können sicherheitsrelevante Aspekte beinhalten, die beachtet werden müssen. So gehören zu den sicherheitskritischen Leistungsmerkmalen beispielsweise das Aufschalten, bei dem weitere Gesprächsteilnehmer zu einem bestehenden Telefongespräch hinzugefügt werden können, die Konferenzschaltung, bei der mehrere Teilnehmer gleichzeitig miteinander über die Anlage miteinander telefonieren, und das Heranholen eines ankommenden Telefongespräches von einem fremden auf das eigene Telefon. Während der Planung des Einsatzes ist zu entscheiden, welche der von der TK-Anlage bereitgestellten Leistungsmerkmale verwendet werden sollen.

Zuständigkeiten

Da bei der Nutzung von TK-Anlagen eine Vielzahl von Komponenten benötigt werden, ist zu klären, welche Organisationseinheiten für welche Aufgaben zuständig sind, also beispielsweise, wer sich um Beschaffung und Einrichtung von Hardware, Softwareupdates, Benutzerkennungen oder Benutzerbetreuung kümmert. Es ist auch zu klären, ob eventuell eine Betreuung durch einen externen Support erfolgen soll.

Berechtigungskonzept

Aufgrund der ausgewählten Leistungsmerkmale sollten in einem Rollenkonzept die Berechtigungen zur Nutzung festgelegt werden wie beispielsweise:

  • Wer darf welche Funktionen und Kommunikationsdienste nutzen?
  • Wer entscheidet darüber, wie der in der TK-Anlage integrierte Anrufbeantworter besprochen wird und wer darf wann welche Aufnahmen löschen?
  • Wer kümmert sich um eine musikalische Ansage in der Warteschleife oder um die automatische Weiterleitung?
  • Werden die Endgeräte zentral durch einen Administrator konfiguriert oder erhält jeder Benutzer eigene Berechtigungen?

Administration und Konfiguration

Die mit dem Berechtigungskonzept gestarteten Überlegungen zur Konfiguration und Administration der TK-Anlage müssen verfeinert werden. Es muss überlegt werden, wie das System administriert werden soll und welche Einstellungen über ein zentrales Administrations- und Konfigurationsmanagement und welche lokal an den Endgeräten vorgenommen werden. Zentrale Aufgaben wären beispielsweise das Anbinden zusätzlicher Gerätetypen, die Einrichtung von Notruf- und Sondernummern sowie die Adressbuchverwaltung beziehungsweise die Anbindung von Verzeichnisdiensten wie LDAP . An den Endgeräten könnten lokal Klingeltöne, Tastensperren, die Belegung von Funktionstasten oder private Telefonbücher eingestellt werden.

Zu klären ist weiterhin, wer für die Administration der TK-Anlage und ihrer Komponenten verantwortlich ist. Dazu gehören auch Aufgaben wie beispielsweise das Aufspielen von Patches oder Updates auf ein Teilsystem, die Einführung neuer Benutzergruppen, Änderungen der Rechte und in der Zusammensetzung von Benutzergruppen, die Aktivierung neuer Funktionen der TK-Anlage und Konfigurationsänderungen, die über eine einfache Benutzerverwaltung hinausgehen. Die TK-Anlage ist in das Patch- und Änderungsmanagement der Institution einzugliedern (siehe B 1.14 Patch- und Änderungsmanagement ).

Änderungen an der Konfiguration der TK-Anlage sollten protokolliert werden, so das sie zu einem späteren Zeitpunkt nachvollziehbar sind (siehe auch M 4.5 Protokollierung bei TK-Anlagen ).

Protokollierung

In der Planungsphase sollte entschieden werden, welche Informationen mindestens protokolliert und wie lange die Protokolldaten aufbewahrt werden sollen. Außerdem muss festgelegt werden, ob die Protokolldaten lokal in der Anlage oder auf einem zentralen Server im Netz gespeichert werden sollen. Auch bei einem IP-Anlagenanschluss muss eine Protokollierung möglich sein. Sinnvollerweise sollte bereits in der Planungsphase festgelegt werden, wie und zu welchen Zeitpunkten Daten ausgewertet werden. Hierbei ist zu prüfen, inwieweit das Datenschutzgesetz zu beachten ist und welche Konsequenzen daraus zu ziehen sind.

Eine TK-Anlage liefert im Allgemeinen Protokolldaten zu Zeiten und Rufnummern abgehender und ankommender Telefonate. Mit diesen Daten können beispielsweise Telefonate an Kostenstellen verrechnet werden. Die Daten können mithilfe entsprechender Software gesichert werden.

Datensicherung

Die Konfigurationen, die aktuellen Versionen der verwendeten Programme und die Protokolldaten der TK-Anlage und deren Komponenten sollten regelmäßig gesichert werden, um bei Ausfällen in kurzer Zeit ein Ersatzsystem bereitstellen zu können. Sicherungszeitpunkte und -formen sollten festgelegt werden, um den Anforderungen an den maximal tolerablen Datenverlust gerecht zu werden. Die entsprechenden Festlegungen sind in einen Gesamt-Datensicherungsplan des zentralen IT-Bereichs aufzunehmen, siehe dazu auch Maßnahme M 6.26 Regelmäßige Datensicherung der TK-Anlagen-Konfigurationsdaten .

Notfallvorsorge

Um schnell und effektiv auf Probleme zu reagieren, müssen die organisatorischen Rahmenbedingungen geschaffen werden, um in Notfällen schnell auf alternative Kommunikationskanäle umschalten oder Notrufe absetzen zu können. Dabei ist auch auf die Schulung aller Mitarbeiter zu achten. Sie müssen für mögliche Gefährdungen der TK-Anlage sensibilisiert, auf mögliche Warnanzeigen, -symbole und -töne hingewiesen und in die Bedienung der entsprechenden Kommunikationsdienste eingewiesen werden. Nicht nur für die Geschäftsprozesse ist die Verfügbarkeit der Telekommunikation eine wichtige Voraussetzung. Daher müssen entsprechende Vorkehrungen getroffen werden. Weitere Informationen hierzu sind in der Maßnahme M 6.145 Notfallvorsorge für TK-Anlagen zu finden.

Die Planung muss der Leitungsebene zur Entscheidung vorgelegt und alle Entscheidungen nachvollziehbar dokumentiert werden.

Prüffragen:

  • Sind alle Planungen bezüglich der TK -Anlage nachvollziehbar dokumentiert worden?

Stand: 12. EL Stand 2011