Bundesamt für Sicherheit in der Informationstechnik

M 2.472 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Sicherheitsvorgaben für die TK -Anlage der Institution ergeben sich aus der organisationsweiten Sicherheitsrichtlinie. Ausgehend von dieser allgemeinen Richtlinie müssen die Anforderungen konkretisiert und in einer Sicherheitsrichtlinie für die TK-Anlage zusammengefasst werden. In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie IT-Richtlinien, Passwortrichtlinien oder Vorgaben wie beispielsweise zur Nutzung von VoIP (Voice-over-IP) zu berücksichtigen sind.

Die Sicherheitsrichtlinie sollte grundlegende Aussagen zur Verfügbarkeit der TK-Anlage sowie zur Vertraulichkeit und Integrität der gespeicherten oder verarbeiteten Daten treffen. Dabei ist zu beachten, dass für Kommunikationsdienste grundsätzlich hohe Erwartungen an die Verfügbarkeit und auch in die Vertraulichkeit gesetzt werden. Bei der Speicherung von personenbezogenen Daten müssen auch Aspekte wie Datenschutz und Aufbewahrungspflichten für Daten berücksichtigt werden. Letztere dienen als Basis für Sicherheitsanalysen im Verdachts- oder Revisionsfall.

Die Sicherheitsrichtlinie für TK-Anlagen muss allen Personen und Gruppen, die an der Beschaffung, dem Aufbau, der Umsetzung und dem Betrieb der TK-Anlage beteiligt sind, bekannt sein und die Grundlage für deren Arbeit darstellen. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Im Rahmen der Sicherheitsrichtlinie für TK-Anlagen sollten die Benutzer in kurzer, verständlicher Form über die Gefährdungen informiert werden, die mit der Nutzung einer TK-Anlage und ihrer Kommunikationsdienste verbunden sind (siehe auch M 3.82 Schulung zur sicheren Nutzung von TK-Anlagen ). Dabei sollten auch immer aktuelle Entwicklungen im Bereich der Technik und neu bekannt gewordenen Gefahren berücksichtigt werden. Diese Informationen sollen die Benutzer sensibilisieren und motivieren, diese Richtlinie auch einzuhalten.

Neben den Leistungsmerkmalen einer klassischen TK-Anlage wie beispielsweise Makeln, Rückfrage, Rückruf bei Besetzt, Anklopfen und auch Aufschalten auf ein bestehendes Gespräch, Konferenzschaltung und Heranholen eines Gespräches, verfügen Hybrid-Anlagen und VoIP-Anlagen durch die Kopplung von Eigenschaften der klassischen TK-Anlage und von IT -Systemen zusätzlich über eine Vielzahl von weiteren IT-basierten Funktionen. Beispielsweise können Sprachnachrichten und Faxe über E-Mail übertragen, Anrufe per Mausklick von einer Anwendung am PC initiiert und vermittelt und die aktuelle Verfügbarkeit eines Teilnehmers angezeigt werden. In der Richtlinie sollte daher festgelegt werden, welche Funktionen und Leistungsmerkmale der TK-Anlage genutzt werden sollen. Zusätzlich muss festgelegt werden, wer für welche Zwecke welche Dienste benutzen darf. In diesem Zusammenhang ist ebenfalls der Umfang der privaten Nutzung festzulegen.

Weiterhin müssen Sicherheitsmaßnahmen beachtet werden, welche die Auswahl und Installation der erforderlichen Sicherheitshard- und -software sowie Vorgaben für die sichere Konfiguration der TK-Anlage und ihrer Endgeräte regeln. Bei Nutzung einer Hybrid-Anlage oder eines VoIP-Systems sind dies zusätzlich die für diese Systeme geltenden Richtlinien. In einigen Fällen kann es zweckmäßig sein, dass Benutzer bestimmte Konfigurationseinstellungen, wie beispielsweise das Sperren des Telefonendgeräts bei Abwesenheit, direkt am Endgerät selbst vornehmen dürfen. Dies sollte in den Richtlinien vermerkt, anderenfalls untersagt werden.

Sinnvoll ist es weiterhin, beispielsweise folgende Punkte in die Richtlinien mit aufzunehmen:

  • Regelungen zur physikalischen Zugriffskontrolle:
    Eine TK-Anlage sollte grundsätzlich in einem separaten Sicherheitsbereich, wie zum Beispiel in einem abschließbaren Rechnerraum aufgestellt werden. Dabei ist zu regeln, wer Zutritt zu dem Raum beziehungsweise Zugriff auf die Anlage selbst erhalten soll. Der Zugang zur Administration, der in der Regel über eine Administrations-SW aber auch über separate Endgeräte erfolgen kann, sollte auf das TK-Betriebspersonal beschränkt sein (siehe auch M 2.27 Wartung einer TK-Anlage ).
  • Regelungen für die Arbeit der Administratoren:
    Festzulegen ist, nach welchem Schema die Administrationsrechte vergeben werden. Es ist dabei zu überlegen, ob die Aufgabenbereiche des Administrators für die IT-Systeme von denen des Verantwortlichen für die TK-Anlage getrennt werden. Es ist darzulegen, welcher Administrator welche Rechte ausüben darf und wie er diese Rechte erlangt. In einem weiteren Schritt müssen die Zugangswege bestimmt werden, über die die Administratoren auf die Systeme zugreifen. Denkbar ist der lokale Zugriff an der TK-Anlage selbst, über ein eigenes Administrationsnetz oder über die Fernwartungsschnittstelle (siehe auch M 5.14 Absicherung interner Remote-Zugänge von TK-Anlagen und M 5.15 Absicherung externer Remote-Zugänge von TK-Anlagen ).

Zusätzlich muss geregelt werden, welche Vorgänge dokumentiert werden müssen und in welcher Form die Dokumentation erstellt und gepflegt wird. Dazu gehören die folgenden Vorgaben für die Installation und Konfiguration:

  • Vorgehen bei der Installation der gesamten TK-Anlage und der Endgeräte,
  • Überprüfung und gegebenenfalls Änderung der Default-Einstellungen hinsichtlich ihrer Sicherheitsgefährdungen sowie die Änderung der Standard-Passwörter,
  • Verwendung und Konfiguration der TK-Anlage und Endgeräte,
  • Dokumentation und Sicherung der Konfiguration.

Es sollten Vorgaben für den sicheren Betrieb gemacht werden, wie beispielsweise:

  • Absicherung der Administration (Technische Beschränkung des Zugangs zur Administration auf das TK-Betriebspersonal),
  • Logging aller Anmeldeversuche an der TK-Anlage, Protokollierung und regelmäßige Kontrolle von Fernwartungszugriffen,
  • erlaubte Werkzeuge für Betrieb und Wartung,
  • Abschaltung sonstiger, nicht zur Verwendung vorgesehener Zugriffsmöglichkeiten,
  • Vergabe von Berechtigungen,
  • Vorgehensweisen bei Software-Updates und Konfigurationsänderungen,
  • Datensicherung und Wiederherstellung,
  • Regelungen für die Reaktion auf Betriebsstörungen, technische Fehler (lokaler Support, Fernwartung) und Sicherheitsvorfälle.

Auch auf die sichere Entsorgung der Komponenten der TK-Anlage sollte in der Sicherheitsrichtlinie hingewiesen werden. So werden zum Teil Verbindungsdaten und andere personenbezogene Daten auf Datenträgern in der TK-Anlage gespeichert. Endgeräte sind häufig von außen mit Namen auf Schnellwahltasten, IP-Adressen, Telefonnummern oder sonstigen technischen Informationen beschriftet. Die einzelnen Komponenten müssen so vernichtet werden, dass eine Rekonstruktion der Daten nicht möglich ist.

Die Verantwortung für die Umsetzung der Sicherheitsrichtlinie für TK-Anlagen liegt beim IT-Betrieb, Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem IT-Sicherheitsbeauftragten erfolgen.

Prüffragen:

  • Existiert eine aktuelle Sicherheitsrichtlinie für TK -Anlagen?

  • Ist die Sicherheitsrichtlinie für TK -Anlagen allen Mitarbeitern bekannt gemacht worden?

Stand: 12. EL Stand 2011