Bundesamt für Sicherheit in der Informationstechnik

M 5.74 Pflege der Faxserver-Adressbücher und der Verteillisten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fax-Poststelle

Die meisten Faxserver bieten sowohl zentrale als auch individuelle Adressbücher an. Zentrale Adressbücher stehen allen Benutzern eines Faxservers zur Verfügung und sollten zentral durch die Fax-Poststelle gepflegt werden. Individuelle Adressbücher können von jedem Benutzer erstellt werden, stehen aber in der Regel auch nur dem Ersteller zur Verfügung.

In besonderem Maße sind die zentralen Adressbücher gegen unbefugte Veränderung zu schützen. Dazu sind entweder über die Faxserver-Applikation oder - sofern dies nicht möglich ist - mit Mitteln des Betriebssystems die Berechtigungen so zu vergeben, dass nur die Fax-Poststelle die zentralen Adressbücher verändern kann.

Regelmäßig sollte durch die Fax-Poststelle die Integrität und Aktualität der zentralen Adressbücher überprüft werden. Die meisten Faxserver lassen es zu, mehrere Empfänger in den Adressbüchern zu Gruppen zusammenzufassen. Sofern es einem Angreifer gelingt, solche Gruppen zu manipulieren, können er oder andere Unbefugte Kenntnis von vertraulichen Faxsendungen erhalten. Die Fax-Poststelle sollte daher auch die Zuordnung von Empfängern zu den einzelnen Gruppen regelmäßig auf Aktualität überprüfen. Sofern in einer Organisation zwischen den Arbeitsplätzen Daten über den Faxserver per Fax ausgetauscht werden, müssen durch die Fax-Poststelle auch interne Adressbücher aktuell gehalten werden.

Außerdem sind die Benutzer zur regelmäßigen Kontrolle der von ihnen benutzten Einträge zu verpflichten. Dies gilt sowohl für zentrale als auch für individuelle Adressbücher.

Durch den Faxserver werden Verteillisten dazu benutzt, um eingehende Faxsendungen an die Empfänger weiterzuleiten. Falsche Zuordnungen in den Verteillisten können dazu führen, dass Unbefugte Kenntnis von Faxsendungen mit vertraulichem Inhalt erhalten. Die Verteillisten sollten daher von der Fax-Poststelle regelmäßig auf Aktualität und Integrität überprüft werden.

Um die Pflege von Adressbüchern und Verteillisten zu gewährleisten, muss die Fax-Poststelle über das Ausscheiden von Mitarbeitern informiert werden.

Damit durchgeführte Administrationsarbeiten nachvollzogen werden können, sollten die Eintragungen und Veränderungen an den zentralen Adressbüchern und an den Verteillisten dokumentiert werden.

Prüffragen:

  • Werden die zentralen Faxserver-Adressbücher gegen unbefugte Veränderungen geschützt?

  • Wird die Integrität und Aktualität der zentralen Faxserver-Adressbücher und Verteilerlisten regelmäßig überprüft?

  • Ist gewährleistet, dass zur Pflege der Adressbücher und Verteilerlisten die Fax-Poststelle über das Ausscheiden von Mitarbeitern informiert wird?

  • Werden Eintragungen und Veränderungen an den zentralen Faxserver-Adressbüchern und Verteilerlisten nachvollziehbar dokumentiert?

Stand: 13. EL Stand 2013