Bundesamt für Sicherheit in der Informationstechnik

M 5.146 Netztrennung beim Einsatz von Multifunktionsgeräten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Häufig ist es unter wirtschaftlichen oder praktischen Gesichtspunkten nicht zweckmäßig, separate Geräte zum Drucken, Scannen, Kopieren und Fax-Versand/Empfang einzusetzen. Als Alternative sind Multifunktionsgeräte, die auch als All-in-One-Geräte bezeichnet werden, erhältlich, die mehrere oder sogar alle diese Funktionen in einem Gerät unterstützen. Teilweise bieten diese Geräte auch zusätzliche Kommunikationsschnittstellen, beispielsweise für Webzugriffe.

Multifunktionsgeräte haben meist gegenüber Einzelgeräten einen geringeren Administrationsaufwand und benötigen weniger Anschlussleitungen (Energie- und gegebenenfalls auch Datenleitungen). Multifunktionsgeräte können in der Regel entweder direkt oder über ein LAN an Arbeitsplatzrechner angeschlossen werden.

Einige Geräte bieten eine Fax- und DFÜ -Funktionalität, die den Anschluss an ein Telefonnetz voraussetzt, so dass über die Kopplung mit anderen IT-Systemen eine physische Verbindung zwischen dem LAN und dem Telefonnetz entstehen kann. Falls diese Verbindung nicht von einem Sicherheitsgateway kontrolliert wird, sind hierüber unter Umständen unkontrollierte Internet-Zugriffe möglich, so dass beispielsweise Unberechtigte von außen auf das LAN zugreifen könnten. Der unberechtigte Aufbau von Datenverbindungen muss in jedem Fall unterbunden werden.

Eine Ausnahme sind Multifunktionsgeräte mit Fax-Funktionalität, die nicht an ein Telefonnetz angeschlossen werden müssen. Diese Geräte scannen Dokumente ein und senden sie über eine Datenverbindung an einen zentralen Fax-Server, der sich typischerweise ebenfalls im LAN befindet. Erst der Fax-Server, der an das Telefonnetz angeschlossen ist, versendet das Fax an den eigentlichen Empfänger. Beim Einsatz eines Fax-Servers müssen die in Baustein B 5.6 Faxserver empfohlenen Maßnahmen umgesetzt werden.

Beim Einsatz von Multifunktionsgeräten, die an ein Telefonnetz angeschlossen werden können, muss zunächst entschieden werden, ob dieser Anschluss tatsächlich erforderlich ist, das heißt, ob die entsprechende Fax- oder DFÜ-Funktionalität benötigt wird. Falls auf den Anschluss an das Telefonnetz verzichtet werden kann, sind nach Möglichkeit folgende Schutzmaßnahmen zu ergreifen:

  • Die Fax- bzw. DFÜ-Funktionalität ist auf dem Gerät zu deaktivieren.
  • Das Kabel für den Anschluss an das Telefonnetz ist zu entfernen. Keinesfalls darf das Kabel in die Telefondose eingesteckt werden.
  • Wenn sich das Gerät an einem frei zugänglichen Ort befindet, sollten möglichst die Telefondosen in dem jeweiligen Raum deaktiviert oder die Schnittstelle zum Telefonnetz aus dem Gerät ausgebaut werden. Ist beides nicht möglich, sollte regelmäßig kontrolliert werden, ob nicht unbefugt die Verbindung zum Telefonnetz hergestellt worden ist.

Wenn die Fax- oder DFÜ-Funktionalität des Multifunktionsgerätes genutzt werden soll, muss sichergestellt sein, dass der hierfür erforderliche Anschluss an das Telefonnetz nicht zu unkontrollierten Datenverbindungen zwischen dem LAN und Fremdnetzen führen kann. Folgende Ansätze sind möglich:

  • Das Multifunktionsgerät wird an einen Stand-Alone-PC angeschlossen, das heißt an einen Rechner, der nicht mit dem LAN verbunden ist. Nachteilig bei diesem Ansatz ist, dass Daten in vielen Fällen mit Hilfe von Datenträgern zwischen dem Stand-Alone-PC und dem LAN transportiert werden müssen.
  • Eine Alternative ist, das Multifunktionsgerät oder den Rechner, an den das Multifunktionsgerät angeschlossen ist, mit Hilfe eines zusätzlichen Sicherheitsgateways vom LAN zu trennen. Der Baustein B 3.301 Sicherheitsgateway (Firewall) ist zu beachten.
  • Eine weitere Alternative ist, das Multifunktionsgerät oder den Rechner, an dem das Multifunktionsgerät angeschlossen ist, in einer DeMilitarisierte Zone ( DMZ ) eines bestehenden Sicherheitsgateways zu platzieren. Auch in diesem Fall ist der Baustein B 3.301 Sicherheitsgateway (Firewall) anzuwenden.

Alle genannten Lösungsansätze müssen systematisch im Sicherheitskonzept berücksichtigt werden und erfordern zusätzliche Sicherheitsmaßnahmen, beispielsweise zum Schutz vor schädlichem Code, wie Computer-Viren oder Trojanischen Pferden.

Prüffragen:

  • Kann die Fax- und DFÜ-Funktionalität des Multifunktionsgeräts abgeschaltet werden?

  • Werden unkontrollierte Datenverbindungen zwischen dem LAN und Fremdnetzen zuverlässig unterbunden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK