Bundesamt für Sicherheit in der Informationstechnik

M 4.40 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Viele IT-Systeme sind mit Mikrofonen und teilweise auch mit Kameras ausgestattet. Mikrofon und Kamera eines vernetzten Rechners können von denjenigen benutzt werden, die Zugriffsrechte auf die entsprechende Gerätedatei haben. Für ein Mikrofon wäre das unter Unix zum Beispiel /dev/audio für die Soundkarte oder /dev/video für eine Kamera. Unter Windows bestimmen die Zugriffsrechte auf die entsprechenden Schlüssel der Registrierung (HKEY_LOCAL_MACHINE\HARDWARE\.), wer das Rechnermikrofon oder die Rechnerkamera aktivieren kann. Diese Rechte sind daher sorgfältig zu vergeben. Der Zugriff auf die Gerätedatei sollte nur möglich sein, solange jemand lokal an dem IT -System arbeitet. Wenn die Benutzung eines vorhandenen Mikrofons oder einer Kamera generell verhindert werden soll, müssen diese - wenn möglich - ausgeschaltet oder physikalisch vom Gerät getrennt werden.

Falls das Mikrofon bzw. die Kamera in den Rechner fest eingebaut ist und nur durch Software ein- und ausgeschaltet werden kann, müssen die Zugriffsrechte so gesetzt sein, dass kein Unbefugter sie benutzen kann. Dies kann z. B. erfolgen, indem unter Unix allen Benutzern die Leserechte auf die Gerätedateien /dev/audio, /dev/video bzw. unter Windows die Zugriffsrechte auf die entsprechenden Schlüssel der Registrierung entzogen werden. Dadurch ist ausgeschlossen, dass ein normaler Benutzer das Mikrofon oder die Kamera benutzen kann, er kann aber weiterhin Audio- oder Video-Dateien abspielen.

Bei IT-Systemen mit Mikrofon bzw. Kamera ist zu prüfen, ob Zugriffsrechte und Eigentümer bei einem Zugriff auf die Gerätedatei verändert werden. Falls dies der Fall ist oder falls gewünscht ist, dass jeder Benutzer Mikrofon oder Kamera benutzen kann und es nicht nur in Einzelfällen durch den Systemadministrator freigegeben werden soll, muss der Administrator ein Kommando zur Verfügung stellen, das

  • nur aktiviert werden kann, wenn jemand an dem IT-System angemeldet ist,
  • nur durch diesen Benutzer aktiviert werden kann und
  • die Zugriffsberechtigungen dem Benutzer nach dem Abmelden wieder entzieht.

Solange der Zugriff auf das Mikrofon oder die Kamera durch kein sicheres Kommando geregelt wird, müssen diese physikalisch vom Rechner oder der Rechner vom Netz getrennt werden.

Rechner mit eingebautem Mikrofon oder Kamera sollten während einer vertraulichen Besprechung aus dem Raum entfernt werden oder zumindest ausgeschaltet werden. Bei einem Laptop sollten alle eventuell vorhandenen Verbindungen zu Kommunikationsnetzen, die nicht benötigt werden, getrennt werden. In den meisten Fällen ist es hierzu am einfachsten, das entsprechende Kabel auszustecken.

Prüffragen:

  • Keine betriebliche Notwendigkeit zur Nutzung des Mikrofons: Existiert eine Regelung zur Abschaltung oder physikalischen Trennung des Rechnermikrofons?

  • Bei internem Mikrofon bzw. betrieblicher Notwendigkeit: Existieren eindeutige Regelungen zur Rechtevergabe für die Nutzung des Mikrofons?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK