Bundesamt für Sicherheit in der Informationstechnik

M 5.87 Vereinbarung über die Anbindung an Netze Dritter

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Immer mehr Unternehmen und Behörden schließen ihre bisher nach außen abgeschotteten Netze zu Netzverbünden zusammen, so genannten Extranets. Bei der Anbindung des eigenen internen Netzes an Netze Dritter ist es erforderlich, dass eine detaillierte Vereinbarung (Data Connection Agreement - DCA) geschlossen wird, bevor eine Netzanbindung erfolgt. Hierdurch muss genau definiert werden, wer dadurch Zugriff auf das eigene Netz erhält, unter welchen Bedingungen und auf welche Bereiche und Dienste des eigenen Netzes Zugriff gegeben werden soll. Ebenso wichtig ist dabei auch die andere Richtung, also die Frage, wer aus der eigenen Organisation mit welchen Zugriffsrechten und zu welchen Bedingungen Zugriff auf ein Fremdnetz erhalten soll.

Eine solche Vereinbarung soll folgende Bestandteile umfassen:

  • eine Beschreibung dessen, was die Vereinbarung insgesamt umfasst,
  • eine Festlegung der Verantwortlichen (Wer trägt die Verantwortung für die Einhaltung der Vertragsbedingungen?),
  • die Benennung von Ansprechpartnern sowohl für organisatorische als auch technische Probleme und insbesondere für sicherheitsrelevante Ereignisse,
  • die erforderlichen technischen Informationen, also Festlegungen darüber,
    • welche Dienste (z. B. telnet, ftp, http) zur Verfügung gestellt werden,
    • welche IT-Plattformen, Anwendungen und Datenformate unterstützt werden,
    • welche Verfügbarkeit zu gewährleisten ist (Performance, maximale Ausfallrate),
    • wer was protokollieren darf bzw. muss, wo die Protokolldaten abgelegt werden und wer auf die Protokolldaten zugreifen darf (dies kann insbesondere in Notsituationen wichtig sein),
    • inwieweit ein regelmäßiger Austausch von Protokolldaten erfolgen soll,
    • welche Sicherheitsmaßnahmen gewährleistet werden müssen,
  • eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement), d. h. eine Vereinbarung darüber, dass Informationen, die einer der Beteiligten im Rahmen der Zusammenarbeit erhalten hat, nicht an Außenstehende weitergegeben werden,
  • eine Haftungs- bzw. Schadensersatzregelung (hierin sollten unter anderem die Bedingungen für die Trennung der Netzanbindung, Haftung bei Computenviren oder Hackerangriffen, Vertragsstrafen bei nicht erfüllter Leistung bzw. Haftungsübernahme bei Inanspruchnahme für fremde Inhalte geklärt sein),
  • eine Regelung über Auskunftspflichten bei aufgetretenen Sicherheitslücken,
  • eine Festlegung, welche Daten zu welchen Zwecken genutzt werden dürfen (z. B. bei der Weiterverwendung von Arbeitsergebnissen),
  • eine Beschreibung, inwieweit weitere Vertragspartner in die Vereinbarung eingebunden werden, z. B. durch gemeinsame Nutzung von Applikationen oder als Dienstleister für einen der Vertragspartner,
  • die Laufzeit der Vereinbarung (Technik entwickelt sich schnell weiter, d. h. auch die Vereinbarungen über deren Nutzung müssen ständig angepasst werden).

Die Vereinbarung sollte durch die Personen abgeschlossen werden, die auch für deren Einhaltung die Verantwortung tragen. Dafür ist zunächst zu klären, wer die Verantwortung für die Netzanbindung tragen sollte, da hier üblicherweise unterschiedliche Bereiche eines Unternehmens bzw. einer Behörde involviert sind. Sinnvollerweise sollte hierzu ein Team gebildet werden, bei dem zumindest der IT-Sicherheitsbeauftragte, der IT-Leiter, der Fachverantwortliche und der Datenschutzbeauftragte beteiligt sind. Bei kritischen Entscheidungen, z. B. ob die Verbindung wegen Problemen zeitweise getrennt werden soll, sollten alle oben genannten Personen beteiligt werden, da sich deren Interessen erfahrungsgemäß stark voneinander unterscheiden können.

Bevor eine Netzanbindung aktiviert wird, sollten alle Sicherheitsmängel auf beiden Seiten ausgeräumt worden sein. Hier sollte auch ein Weg gefunden werden, sich von dem Sicherheitsniveau seiner Partner zu überzeugen, beispielsweise durch Basis-Sicherheitschecks oder Stichproben vor Ort. Auf keinen Fall darf die Beseitigung von Sicherheitslücken in den Echtbetrieb verschoben werden, da die Erfahrung lehrt, dass diese niedriger priorisiert werden als reine Verfügbarkeitsprobleme.

Dritten sollten nur die Dienste zur Verfügung gestellt werden, die zum einen vertraglich vereinbart worden sind und zum anderen unbedingt erforderlich sind. Auf welche Bereiche des eigenen Netzes Dritten Zugriff gewährt wird, muss abhängig gemacht werden von der Art der bestehenden Beziehungen zwischen den Kommunikationspartnern und vom Vertrauen in die Kommunikationspartner. Bei ausländischen Partnern müssen unbedingt deren nationale Gesetze berücksichtigt werden, z. B. in den Bereichen Kryptographie bzw. Urheberrecht.

Falls durch die Netzanbindung Sicherheitsvorfälle auftreten, muss klar definiert sein, wer wann die Verbindung trennen darf, wer darüber zu informieren ist und welche Eskalationsschritte vorzusehen sind.

Prüffragen:

  • Werden vor der Anbindung eines eigenen Netzes an Netze Dritter alle sicherheitsrelevanten Aspekte in einer Vereinbarung schriftlich festgelegt?

  • Ist definiert, wer aus seinem Netz auf welche Bereiche und Dienste des jeweils anderen Netzes zugreifen darf?

  • Sind Ansprechpartner sowohl für organisatorische als auch technische Fragestellungen der Netzanbindung benannt

  • Sind alle Sicherheitslücken beseitigt und das geforderte Sicherheitsniveau nachweislich erreicht, bevor die Netzanbindung aktiviert wird?

  • Ist für den Fall von Sicherheitsproblemen durch die Netzanbindung festgelegt, wer darüber zu informieren ist und welche Eskalationsschritte einzuleiten sind?

Stand: 13. EL Stand 2013