Bundesamt für Sicherheit in der Informationstechnik

M 4.6 Revision der TK-Anlagenkonfiguration

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, TK-Anlagen-Verantwortlicher

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Revisor

Um die Sicherheit der TK -Anlagen zu gewährleisten, sind Revisionen der TK-Anlagenkonfiguration in regelmäßigen Abständen durchzuführen. Zur Revisionstätigkeit gehört speziell die Kontrolle der Tätigkeit der Systemverwaltung, des Wartungspersonals, des Ist-Zustands der TK-Anlage und der Einhaltung der datenschutzrechtlichen Vorschriften.

Jede Konfigurationsänderung, wie die Erteilung von Berechtigungen für einen Benutzer, sollte in eine Ist-Bestandsliste eingetragen werden. Diese Liste kann per Hand oder automatisiert geführt werden. In regelmäßigen Abständen, beispielsweise alle 6 Monate, sollte diese Ist-Bestandsliste zumindest stichprobenartig mit der Realität verglichen werden. Durch eine kontinuierliche Revision der Bestandsliste kann das angestrebte Sicherheits- und Datenschutzniveau sichergestellt werden. Werden Unstimmigkeiten festgestellt, sind diese mit Hilfe der Protokolle der TK-Anlage aufzuklären.

Es sollte beispielsweise kontrolliert werden, ob

  • alle nicht vergebenen Rufnummern auch wirklich nicht eingerichtet sind,
  • Rufnummern und Teilnehmer vollständig zugeordnet sind,
  • verbotene Berechtigungen nirgendwo vergeben sind,
  • deaktivierte Leistungsmerkmale und Kommunikationsschnittstellen sowie
  • deaktivierte Dial-In-Funktionen auch wirklich inaktiv sind.

Ist es nicht gewünscht oder nicht möglich, die Rolle eines unabhängigen Revisors einzurichten, kann die Auswertung der Protokolldateien auch durch den Administrator erfolgen. Für diesen Fall bleibt zu beachten, dass damit eine Kontrolle der Tätigkeiten des Administrators selbst nur schwer möglich ist. Zudem kann der Administrator möglicherweise Einblick in geschützte Daten (Anrufprotokolle) erhalten (siehe M 2.110 Datenschutzaspekte bei der Protokollierung ). Das Ergebnis der Auswertung sollte daher zumindest dem IT -Sicherheitsbeauftragten, dem IT-Verantwortlichen oder einem anderen, besonders zu bestimmenden Mitarbeiter vorgelegt werden.

Prüffragen:

  • Werden Änderungen in der Konfiguration und den Leistungsmerkmalen der TK -Systeme nachvollziehbar dokumentiert?

  • Existiert eine Regelung zur kontinuierlichen Überprüfung der TK -Systeme?

  • Existiert eine Regelung zur Festlegung von Inhalten und Umfang der kontinuierlichen Überprüfungen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK