Bundesamt für Sicherheit in der Informationstechnik

M 4.63 Sicherheitstechnische Anforderungen an den Telearbeitsrechner

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die sicherheitstechnischen Anforderungen an die Telearbeitsrechner richten sich nach dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz und der Daten, auf die die Telearbeiter über den Kommunikationsrechner der Institution zugreifen können. Je höher der Schutzbedarf, desto mehr Maßnahmen müssen ergriffen werden, um diesen Schutz zu gewährleisten. Allgemeine Sicherheitsziele für Telearbeitsrechner sind:

  • Telearbeitsrechner dürfen nur von autorisierten Personen benutzt werden können.
    Damit wird sichergestellt, dass nur autorisierte Personen die Daten und Programme, die auf einem Telearbeitsrechner gespeichert sind bzw. auf die über den Kommunikationsrechner zugegriffen werden kann, nutzen können. Autorisierte Personen sind der Administrator des Telearbeitsrechners und der Telearbeiter nebst seines Stellvertreters.
  • Telearbeitsrechner dürfen nur für autorisierte Zwecke benutzt werden.
    Damit wird unterstützt, dass die Telearbeiter die Rechner nicht unautorisiert benutzen oder verändern. Beispielsweise dürfen keine ungenehmigten Programme installiert werden. Dies beugt Schäden durch Fehlbedienung und Missbrauch vor.
  • Schäden aufgrund eines Diebstahls oder Defektes eines Telearbeitsrechners müssen tolerabel sein.
    Telearbeitsrechner werden üblicherweise in einer wenig gesicherten Umgebung eingesetzt, so dass ein Diebstahl oder Defekt wahrscheinlicher ist als in der geschützten Betriebsumgebung einer Institution. Darunter kann nicht nur die Verfügbarkeit, sondern auch die Vertraulichkeit der gespeicherten Daten leiden. Um die Schäden bei Diebstählen gering zu halten, sollten z. B. die Daten nur verschlüsselt gespeichert werden. Um Schäden durch Defekte zu begrenzen, sollten z. B. regelmäßig Datensicherungen durchgeführt werden.
  • Versuchte oder erfolgte Manipulationen am Telearbeitsrechner sollten für den Telearbeiter erkennbar sein.
    Damit wird sichergestellt, dass der Telearbeitsrechner in einem integren Zustand verbleibt, auch wenn Manipulationsversuche nicht ausgeschlossen werden können.

Aus dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz leiten sich die Sicherheitsziele und damit die sicherheitstechnischen Anforderungen an die Telearbeitsrechner ab. Es ist zu dokumentieren, welche der im folgenden beschriebenen sicherheitsrelevanten Funktionalitäten ein Telearbeitsrechner aufweisen muss und wie diese umgesetzt werden.

Für einen Telearbeitsrechner sind daher folgende Funktionalitäten sinnvoll:

  • Der Telearbeitsrechner muss über einen Identifizierungs- und Authentisierungsmechanismus verfügen. Insbesondere sind folgende Punkte sicherzustellen:
    • Sicherheitskritische Parameter, wie Passwörter, Benutzer-Kennung, usw., müssen sicher verwaltet werden. Passwörter dürfen nie unverschlüsselt auf dem Telearbeitsrechner gespeichert werden.
    • Das Zugangsverfahren muss definiert auf Fehleingaben reagieren. Erfolgt zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist der Zugang zum Telearbeitsrechner zu sperren oder alternativ sind die zeitlichen Abstände, nach denen ein weiterer Zugangsversuch erlaubt wird, sukzessiv zu vergrößern.
    • Das Setzen bestimmter Minimalvorgaben für die sicherheitskritischen Parameter muss möglich sein. So sollte die Mindestlänge eines Passwortes acht Zeichen betragen.
    • Nach zeitweiser Inaktivität der Tastatur oder Maus muss automatisch eine Bildschirmsperre aktiviert werden, die erst nach erneuter Identifikation und Authentisierung deaktiviert wird.
  • Der Telearbeitsrechner muss über eine Zugriffskontrolle verfügen. Insbesondere sind folgende Anforderungen umzusetzen:
    • Der Telearbeitsrechner muss verschiedene Benutzer unterscheiden können. Es muss möglich sein, mindestens zwei getrennte Rollen auf dem Telearbeitsrechner einzurichten, nämlich Administrator und Telearbeiter.
    • Mittels einer differenzierten Rechtestruktur (lesen, schreiben, ausführen, ...) muss der Zugriff auf Dateien und Programme regelbar sein.
  • Telearbeitsrechner sollten über eine Protokollierung verfügen. Es ist sinnvoll, folgende Anforderungen umzusetzen:
    • Der Mindestumfang, den der Telearbeitsrechner protokollieren soll, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen inklusive der aufgetretenen Fehlerfälle protokollierbar sein:
      • bei Authentisierung: Benutzer-Kennung, Datum und Uhrzeit, Ergebnis des Anmeldeversuchs, usw.
      • bei der Zugriffskontrolle: Benutzer-Kennung, Datum und Uhrzeit, Ergebnis des Zugriffsversuchs, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben, usw.
      • Durchführung von Administratortätigkeiten,
      • Auftreten von funktionalen Fehlern.
    • Die Protokollierung darf von Unberechtigten nicht zu deaktivieren sein. Die Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar sein.
    • Die Protokollierung muss übersichtlich, vollständig und korrekt sein.
  • Soll der Telearbeitsrechner über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:
    • Eine Auswertefunktion muss nach den bei der Protokollierung geforderten Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").
    • Die Auswertefunktion muss auswertbare ("lesbare") Berichte erzeugen, so dass keine sicherheitskritischen Aktivitäten übersehen werden.
  • Telearbeitsrechner sollten über Funktionen zur Datensicherung verfügen. Diese sollten u. a. folgende Anforderungen erfüllen:
    • Das Datensicherungsprogramm muss benutzerfreundlich und schnell arbeiten. Es sollte automatisierbar sein.
    • Es muss konfigurierbar sein, welche Daten wann gesichert werden.
    • Es muss eine Option zum Einspielen beliebiger Datensicherungen existieren.
    • Die Funktion muss das Sichern von mehreren Generationen ermöglichen.
    • Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung sollen möglich sein.
  • Telearbeitsrechner sollten über eine Verschlüsselungskomponente verfügen. Hierfür ist zunächst zu überlegen, welche Funktionalität benötigt wird: die Verschlüsselung ausgewählter Daten (offline) oder automatisch der gesamten Festplatte (online). Grundsätzlich sollte die automatische Verschlüsselung aller Datenträger vorgezogen werden, da dies benutzerfreundlicher und effizienter ist. Dies setzt voraus, dass ein geeignetes Verschlüsselungsprodukt eingesetzt wird und dass ein Datenverlust bei Fehlfunktion (Stromausfall, Abbruch der Verschlüsselung) systemseitig abgefangen wird. Darüber hinaus sind folgende Anforderungen sinnvoll:
    • Der implementierte Verschlüsselungsalgorithmus sollte den Anforderungen aus M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens entsprechen.
    • Das Schlüsselmanagement muss mit der Funktionalität des Telearbeitsrechners harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen: Symmetrische Verfahren benutzen einen geheim zu haltenden Schlüssel für die Ver- und Entschlüsselung, asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten (geheim zu haltenden) für die Entschlüsselung.
    • Der Telearbeitsrechner muss die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt auslesbar, auf dem Telearbeitsrechner abgelegt werden.
  • Soll der Telearbeitsrechner über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:
    • Es sollten Verfahren zur Integritätsprüfung eingesetzt werden, die absichtliche Manipulationen am Telearbeitsrechner bzw. den darauf gespeicherten Daten sowie ein unbefugtes Einspielen von Programmen zuverlässig aufdecken können.
    • Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Adressfeldern und den Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, um unerkannte Manipulationen an den oben genannten Daten vornehmen zu können.
  • Der Telearbeitsrechner sollte über einen Boot-Schutz verfügen, um zu verhindern, dass unbefugt von auswechselbaren Datenträgern, z. B. von DVD oder USB-Stick, gebootet werden kann (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ).
  • Es sollte möglich sein, die Benutzerumgebung des Telearbeitsrechners einzuschränken. Damit soll der Administrator festlegen können, welche Programme der Telearbeiter ausführen kann, welche Peripheriegeräte nutzbar sind und welche Änderungen der Telearbeiter am System vornehmen darf. Darüber hinaus sollte der Telearbeiter Einstellungen, die für den sicheren Betrieb notwendig sind, nicht unautorisiert ändern und nicht unerlaubt Fremdsoftware aufspielen können.
  • Auf dem Telearbeitsrechner muss ein residentes Computer-Viren-Prüfprogramm installiert sein, um kontinuierlich den Rechner auf Computer-Viren überprüfen zu können (siehe M 4.3 Einsatz von Viren-Schutzprogrammen ). Vor dem Einspielen von Daten von auswechselbaren Datenträgern, vor der Weitergabe von Datenträgern bzw. beim Senden und Empfangen von Daten muss ein Virencheck durchgeführt werden (siehe M 4.33 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung ).
  • Wenn der Telearbeitsrechner über Fernwartung administriert werden soll, ist sicherzustellen, dass die Fernadministration nur autorisiert durchgeführt werden kann. Bei der Fernwartung muss eine Authentisierung des Fernwartungspersonals, die Verschlüsselung der übertragenen Daten und eine Protokollierung der Administrationsvorgänge gewährleistet sein.
  • Die Software auf einem Telearbeitsrechner sollte benutzerfreundlich sein. Sie sollte leicht bedienbar, verständlich und gut erlernbar sein, da Telearbeiter stärker auf sich alleine gestellt sind als andere Mitarbeiter. Insbesondere sollten den Benutzern aussagekräftige und nachvollziehbare Dokumentationen des Betriebssystems und aller installierten Programme zur Verfügung gestellt werden.

Aus den obigen Funktionalitäten sind diejenigen auszuwählen, die aufgrund der Sicherheitsanforderungen an die Telearbeitsrechner benötigt werden. Anhand dieser Funktionalitäten muss dann ein geeignetes Betriebssystem als Plattform ausgewählt werden. Wenn dieses nicht alle benötigten Funktionalitäten unterstützt, müssen dazu Zusatzprodukte eingesetzt werden. Dabei sollten möglichst alle Telearbeitsrechner einer Institution gleich ausgestattet sein, um die Betreuung und Wartung zu erleichtern. Zur sicherheitstechnischen Eignungsprüfung sollte Baustein B 1.10 Standardsoftware beachtet werden.

Das Gesamtsystem ist durch die Administratoren so zu konfigurieren, dass maximale Sicherheit erreicht werden kann.

Prüffragen:

  • Ist dokumentiert, welche der sicherheitsrelevanten Funktionalitäten ein Telearbeitsrechner aufweisen muss und wie diese umgesetzt werden?

  • Ist sichergestellt, dass nur autorisierte Personen auf die Telearbeitsrechner bzw. auf die Kommunikationsrechner zugreifen können?

  • Ist sichergestellt, dass Telearbeitsrechner nur für autorisierte Zwecke benutzt werden?

  • Ist sichergestellt, dass Manipulationen an den Daten, Telearbeitsrechnern und Kommunikationsrechnern erkannt werden können?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK