Bundesamt für Sicherheit in der Informationstechnik

M 5.92 Sichere Internet-Anbindung von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Für den ordnungsgemäßen Betrieb eines Internet-PCs ist die sichere Anbindung an das Internet aufgrund des speziellen Einsatzszenarios besonders wichtig. Die Internet-Anbindung sollte daher sorgfältig geplant werden. Dabei sollten folgende Teilaspekte berücksichtigt werden:

Auswahl eines geeigneten Internet Service Providers (ISP)

Die Anbindung an das Internet geschieht über einen ISP, der die für die Nutzung des Internets notwendige Technik und Dienstleistungen zur Verfügung stellt. Die Anbieter am Markt unterscheiden sich dabei in Bezug auf Umfang, Qualität und Preis der Dienstleistungen. Die Auswahl eines geeigneten ISPs muss anhand der Anforderungen an die Internet-Anbindung getroffen werden:

  • Bietet der ISP die gewünschte Verbindungstechnik, d. h. Modem, ISDN , DSL usw., an?
  • Erfüllt der ISP die Anforderungen an die minimale bzw. durchschnittliche Bandbreite und die Verfügbarkeit des Internet-Zugangs? Hierzu sollten auch Testberichte in Fachzeitschriften zu Rate gezogen werden.
  • Bietet der ISP die benötigten Zusatzdienstleistungen an, z. B. für E-Mail oder News, oder soll hierfür auf einen weiteren Dienstleister zurückgegriffen werden?
  • Stellt der ISP die erforderlichen Sicherheitsmechanismen für die angebotenen Dienstleistungen bereit? Werden beispielsweise Proxy-Server für WWW und FTP zur Verfügung gestellt und kann E-Mail auch SSL-geschützt abgeholt werden?
  • Macht der ISP Angaben zum Umgang mit personenbezogenen Daten oder mit Informationen über die Behörde bzw. das Unternehmen? Decken sich diese Angaben mit den eigenen Anforderungen an den Datenschutz?
  • ISPs bieten unterschiedliche Preismodelle für die Internet-Anbindung an. Beispielsweise kann zwischen pauschalen, zeitabhängigen und volumenabhängigen Gebühren unterschieden werden. Ist das Preismodell für den Einsatzzweck des Internet-PCs geeignet?
  • Anhand der Anforderungen an die Verfügbarkeit der Internet-Anbindung sollte geprüft werden, ob es erforderlich ist, aus Redundanzgründen Verträge mit zwei oder sogar mehr Providern abzuschließen.

Weitere Empfehlungen zur geeigneten Auswahl eines Internet Service Providers finden sich in Maßnahme M 2.176 Geeignete Auswahl eines Internet Service Providers .

Beschaffung geeigneter Netzkomponenten für die Internet-Anbindung

Je nachdem, ob mit der Internet-Anbindung nur ein einzelner Internet-PCs oder ein ganzer Pool solcher Internet-PCs versorgt werden soll, ergeben sich unterschiedliche Anforderungen an die hierfür erforderlichen Hardware-Komponenten. Bei der Beschaffung sollten die folgenden Aspekte berücksichtigt werden:

  • Falls ein einzelner Internet-PC an das Internet angebunden werden soll, kommt in vielen Fällen ein Modem oder eine ISDN-Karte zum Einsatz. Kompatibilitätsprobleme zwischen diesen Geräten und dem Einwahl-Server beim ISP treten inzwischen nur noch selten auf. Modems und ISDN-Karten sind sehr preiswert und lassen sich bei technischem Defekt schnell ersetzen. Falls erhöhte Anforderungen an die Verfügbarkeit bestehen, sollten Ersatzgeräte vorgehalten werden.
  • Falls ein Internet-PC-Pool versorgt werden soll oder falls aus anderen Gründen hohe Bandbreiten benötigt werden, kommen häufig spezielle Router, z. B. DSL-Router, für die Internet-Anbindung zum Einsatz. Falls die Geräte nicht vom ISP zur Verfügung gestellt werden, ist eine präzise Abstimmung erforderlich, um Kompatibilitätsprobleme zu vermeiden. Bei erhöhten Verfügbarkeitsanforderungen sollte geprüft werden, ob der ISP entsprechende Dienstleistungen anbietet, beispielsweise Austausch des Routers innerhalb einer vorgegebenen Zeitspanne, Vorhalten eines Ersatzgerätes, usw.

Sichere Konfiguration und Betrieb der Internet-Anbindung

Für den sicheren und ordnungsgemäßen Betrieb der Internet-Anbindung sollten folgende Empfehlungen berücksichtigt werden:

  • Alle Konfigurationseinstellungen für die Internet-Anbindung sollten dokumentiert werden, damit sie bei Datenverlust schnell wiederhergestellt und Abweichungen erkannt werden können.
  • Für Zugriffe über die Protokolle HTTP und FTP sollten möglichst so genannte Proxy-Server verwendet werden. Diese Proxy-Server leiten Anfragen von Clients als "Stellvertreter" an den gewünschten HTTP- bzw. FTP-Server weiter. Dadurch ergibt sich unter anderem der Vorteil, dass restriktivere Regeln auf evtl. eingesetzten Paketfiltern konfiguriert werden können. ISP betreiben in der Regel entsprechende Proxy-Server.
  • Server beim ISP oder im Internet, die öfter genutzt werden, beispielsweise E-Mail-Server, Proxy-Server usw., sollten immer über ihre IP-Adresse angesprochen werden. Diese IP-Adressen sollten in allen betroffenen Komponenten fest eingestellt werden. Dadurch verringert sich die Gefahr durch so genannte DNS -Spoofing-Angriffe.
  • Falls ein Internet-Zugang mit dynamischen IP-Adressen genutzt wird, sollte ab und zu die Verbindung getrennt werden, damit dem Client bei der nächsten Einwahl eine neue IP-Adresse zugeordnet wird. Dies ist besonders wichtig bei pauschalen Gebühren ("flat rate"). Durch solche Wechsel der IP-Adresse werden gezielte Angriffe erschwert.
  • Voreingestellte Passwörter, z. B. für die Einwahl beim Internet Service Provider, müssen geändert werden. Empfehlungen hierzu finden sich in M 2.11 Regelung des Passwortgebrauchs .
  • Der Zugriff auf die Konfigurationsdateien für die Internet-Anbindung sollte auf die zuständigen Administratoren beschränkt werden, wenn das verwendete Betriebssystem dies zulässt.
  • Falls die verwendete Kommunikations-Software oder die eingesetzten Modem-, ISDN- oder DSL-Geräte Funktionen zur Fernsteuerung bieten, müssen diese deaktiviert oder gut geschützt werden.
  • Falls die Internet-Anbindung durch Einwahl erfolgt, sollten die Rufnummern für die Einwahl beim ISP fest eingetragen werden.
  • Das Modem bzw. die ISDN-Komponente sollte die Verbindung unterbrechen, wenn der Benutzer sich abmeldet bzw. die Internet-Anwendung beendet.
  • Falls für die Authentisierung bei der Einwahl beim Internet Service Provider zwischen dem PAP- und dem CHAP -Verfahren gewählt werden kann, sollte besser CHAP genutzt werden. Dadurch wird vermieden, dass die Authentisierungsdaten im Klartext übertragen werden (siehe auch M 5.50 Authentisierung mittels PAP/CHAP ).
  • Alle nicht benötigten Funktionen, wie z. B. das Aktivieren der Kommunikationsverbindung von außen, müssen abgeschaltet werden. Eingehende Anrufe dürfen nicht angenommen werden.
  • Die verwendeten Zieladressen und die eingestellten Parameter sollten gelegentlich kontrolliert werden (siehe auch M 5.29 Gelegentliche Kontrolle programmierter Zieladressen und Protokolle ).

Prüffragen:

  • Erfüllt der Internet Service Provider die Anforderungen an die Verfügbarkeit des Internet-Zugangs?

  • Stellt der ISP die erforderlichen IT -Sicherheitsmechanismen für die angebotenen Dienstleistungen bereit?

  • Genügen die Angaben des ISP zum Umgang mit persönlichen Daten den Anforderungen der Institution an den Datenschutz?

  • Ist die Beschaffung geeigneter Netzkomponenten für die Internet-Anbindung mit den Anforderungen der Institution abgestimmt?

  • Sind die Konfigurationseinstellungen für die Internet-Anbindung dokumentiert?

  • Ist der Zugriff auf die Konfigurationsdateien für die Internet-Anbindung auf die zuständigen Administratoren eingeschränkt?

  • Sind bei der eingesetzten Kommunikations-Software und Hardware die Funktionen zur Fernsteuerung deaktiviert oder gegen unautorisierte Zugriffe geschützt?

  • Bei Internet-Anbindung durch Einwahl: Sind die Rufnummern des ISP fest eingetragen?

  • Ist sichergestellt, dass Authentisierungsdaten von Internet- PC s nicht im Klartext übertragen werden?

  • Sind auf Internet- PC s nicht benötigte Funktionen und Dienste für die Internet-Anbindung abgeschaltet beziehungsweise deaktiviert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK