Bundesamt für Sicherheit in der Informationstechnik

M 6.109 Notfallplan für den Ausfall eines VPNs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Abhängig von den Anforderungen an die Verfügbarkeit kann der Ausfall eines VPNs schwerwiegende Folgen nach sich ziehen. Um Schäden zu vermeiden bzw. die entstandenen Schäden zu mindern, müssen die erhobenen Verfügbarkeitsanforderungen bereits bei Definition der VPN-Systemarchitektur berücksichtigt werden. Ein VPN-Notfallkonzept dient als Leitfaden für den akuten Schadensfall (z. B. physische Störung, nicht autorisierter Zugriff) und soll der Institution helfen, im Notfall einen Überblick über die zu ergreifenden Aktivitäten zu behalten.

Die Notfallvorsorge für VPNs muss in das existierenden Notfallmanagement (siehe auch Baustein B 1.3 Notfallmanagement ) integriert werden. Hierfür sind Verfahren und Definitionen von Erstmaßnahmen für den schnellen Übergang in den operativen Betrieb festzulegen.

Je nach Priorisierung der Standorte, Geschäftsprozesse bzw. Organisationseinheiten sind individuelle VPN-Notfallkonzepte zu erstellen, die die jeweils spezifischen Gegebenheiten abbilden. Bei der Erstellung eines Notfallkonzeptes für ein VPN müssen folgende Punkte beachtet werden:

  • Welche Störungen, Schäden und Folgeschäden ergeben sich konkret bei Ausfall einer VPN-Verbindung?
  • Welche VPN-Verbindungen müssen hochverfügbar sein?
  • Wie schnell kann der Ausfall eines VPNs festgestellt werden?
  • Können Fehler in den zur Verbindung benutzten Telekommunikationsnetzen schnell als solche erkannt werden? Werden diese dem zuständigen Administrator mitgeteilt (beispielsweise Verbindungsprobleme, Probleme bei der Rufnummernübertragung, Probleme mit der Schaltung von geschlossenen Benutzergruppen)?
  • Wie schnell können VPN-Verbindungen bei verschiedenen Ausfallszenarien wiederhergestellt werden (Ersatz von Geräten, Hochfahren des Systems)?
  • Beim Ausfall welcher Komponenten muss das VPN abgeschaltet werden, obwohl technisch weiterhin VPN-Verbindungen aufgebaut werden können (z. B. bei Ausfall der Protokollierung, der Kommunikationsverschlüsselung oder des Authentisierungsservers)?
  • Steht für die Administration des VPNs in Notfällen ausreichend qualifiziertes Personal zur Verfügung?

Für einzelne Schadensszenarien sollten geeignete Vorgehensweisen in Form einer Notfalldokumentation erarbeitet werden. Darin sollten alle für die Behebung eines Notfalls notwendigen Daten erfasst und so dargestellt sein, dass auch das Vertretungspersonal damit arbeiten kann. Die Notfalldokumentation sollte außerdem Informationen über alternative Verbindungswege enthalten, z. B. alternative Telekommunikationsanbieter oder alternative Übertragungsmedien.

Notfall-Verantwortlichkeiten

Personelle Schlüsselpositionen und deren Aufgaben und Befugnisse müssen definiert und dokumentiert werden. Hierbei sollten auch die in Maßnahme M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen gegebenen Empfehlungen beachtet werden.

Einrichten von Notfallrufnummern

Für Mitarbeiter, vor allem die mobilen Mitarbeiter und Telearbeiter, sollte eine Notfallrufnummer angeboten werden, damit sie VPN-Probleme zeitnah an verantwortliche Stellen kommunizieren können. Außerdem sollte das VPN in den kritischen Zeitabschnitten (z. B. Bürozeiten, Zeiten in denen vornehmlich Daten per VPN ausgetauscht werden) permanent überwacht werden.

Redundante Kommunikationsverbindungen

Je nach Priorisierung der Standorte und deren geschäftskritischen Applikationen können erhöhte Anforderungen an die Verfügbarkeit entstehen. Im Falle einer Störung müssen bei erhöhten Anforderungen an die Verfügbarkeit Sekundäranschlüsse zur Verfügung stehen. Der Sekundäranschluss wird nur im Falle einer Störung eingesetzt und kann beispielsweise mit DSL - oder ISDN -Verbindungen realisiert werden. Maßnahme M 6.18 Redundante Leitungsführung bietet weitere Hinweise für eine ordnungsgemäße Umsetzung.

Redundante VPN-Komponenten

Abhängig von den Anforderungen an die Verfügbarkeit des jeweiligen Standorts kann der Ausfall einer VPN-Komponente zu mehr oder minder großen Problemen führen. Bei hohen Anforderungen an die Verfügbarkeit des VPNs müssen entsprechende Redundanzen bereitgestellt werden. Dies kann, entsprechend den Anforderungen, beispielsweise mittels folgender Mechanismen erreicht werden:

  • Clustering (mehrere vernetzte Komponenten zur Erhöhung der Verfügbarkeit),
  • Hot Standby (Bereitstellung von initialisierten Ersatzgeräten) oder Cold Standby (Bereitstellung von ausgeschalteten Ersatzgeräten).

Besonders für zentrale VPN-Komponenten, wie beispielsweise VPN-Server im Rahmen eines Remote-Access-VPNs, sollte geprüft werden, ob eine redundante Auslegung erforderlich ist.

Informationen werden über VPNs in der Regel verschlüsselt übertragen. Daher ist zu beachten, dass für die Verschlüsselung entsprechende Ersatzschlüssel vorhanden sein müssen, bzw. neue Schlüssel generiert werden müssen. Dieser Aspekt muss im Schlüsselmanagement berücksichtigt werden.

Die Fehlerquellen für ein VPN können vielfältig sein, daher kann auch die Umsetzung der Maßnahme M 6.53 Redundante Auslegung der Netzkomponenten für zusätzliche Ausfallsicherheit sorgen.

Erstellung eines Wiederanlaufplans

Um eine schnellstmögliche Wiederaufnahme des Betriebs gewährleisten zu können, muss ein Wiederanlaufplan für jedes betriebene VPN erstellt werden. Hierbei müssen die erforderlichen Schritte festgelegt und dokumentiert werden. Für einen reibungslosen Austausch defekter VPN-Komponenten muss eine aktuelle Sicherung der jeweiligen Konfigurationsdaten zur Verfügung stehen. Hierzu sei auch auf Maßnahme M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten hingewiesen. Auch die Datenkonsistenz bei der Wiederaufnahme des Betriebs muss gewährleistet sein (siehe B 1.4 Datensicherungskonzept ).

Überprüfung der Datenintegrität nach Störungen

Bei einem Systemabsturz einer oder mehrerer VPN-Komponenten oder einer anderen Störung des VPNs kann nicht immer die Konsistenz der per VPN übertragenen Daten gewährleistet werden. Nach jeder Störung sollte daher die Integrität dieser Daten überprüft und eine Problemanalyse durchgeführt werden, um Wiederholungen möglichst zu vermeiden.

Notfallkonfiguration

In bestimmten Situationen kann es erforderlich sein, das VPN mit eingeschränkter Funktionalität oder Leistungsfähigkeit zu betreiben. In diesem Fall muss eine entsprechende Notfallkonfiguration aktiviert werden (siehe auch M 4.320 Sichere Konfiguration eines VPNs ). Diese dient dazu, die Sicherheit des VPNs (Zugangssicherheit, Zugriffssicherheit, Kommunikationssicherheit) auch bei eingeschränktem Betrieb aufrechtzuerhalten. Dafür muss im Vorfeld abhängig von der Priorisierung der Standorte, Geschäftsprozesse bzw. Organisationseinheiten festgelegt worden sein, in welchen Situationen welche VPN-Notfallkonfiguration ausgewählt wird.

Durchführung von Notfallübungen

Die beste Wiederanlaufplanung nützt wenig, wenn sie in der Praxis nicht zweckmäßig ist. Von besonderer Bedeutung ist daher die Durchführung von regelmäßigen Notfallübungen, um Schwachpunkte erkennen und verbessern zu können (siehe auch M 6.12 Durchführung von Notfallübungen ). Hierbei muss eine revisionsfähige Protokollierung des VPN-Wiederanlaufs gewährleistet werden. Alle Ersatz-VPN-Komponenten, Datensicherungsgeräte, Backup-Datenträger und Sekundärleitungen für Ausweich-Kommunikationsverbindungen müssen in regelmäßigen Abständen auf ihre Funktionsfähigkeit überprüft werden. Die verantwortlichen Personen profitieren ebenfalls von Trainings- und Sensibilisierungsmaßnahmen und können im Ernstfall schneller und effizienter reagieren.

Das VPN-Notfallkonzept muss an die spezifische Situation der Institution angepasst und so ausgestaltet sein, dass kritische Geschäftsprozesse innerhalb der geforderten Zeiten wieder zur Verfügung stehen. Das VPN-Notfallkonzept muss so geschrieben sein, dass es von einem sachverständigen Dritten ausgeführt werden kann. Aufgrund ständiger technischer, organisatorischer und personeller Veränderungen muss das VPN-Notfallkonzept immer aktuell gehalten werden.

Prüffragen:

  • Gibt es ein aktuelles Notfallkonzept für den Ausfall eines VPN ?

  • Ist festgelegt, welche Verfügbarkeitsanforderungen an die unterschiedlichen VPN -Verbindungen bestehen?

  • Ist definiert und dokumentiert, wer im Notfall welche Aufgaben und Befugnisse für den VPN -Betrieb hat?

  • Wird für Mitarbeiter eine Notfallrufnummer angeboten, über die sie VPN -Probleme melden können?

  • Sind die technischen Redundanzen für die festgelegten Verfügbarkeitsanforderungen des VPN -Betriebs angemessen?

  • Steht im Notfall ausreichend qualifiziertes Personal für die Wiederherstellung der VPN s zur Verfügung?

  • Sind die für den VPN -Wiederanlauf erforderlichen Schritte festgelegt und dokumentiert?

  • Wird eine aktuelle Sicherungskopie der Konfigurationsdaten vorgehalten?

  • Werden regelmäßig VPN -Notfallübungen durchgeführt?

  • Werden die Datensicherungen regelmäßig überprüft, ob sie wiedereingespielt werden können?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK