Bundesamt für Sicherheit in der Informationstechnik

M 5.124 Netzzugänge in Besprechungs-, Veranstaltungs- und Schulungsräumen

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Haustechnik

In Besprechungs-, Veranstaltungs- und Schulungsräumen sind einerseits häufig IT-Systeme wie Beamer oder Schulungsrechner fest installiert, andererseits werden dorthin auch mobile IT-Systeme wie Laptops häufig mitgebracht. Dabei ist oft auch gewünscht, dass diese IT-Systeme miteinander, mit dem Internet oder dem institutionsinternen Intranet vernetzt werden können.

Da fremde IT aber zunächst immer als nicht vertrauenswürdig betrachtet werden sollte, sollte eine unkontrollierte Anbindung von durch Besucher mitgebrachten IT-Systemen an interne LANs unterbunden werden. Es sollte auch möglichst keine direkte Kopplung von mitgebrachten und internen IT-Systemen stattfinden. Hierbei sind zumindest alle Sicherheitsmaßnahmen umzusetzen, die in Baustein B 5.2 Datenträgeraustausch beschrieben sind.

Grundsätzlich können folgende Zugriffsarten gewünscht sein:

  • LAN-Zugriff für alle Raumnutzer, ohne Zugriff auf Internet
  • LAN-Zugriff für Mitarbeiter
  • Direkter Internet-Zugriff für alle Raumnutzer
  • Internet-Zugriff über LAN für alle Raumnutzer
  • Internet-Zugriff über LAN für Mitarbeiter

Im folgenden wird beschrieben, wie diese verschiedenen Zugriffsarten zu bewerten und abzusichern sind:

Aus Sicherheitssicht die beste und einfachste Lösung ist es, einen Zugriff aus Besprechungs-, Veranstaltungs- und Schulungsräumen auf interne LANs generell zu unterbinden. Im sichersten Fall sollten gar keine entsprechenden Anschlüsse installiert werden, um auszuschließen, dass Institutionsfremde sich mit dem internen Netz verbinden können.

Dies ist allerdings nicht immer möglich. Wenn eigene Mitarbeiter aus Besprechungs-, Veranstaltungs- und Schulungsräumen auf das Intranet zugreifen können sollen, sind mindestens folgende Maßnahmen zu ergreifen (siehe M 5.122 Sicherer Anschluss von Laptops an lokale Netze ):

  • Der Zugriff auf ein LAN sollte auf hierfür zugelassene IT-Systeme beschränkt werden. Dies sollte beispielsweise über die Prüfung der MAC-Adressen, über rechnergebundene Zertifikate oder über eine Benutzerauthentisierung sichergestellt werden.
  • Besprechungs-, Veranstaltungs- und Schulungsräume sollten durch einen restriktiv konfigurierten Paketfilter vom LAN getrennt werden, um unerwünschte Kommunikation unterbinden zu können. Dadurch können unter anderem die Auswirkungen der auf den angeschlossenen Rechnern eventuell vorhandenen Schadsoftware gemindert werden.
  • Es muss sichergestellt werden, dass Dritte den Datenverkehr bei der LAN-Nutzung durch Mitarbeiter nicht mitlesen bzw. mitschneiden können. Dies könnte zum einen erfolgen, indem die Infrastruktur so geschaffen wird, dass weitere Rechner den Anschluss des Mitarbeiters nicht mitnutzen können (z. B. durch Verzicht auf Hubs). Zum anderen könnte eine verschlüsselte Kommunikation eingesetzt werden, die erst nach einer entsprechenden Authentisierung des Mitarbeiters aufgebaut werden kann.
  • Nach Möglichkeit sollte kein Dynamic Host Configuration Protocol ( DHCP ) für die Zugänge zum LAN angeboten werden. Angeschlossene Fremdrechner sind somit nicht automatisch in das Netz integriert und müssen von Hand konfiguriert werden (die hauseigenen Rechner müssten in diesem Fall entsprechend vorkonfiguriert sein). Denkbar wäre auch statisches DHCP, dass nur den anhand der MAC-Adresse erkannten, hauseigenen Rechnern die Netzinfrastrukturinformationen zuordnet.

Zunehmend sind in Besprechungs-, Veranstaltungs- und Schulungsräumen aber auch direkte Internet-Zugänge zu finden, z. B. über dedizierte DSL -Zugänge. Die Zugänge werden häufig als Internet-Steckdosen gekennzeichnet. Hierüber können Besucher beispielsweise auf ihr Heimat-Netz zugreifen. Diese Internet-Zugänge dürfen aus Sicherheitsgründen nicht direkt mit dem Intranet verbunden werden, damit der zentrale Sicherheitsgateway nicht umgangen werden kann. Es muss auch ausgeschlossen werden, dass ein Rechner gleichzeitig eine Verbindung zu Intranet und Internet aufbauen kann. In diesem Fall wird die ursprüngliche hardwaremäßige Trennung der beiden Netze aufgehoben. Wenn Besprechungs-, Veranstaltungs- und Schulungsräume mit dem Internet direkt vernetzt werden sollen, sollte der Zugang mit einem Paketfilter abgesichert sein, um die angeschlossenen IT-Systeme Systeme vor Standardangriffen auf Ports zu schützen. Ein einfacher Sicherheitsproxy kann darüber hinaus die angeschlossenen Rechner vor den Gefährdungen durch aktive Inhalte schützen und die Zugriffe auf Web-Seiten im Rahmen der datenschutzrechtlichen Möglichkeiten protokollieren.

Es sollte darauf verzichtet werden, fremden Mitarbeitern einen Zugang zum Internet anzubieten, der das institutionsinterne Netz als Vermittlungsnetz nutzt. Es kann z. B. aufgrund von Konfigurationsfehlern nie ausgeschlossen werden, dass fremde Mitarbeiter sich trotz eingeschränkter Zugriffsmöglichkeiten einen Zugang zu schutzwürdigen Informationen oder Anwendungen verschaffen.

Wenn ein direkter LAN-Zugriff unterbunden ist, kann eigenen Mitarbeiter auch der Zugriff auf das LAN aus Besprechungs-, Veranstaltungs- und Schulungsräumen heraus über ein VPN über das Internet ermöglicht werden (siehe M 5.122 Sicherer Anschluss von Laptops an lokale Netze ).

Für den Aufbau von WLANs zur Bereitstellung eines Internetzugangs sollten die entsprechenden Sicherheitsmaßnahmen ergriffen werden.

Prüffragen:

  • Ist sichergestellt, dass eine direkte Kopplung von mitgebrachten und internen IT -Systemen unterbunden wird?

  • Ist ein Zugriff auf das LAN ausschließlich auf hierfür zugelassene IT -Systeme beschränkt?

  • Wird verhindert, dass Dritte den internen Datenverkehr mitlesen beziehungsweise mitschneiden können?

  • Wird verhindert, dass Rechner in Besprechungs-, Veranstaltungs- und Schulungsräumen gleichzeitig eine Verbindung zum Intranet und zum Internet aufbauen können?

Stand: 13. EL Stand 2013