Bundesamt für Sicherheit in der Informationstechnik

M 2.578 Installation, Konfiguration und Betreuung eines lokalen Netzes durch Dritte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Wenn ein LAN durch einen externen Auftragnehmer installiert, konfiguriert oder betreut werden soll, so sind bei diesem, neben den Empfehlungen in Baustein B 1.11 Outsourcing , die im Folgenden beschriebenen Punkte zu beachten:

  • Es ist stets zu prüfen, ob eine LAN -Installation nicht selbst durchgeführt werden kann. Eine Machbarkeits- und eine Kostenprüfung sollte hierfür durchgeführt werden.
  • Die LAN -Sicherheitsrichtlinie sollte stets selbst erstellt werden und nicht durch Dritte. Dadurch wird verhindert, dass sich in der Institution niemand mehr ausführlich mit den Sicherheitsaspekten von LAN s auseinandersetzt und somit eventuell notwendige Sicherheitsmaßnahmen vergessen werden. Es ist aber sinnvoll, zur Erstellung einer LAN -Sicherheitsrichtlinie Beratungen und Hilfestellungen durch Dritte in Anspruch zu nehmen, wenn keine internen Ressourcen dafür vorhanden sind.
  • Bei der Vergabe von Installation, Konfiguration und Betreuung eines lokalen Netzes ist der IT -Sicherheitsbeauftragte mit einzubeziehen. Es ist ein detailliertes Pflichtenheft zu erstellen. Darin sind alle Mindestanforderungen an die LAN -Komponenten zu definieren.
  • Dem Auftragnehmer ist die LAN -Sicherheitsrichtlinie vorzulegen. Er muss vertraglich dazu verpflichtet werden, diese einzuhalten und umzusetzen. Dies ist bei der Umsetzung der vertraglich vereinbarten Leistungen regelmäßig zu überprüfen, um frühzeitig eventuelle Probleme zu erkennen. Die Sicherheitsrichtlinie sollte fester Bestandteil des Pflichtenheftes sein.
  • Der Auftragnehmer sollte weitreichende und am besten langjährige Erfahrungen im Aufbau und in der Absicherung eines LAN s haben. Entsprechende Referenzen sind vorzulegen und zumindest stichprobenweise zu prüfen.
  • Der Auftragnehmer muss vertraglich dazu verpflichtet werden, die Konfiguration der LAN -Komponenten, sowie Passwörter, Verbindungsschlüssel und Zugangskennungen und -mechanismen nicht an unbefugte Personen weiterzugeben. Ebenso sollte der Auftragnehmer dazu verpflichtet werden, die durch den Aufbau eines LAN s eventuell bekannt gewordenen Informationen und Daten nicht zwischenzuspeichern oder an unbefugte Personen weiterzugeben.
  • Vor der Installation eines LAN s durch den Auftragnehmer sind entsprechende Teststellungen durchzuführen. Dabei sollten alle geplanten Sicherheitseinstellungen ausführlich getestet werden.
  • Während Installation, Konfiguration und Betreuung eines lokalen Netzes durch einen Auftragnehmer sollte darauf geachtet werden, dass keine Hintertüren in das LAN durch den Auftragnehmer eingebaut werden. Alle Einstellungen und Konfigurationen sind durch den Auftragnehmer genau zu dokumentieren und mit Abschluss der Installation an den Auftraggeber vollständig zu übergeben.
  • Nach Abschluss einer LAN -Installation sollte anhand des Leistungsverzeichnisses eine Abnahme durchgeführt werden. Darüber hinaus können die im Pflichtenheft nach der Vergabe erstellten Ausführungsunterlagen als Prüfungsgrundlage dienen, da hierin beispielsweise Verfahren für Abnahmemessungen spezifiziert sein können.
  • Die Abnahme einer LAN -Installation sollte mit Hilfe eines unabhängigen Experten erfolgen, um auch die technischen Details genau überprüfen zu lassen. Hierbei ist der IT -Sicherheitsbeauftragte auch mit einzubeziehen.
  • Als wesentlicher Schwerpunkt sollte bei der Abnahme zudem die Dokumentation auf Vollständigkeit und eventuelle Inkonsistenzen geprüft werden.
  • Soll das LAN auch nach der Installation durch einen externen Auftragnehmer betreut werden, so muss der Auftragnehmer auch hier vertraglich verpflichtet werden, alle hierbei bekannt gewordenen Informationen, wie Passwörter, sensible Daten, Konfigurationseinstellungen usw. nicht an unbefugte Personen weiterzugeben. Ebenso sollte ein Notfallvorsorgeplan (siehe auch M 6.165 Erstellen eines Notfallplans für den Ausfall des lokalen Netzes ) mit dem Auftragnehmer erstellt werden. Hierbei sollte für jedes möglicherweise im LAN auftretende Problem der Schweregrad, die Reaktionszeit, die jeweiligen Arbeitsschritte und wer im Notfall informiert werden muss genau definiert werden.

Prüffragen:

  • Sind Auftragnehmer bei Installation, Konfiguration oder Betreuung eines lokalen Netzes auf die LAN-Sicherheitsrichtlinie verpflichtet worden?

  • Wurde mit dem Auftragnehmer ein Notfallvorsorgeplan für Probleme im LAN erstellt?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK