Bundesamt für Sicherheit in der Informationstechnik

M 4.322 Sperrung nicht mehr benötigter VPN-Zugänge

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

VPN-Zugänge müssen so abgesichert werden, dass nur berechtigte Benutzer oder IT-Systeme hierüber zugreifen können. Dafür müssen an den VPN-Endpunkten Zugriffskontrollverfahren eingesetzt werden, die überprüfen, ob ein Sender zur Kommunikation mit dem Empfänger berechtigt ist. Die ordnungsgemäße Funktion und Konfiguration dieser Verfahren ist in regelmäßigen Zeitabständen zu überprüfen. In Vergessenheit geratene Zugänge oder Benutzerkennungen bereits ausgeschiedener Mitarbeiter oder ausgesonderter IT-Systeme stellen gefährliche Sicherheitslücken dar und sind schnellstmöglich zu sperren. Auch nicht mehr benötigte VPN-Zugänge von Zulieferern, Partner und Kunden müssen zeitnah deaktiviert werden. Nachdem ein Zugang gelöscht wurde, ist zu prüfen, ob hierüber auch tatsächlich nicht mehr auf das Netz zugegriffen werden kann.

Ist absehbar, dass einzelne Benutzer des VPNs längere Zeit abwesend sind oder dieses aus anderen Gründen nicht nutzen (z. B. durch Urlaub, Krankheit oder andere Aufgaben), sollte überlegt werden, deren Benutzerkennung für diese Zeit am VPN-Server zu sperren, so dass das Arbeiten unter ihrer Nutzerkennung für diese Zeit nicht mehr möglich ist. Wenn möglich, sollte hierfür jeder Nutzer dem Netzadministrator längere Abwesenheitszeiten rechtzeitig mitteilen. Wenn Externe wie Kunden oder Lieferanten nur zu bestimmten Zeiten VPN-Zugriff benötigen, sollten die Zugriffsberechtigungen auf diese Phasen beschränkt werden.

Eine effiziente Verwaltung der zugriffsberechtigten Benutzer und IT-Systeme, beispielsweise auf Grundlage von Zertifikaten, sollte eingeführt und in regelmäßigen Abständen überprüft und angepasst werden. Die Zugangsdaten und die zugeordneten Dienste müssen vor unberechtigtem Zugriff geschützt werden.

Prüffragen:

  • Wird regelmäßig überprüft, ob nur berechtigte IT -Systeme und Personen auf das VPN zugreifen können?

  • Ist sichergestellt, dass nicht mehr benötigte VPN -Zugänge umgehend deaktiviert werden?

  • Wird der VPN -Zugriff für Externe auf die Zeiten beschränkt, in denen er benötigt wird?

  • Werden neue und nicht erreichbare IT -Systeme für die Sicherstellung der Patch- und Änderungsverteilung berücksichtigt?

  • Werden alle Phasen des Prozesses auch für die nicht erreichbaren Systeme im Zuge der Synchronisation umgesetzt?

  • Wird auf Veränderungen an der IT -Infrastruktur auch im Patch- und Änderungsmanagementprozess reagiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK