Bundesamt für Sicherheit in der Informationstechnik

M 5.73 Sicherer Betrieb eines Faxservers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fax-Poststelle

Der sichere Betrieb eines Faxservers setzt voraus, dass sowohl die lokale Kommunikation als auch die Kommunikation auf Seiten des öffentlichen Netzes abgesichert wird. Eingehende Faxsendungen nimmt der Faxserver von anderen Faxservern oder Faxgeräten entgegen und leitet sie, wenn die Funktion des automatischen Fax-Routing aktiviert ist, an die angeschlossenen Benutzer weiter. Ausgehende Faxsendungen der angeschlossenen Benutzer werden vom Faxserver entgegengenommen und an den Empfänger weitergeleitet. Der Faxserver muss zudem sicherstellen, dass lokale Faxsendungen, d. h. Faxsendungen von einem Arbeitsplatz zu einem anderen innerhalb der gleichen Organisation(seinheit), nur intern und nicht über das öffentliche Netz weitergeleitet werden.

Zum sicheren Betrieb eines Faxservers ist es u. a. erforderlich, dass nach der Beschaffung und Installation die Konfiguration des Betriebssystems und der Faxserver-Applikation ausgiebig getestet wird. Auf evtl. auftretende Fehlermeldungen ist - soweit dies möglich ist - mit Änderungen an der Konfiguration zu reagieren. An die Testphase sollte sich ein Pilotversuch anschließen. Erst wenn der Faxserver auch in dieser Phase fehlerfrei arbeitet, sollte die Freigabe für den Wirkbetrieb erfolgen. Die Konfigurationsparameter sollten, ebenso wie alle Änderungen an der Konfiguration, sorgfältig dokumentiert werden.

Faxserver speichern alle eingehenden und ausgehenden Faxsendungen. Die Dauer der Speicherung hängt von den Leistungsmerkmalen der Faxserver-Applikation und der Konfiguration ab. So ist es z. B. möglich, dass ausgehende Faxsendungen nur bis zur Erledigung des Sendeauftrages zwischengespeichert und dann gelöscht werden. Ebenso kann es sein, dass eingehende Faxsendungen nur bis zur Weiterleitung an den Empfänger zwischengespeichert werden und anschließend die Löschung erfolgt. Denkbar ist aber auch, dass grundsätzlich alle ein- und ausgehenden Faxsendungen auf dem Faxserver solange gespeichert werden, bis die Löschung durch den jeweiligen Benutzer oder durch die Fax-Poststelle bzw. den Administrator erfolgt. Die Löschung kann bei einigen Faxservern auch automatisch nach einer gewissen Zeitspanne erfolgen. So können z. B. alle Faxsendungen, die älter als 3 Monate sind, automatisch gelöscht werden. In Abhängigkeit vom Einsatzkonzept sind Regelungen für die Löschung von Faxdaten auf dem Faxserver zu treffen. Gleichzeitig ist zu regeln, wo und in welchem Umfang eine Archivierung von Faxdaten zu erfolgen hat. Generell sollten Faxdaten nicht länger als unbedingt nötig auf dem Faxserver verbleiben.

Es muss ausgeschlossen werden, dass Unbefugte auf Faxsendungen zugreifen können. Daher muss zunächst der Faxserver physikalisch gegen unbefugten Zugriff gesichert werden. Dies kann nur durch die gesicherte Aufstellung des Servers in einem Serverraum oder einem Serverschrank erfolgen (siehe Baustein B 2.4 Serverraum und Baustein B 2.7 Schutzschränke ).

Um den störungsfreien Betrieb des Faxservers sicherzustellen, ist zudem festzulegen, wer für die Administration der Hardware-Komponenten, des Betriebssystems und der Faxserver-Applikation zuständig ist. Es sollte eine Fax-Poststelle eingerichtet werden (siehe auch M 2.180 Einrichten einer Fax-Poststelle ). Das Administrationspersonal und das in der Fax-Poststelle eingesetzte Personal sind im Umgang mit dem Betriebssystem und der Faxserver-Applikation zu schulen. Um Störungen des Betriebs durch Fehlbedienungen zu vermeiden, sind weiterhin auch die Benutzer im Umgang mit der Faxclient-Applikation zu schulen.

Auf Faxservern können oftmals an Benutzer und Benutzergruppen folgende Berechtigungen für eingehende Faxsendungen vergeben werden:

  • lesen,
  • weiterleiten,
  • löschen.

Für ausgehende Faxsendungen können oftmals folgende Rechte vergeben werden:

  • senden,
  • anhalten,
  • löschen,
  • ändern der Sendeoptionen.

Die Berechtigungen sind gemäß den Festlegungen in der Faxsicherheitsleitlinie zu vergeben (siehe auch M 2.178 Erstellung einer Sicherheitsleitlinie für die Faxnutzung ).

Sofern nicht durch technische Maßnahmen sichergestellt wird, dass Faxsendungen sofort weitergeleitet werden, ist zudem durch die Vergabe entsprechender Zugriffsrechte sicherzustellen, dass nur berechtigte Benutzer auf die entsprechenden "Postfächer" auf dem Server zugreifen können.

Generell sollte ein Zugriff auf temporäre Bereiche, in denen die Faxserver-Applikation Faxsendungen vor Abgang bzw. vor Verteilung an den Empfänger zwischenspeichert, nur privilegierten Benutzern (Administratoren, Fax-Poststelle) vorbehalten bleiben.

Regelmäßig sind die Verbindungen des Faxservers mit der Telekommunikationsanlage bzw. mit dem öffentlichen Telefonnetz auf Funktion zu überprüfen. Sofern der Faxserver mit internen Kommunikationssystemen, wie z. B. einem E-Mail-System oder einem Workflow-System, zusammenarbeitet, ist ebenfalls regelmäßig die Funktion dieser Verbindungen zu überprüfen.

Außerdem muss regelmäßig geprüft werden, ob der für die Speicherung von Faxsendungen zur Verfügung stehende Festplattenplatz noch ausreichend ist (siehe auch M 5.75 Schutz vor Überlastung des Faxservers ). Bei erschöpftem Festplattenplatz können keine weiteren Faxsendungen mehr empfangen oder versandt werden.

Die Aktivitäten des Faxservers sind gemäß den Festlegungen in der Faxsicherheitsleitlinie zu protokollieren und die Protokolle sind regelmäßig zu kontrollieren (siehe auch M 2.64 Kontrolle der Protokolldateien und M 5.25 Nutzung von Sende- und Empfangsprotokollen ). Bei der Festlegung von Umfang und Inhalt der Protokollierung ist auf eine frühzeitige Beteiligung des Personal- bzw. Betriebsrates zu achten.

Vorbehalte gegen den Einsatz eines Faxservers bestehen häufig aufgrund der Tatsache, dass dabei ein IT-System, das in das LAN integriert ist, über das öffentliche Telekommunikationsnetz erreicht werden kann.

Durch sorgfältige Auswahl und Konfiguration von Kommunikationskarten, Betriebssystem und Faxserver-Applikation sowie durch eine sichere netztopologische Anordnung des Servers kann die Gefahr eines Einbruchs in das Netz bzw. in den Faxserver bis auf ein geringes Restrisiko minimiert werden.

Beim Einsatz von aktiven ISDN -Karten sollten Leistungsmerkmale, die nicht zum Empfang und Senden von Faxen notwendig sind, deaktivert werden (siehe M 4.59 Deaktivieren nicht benötigter ISDN-Karten-Funktionalitäten ).

Sofern dedizierte Faxkarten zum Einsatz kommen, sind auch zunächst die entsprechenden Leistungsmerkmale genau zu untersuchen. Auch hier gilt, dass nicht benötigte Merkmale - soweit dies möglich ist - abzuschalten sind.

Der Faxserver sollte keine anderen Dienste als den Fax-Dienst anbieten. Insbesondere sollte ein Faxserver nicht gleichzeitig als Daten-, Drucker-, E-Mail- oder Internet-Server bzw. als Remote-Access-Rechner verwendet werden. Um einem Einbruch über das Telekommunikationsnetz entgegenzuwirken, muss das Betriebssystem so "schlank" wie möglich installiert werden. Dies bedeutet, dass auf die Installation von für den Betrieb nicht zwingend notwendigen Diensten und Protokollen verzichtet wird. Hierzu ein Beispiel: Wenn auf einem Faxserver der Telnet-Dienst nicht gestartet ist, kann auch kein entsprechender Angriff zum Erfolg führen. Bei der Festlegung der benötigten Dienste und Protokolle darf nie vergessen werden, dass Gefährdungen häufig erst durch die Kombination von verschiedenen Diensten und Protokollen entstehen.

Die sichere netztopologische Anordnung des Faxservers ist unter anderem davon abhängig, ob und ggf. welche Art von Firewall in der Organisation im Einsatz ist.

Ein Faxserver hat jeweils mindestens eine Schnittstelle zum Telekommunikationsnetz und zum LAN. Die Anordnung des Faxservers im Netz sollte so erfolgen, dass im Falle eines erfolgreichen Angriffs auf den Faxserver nicht in das gesamte Netz eingebrochen werden kann. Andererseits sollte es auch nicht möglich sein, den Faxserver von innerhalb des Netzes aus erfolgreich zu attackieren. Denkbar wäre hier z. B. ein Angriff eines Außentäters aus dem Internet. Gelingt solch ein Angriff, so ist der Täter in der Lage, über den Faxserver der angegriffenen Organisation das Versenden von Faxen zu veranlassen. Dies kostet Gebühren und, was ggf. noch schlimmer ist, führt unter Umständen zu Ansehensverlust. Auch ist ein Angreifer im Falle eines erfolgreichen Angriffs in der Lage, unbefugt Kenntnis von den auf dem Faxserver (zwischen-) gespeicherten Faxsendungen zu nehmen. Angriffe eines Innentäters über das LAN sind in vergleichbarer Weise denkbar.

Da ein Faxserver meistens nicht die einzige IT-Komponente mit Anschluss an ein externes Netz ist, ist in der Regel zum Schutz des internen Netzes ohnehin eine Abschottung gegenüber externen Netzen vorhanden (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall) ).

Sofern als Internet-Firewall ein Screened Subnet (Konfiguration 1 aus M 2.73 Auswahl geeigneter Grundstrukturen für Sicherheitsgateways ) vorhanden ist, sollte der Faxserver zwischen dem inneren Paketfilter und dem Application Gateway (siehe Abbildung "Einbindung eines Faxservers in ein Firewall-System") eingebunden werden. Die Schutzwirkung gegenüber Angriffen aus dem unsicheren Netz ist durch den Application Gateway und den äußeren Paketfilter hinreichend groß. Gegen Angriffe aus dem internen Netz wird der Faxserver durch den inneren Paketfilter geschützt.

Bei allen anderen Firewall-Kombinationen, insbesondere solchen mit nur einem Paketfilter, oder wenn bisher keine Firewall vorhanden ist, sollte der Faxserver direkt in das sichere Netz eingebunden werden. Sofern das entstehende Restrisiko aufgrund des Schutzbedarfs als nicht tragbar angesehen wird, muss entweder eine Absicherung mittels eigenem Paketfilter erfolgen, oder die Telekommunikationsanlage muss so konfiguriert werden, dass nur abgehende Verbindungen zulässig sind. Für eingehende Faxsendungen muss in diesem Fall ein herkömmliches Faxgerät oder ein Stand-alone-System mit entsprechender Faxapplikation eingesetzt werden, mit der Folge, dass eingehende Faxsendungen nur manuell an die Empfänger verteilt werden können.

Prüffragen:

  • Erfolgt die Freigabe für den Wirkbetrieb von Faxservern erst nach einem fehlerfreien Testbetrieb?

  • Werden die Konfigurationsparameter sowie alle Änderungen an der Konfiguration des Faxservers dokumentiert?

  • Ist die Archivierung von Faxdaten der Faxserver geregelt?

  • Ist die Löschung von Faxdaten auf Faxservern geregelt?

  • Sind die zuständigen Administratoren der Hardware-Komponenten, des Betriebssystems und der Faxserver-Applikation benannt?

  • Sind die Adminstratoren und das in der Fax-Poststelle eingesetzte Personal für die Bedienung der Faxserver-Umgebung geschult?

  • Sind die Benutzer im Umgang mit der Faxclient-Applikation geschult?

  • Erfolgt die Vergabe von Berechtigungen auf Faxservern gemäß den Festlegungen in der Faxsicherheitsleitlinie?

  • Ist sichergestellt, dass ausschließlich berechtigte Benutzer auf die entsprechenden Postfächer von Faxserver zugreifen können?

  • Werden die Verbindungen von Faxservern mit der TK -Anlage beziehungsweise dem öffentlichen Telefonnetz regelmäßig auf ihre Funktion überprüft?

  • Erfolgt eine regelmäßige Prüfung des freien Festplattenplatzes von Faxservern?

  • Werden bei der Festlegung von Umfang und Inhalt der Protokollierung von Faxservern der Personal- bzw. Betriebsrat beteiligt?

  • Einsatz von aktiven ISDN -Karten: Sind alle nicht benötigten Leistungsmerkmale der ISDN -Karten deaktiviert?

  • Ist sichergestellt, dass der Faxserver ausschließlich den Fax-Dienst anbietet und nicht für weitere zusätzliche Dienste genutzt wird?

  • Ist der Faxserver innerhalb des Netzes so angeordnet, dass im Falle eines erfolgreichen Angriffs auf den Faxserver nicht in das gesamte Netz eingebrochen werden kann?

Stand: 13. EL Stand 2013