Information Security Policy der enviaM

Transcrição

Information Security
Policy der enviaM
Blatt 1 - 46
Ausgabe 01.05.2012
Version 5.8
Auszug aus der
Information Security Policy der enviaM
Exemplar für den IT-Dienstleister
- außer Netzwerkdienstleister -
Bearbeiter:
Herr Keller
Verantwortlich:
IV-Strategie S-T
Mindeststandards IV-Anwender
Inhaltsverzeichnis
Seite 1
Policy der enviaM
Blatt 2 - 46
Ausgabe 01.05.2012
Version 5.8
Inhaltsverzeichnis
1
2
Information Security Policy für die enviaM _________________________________________ 5
1.1
Einleitung _______________________________________________________________________ 5
1.2
Zielsetzung und Gültigkeitsbereich der Information Security Policy ______________________ 5
Mindeststandards für die enviaM __________________________________________________ 5
2.1
3
Mindeststandards für den IT-Anwender ____________________________________________ 6
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.2.6
Kennwörter und Zugriffsschutz _____________________________________________________ 6
Kennwörter und ergänzende Verfahren _______________________________________________________ 6
Kontrollierter Zugang zu den Daten _________________________________________________________ 7
Verlassen des Arbeitsplatzes _______________________________________________________________ 7
Druckausgabe auf Netzwerkdruckern ________________________________________________________ 8
Unterwanderung des Zugangs- und Zugriffsschutzes ____________________________________________ 8
Schutz der Daten _________________________________________________________________ 8
Schutzbedarfsfeststellung _________________________________________________________________ 8
Datensicherung _________________________________________________________________________ 8
Handhabung mobiler Datenträger ___________________________________________________________ 9
Vertrauliche und streng vertrauliche Daten ____________________________________________________ 9
Löschen nicht mehr benötigter Datenbestände ________________________________________________ 10
Weitergabe von IT-Anwendungen __________________________________________________________ 10
3.3
Installation und Nutzung von IT-Komponenten_______________________________________ 10
3.4
Nutzung von E-Mail _____________________________________________________________ 11
3.5
Schutz vor Schadensprogrammen __________________________________________________ 11
3.6
4
Einleitung _______________________________________________________________________ 5
Phishing
Täuschung und Angeln von Kennwörtern ________________________________ 12
3.7
Mobiles Arbeiten ________________________________________________________________ 13
3.8
Internetnutzung _________________________________________________________________ 14
3.9
Datenschutzvorschriften __________________________________________________________ 15
3.10
Nutzung sozialer Medien (z.B. Facebook, Twitter, Xing) ________________________________ 15
3.11
Melden von Sicherheitsvorfällen ___________________________________________________ 15
3.12
Sicherstellung des Sichtschutz bei Gebäuden und des Schutzes vor indirektem Zugriff ______ 16
Mindeststandards für den IT-Dienstleister _________________________________________ 17
4.1
4.1.1
Grundlegendes __________________________________________________________________ 17
Cloud Computing ______________________________________________________________________ 17
4.2
Physischer Zugangsschutz ________________________________________________________ 18
4.3
Zugangs- und Zugriffsregularien ___________________________________________________ 18
4.3.1
4.3.2
4.3.3
4.4
4.4.1
4.5
4.5.1
Zugangsberechtigung ___________________________________________________________________ 18
Zugriffsrechte _________________________________________________________________________ 20
Sichere Administration __________________________________________________________________ 20
System- und anwendungsrelevante Regelungen _______________________________________ 21
Betrieb von Servern und Clients ___________________________________________________________ 21
Richtlinien zur sicheren Programmentwicklung, konfiguration, Installation und Wartung __ 22
Regelungen für die Planung der IT-Anwendung _______________________________________________ 22
Inhaltsverzeichnis
Seite 2......
Policy der enviaM
Ausgabe 01.05.2012
Version 5.8
Regelungen für die Entwicklung der IT-Anwendung ___________________________________________ 22
Sicherheit im Entwicklungs- und Wartungsprozess ____________________________________________ 23
Besonderheiten bei der Entwicklung von Web-basierten Anwendungen ____________________________ 23
Besonderheiten zur SAP-Anwendungsentwicklung ____________________________________________ 24
4.5.2
4.5.3
4.5.4
4.5.5
4.6
Personelle und organisatorische Sicherungsmaßnahmen _______________________________ 24
4.6.1
4.6.2
4.6.3
4.6.4
Verpflichtung und Aufsichtspflicht _________________________________________________________ 24
Vertragliche Regelungen _________________________________________________________________ 25
Sicherheitsschulung von Administratoren ____________________________________________________ 25
Mitarbeiterbesprechung zum Thema IT-Sicherheit _____________________________________________ 25
4.7
Regularien für die IT-Netzwerkinfrastruktur und dem IT-Netzwerkbetrieb _______________ 25
4.8
Datensicherung _________________________________________________________________ 25
4.9
IT-Notfallmanagement ___________________________________________________________ 26
4.10
Schutz vor Schadensprogrammen __________________________________________________ 26
4.10.1
4.10.2
4.10.3
4.11
4.12
Basismaßnahmen ____________________________________________________________________ 26
Schutz vor Viren _____________________________________________________________________ 27
Schutz vor Aktiven Inhalten __________________________________________________________ 27
Allgemeine Regularien ___________________________________________________________ 28
4.11.1
4.11.2
4.11.3
4.11.4
4.11.5
4.11.6
4.11.7
4.11.8
4.11.9
Fernbetreuung / Fernwartung ___________________________________________________________ 28
PC von Externen _____________________________________________________________________ 29
Sicherung von mobilen IT-Komponenten wie z.B. Notebooks __________________________________ 29
Datenträger _________________________________________________________________________ 29
Reparatur __________________________________________________________________________ 30
Konfiguration und Betrieb des Webbrowsers für das Internet __________________________________ 30
Konfiguration und Betrieb des Webbrowsers im Intranet ______________________________________ 31
Sicherheit der Systemdokumentation _____________________________________________________ 31
Überwachung _______________________________________________________________________ 31
Einsatz kryptografischer Techniken ________________________________________________ 31
4.12.1
4.12.2
4.12.3
5
Blatt 3 - 46
Grundsätze _________________________________________________________________________ 31
Anforderungen an die Bereitstellung von kryptografischen Schlüsseln ___________________________ 32
RWE Basis PKI______________________________________________________________________ 33
Organisatorische Maßnahmen der Gesellschaften der enviaM-Gruppe __________________ 34
5.1
Einhaltung von gesetzlichen, regulatorischen oder sonstigen relevanten Vorschriften _______ 34
5.2
Rolle und Aufgaben des Bereiches IT _______________________________________________ 34
5.3
Behandlung von Ausnahmen ______________________________________________________ 34
5.4
Änderungsprozess / Erstellung von neuen IT-Anwendungen ____________________________ 36
5.5
Handhabung von Zugriffsberechtigungen ___________________________________________ 36
5.5.1
5.5.2
5.5.3
5.5.4
5.5.5
Überprüfung von Zugangs-/Zugriffsberechtigungen____________________________________________ 36
Berechtigungen und Profile_______________________________________________________________ 36
Funktionstrennung______________________________________________________________________ 37
Vergabe von Zugangsberechtigungen _______________________________________________________ 37
Überprüfung von Kennwortrichtlinien ______________________________________________________ 37
5.6
Regelungen zum Update-Management des beauftragten IT-Dienstleisters _________________ 38
5.7
Regelung zur Nutzung Web-basierter Anwendungen __________________________________ 38
5.8
Schulungs- und Ausbildungsmaßnahmen ____________________________________________ 38
5.9
IT-Notfallmanagement ___________________________________________________________ 38
5.10
Security Incident Reporting _______________________________________________________ 38
Inhaltsverzeichnis
Seite 3......
Policy der enviaM
6
Blatt 4 - 46
Ausgabe 01.05.2012
Version 5.8
5.11
Durchführung von Schutzbedarfsfeststellung und Sicherheitsanalyse ____________________ 38
5.12
Regularien zur Abtrennung eines Konzerngesellschaftsnetzes oder anderer Schutzzonen ____ 38
5.13
Technische Sicherheitsüberprüfungen ______________________________________________ 38
5.14
Umgang mit personenbezogenen Daten _____________________________________________ 39
5.15
Einsatz von kryptografischen Methoden_____________________________________________ 40
Glossar ______________________________________________________________________ 41
Inhaltsverzeichnis
Seite 4
Policy der enviaM
Blatt 5 - 46
Ausgabe 01.05.2012
Version 5.8
1 Information Security Policy für die enviaM
1.1
Einleitung
Das vorliegende Dokument wurde auf Grundlage der Information Security Policy der enviaM erstellt,
welche eine grundlegende Richtlinie für die IT-Sicherheit der enviaM-Gruppe darstellt. Sie gilt auch für
Auftragnehmer, die als IT-Anwender, IT-Technik der enviaM-Gruppe nutzen.
Dieses Dokument beinhaltet die Mindeststandards und besitzt bindenden Charakter.
Aus Konsistenszgründen wurden Kapitelüberschriften ohne Kapiteltext im Dokument belassen.
1.2
Zielsetzung und Gültigkeitsbereich der Information Security Policy
Die Information Security Policy zielt auf Erhaltung und Fortführung einer Grundsicherheit der unternehmenseigenen Rechner, Applikationen und Daten, sowie der einzelnen IT-Netze und deren Vernetzung.
Handlungsrichtlinien bzw. -verfahren und Empfehlungen, die in dieser Policy ausgesprochen werden, sind
für alle Tochtergesellschaften mit Mehrheitsbeteiligungen verbindlich. Dies schließt auch IT-Komponenten
ein, die die Gesellschaften selbst betreiben oder betreiben lassen.
Die aufgeführten Mindeststandards bilden die Grundlage für die jeweils in den einzelnen Gesellschaften
zu installierenden Sicherheitsrichtlinien. Sie sind verbindlich für alle IT-Anwender. Zielsetzung ist die Schaffung eines ganzheitlichen Grundschutzes der IT-Infrastruktur.
Die Information Security Policy wird nach Inkrafttreten durchgesetzt. Eine Überprüfung der installierten
Sicherheitsrichtlinien trägt zu einer konsequenten Umsetzung der Information Security Policy im Unternehmen bei; den Anstoß hierzu gibt der IT-Bereich.
2 Mindeststandards für die enviaM
2.1
Einleitung
Durch die Umsetzung und Einhaltung der Mindeststandards wird eine Grundsicherheit hergestellt, auf
deren Basis ein vertrauensvolles Arbeiten miteinander ermöglicht wird. Nachfolgend sind die Themengebiete, die in den Mindeststandards behandelt werden, aufgeführt:
Festlegung des Schutzbedarfes
Physischer Zugangsschutz
Zugangs- und Zugriffsregularien
Personelle und organisatorische Maßnahmen
Notfallvorsorgemaßnahmen
Notebook Sicherheitsmaßnahmen
Schutz vor Schadensprogrammen
Schutzmaßnahmen bei der Verwendung von E-Mail
Allgemeine / Sonstige Regularien
Verschlüsselung und digitale Signatur
Die aufgestellten Regelungen stellen organisatorische und technische Maßnahmen dar, die gemäß Kapitel 1.2 Zielsetzung und Gültigkeitsbereich der Information Security Policy" anzuwenden sind. ITDienstleister müssen ihre Mitarbeiter in angemessener Form verpflichten. Die Form der Verpflichtung
bleibt den Unternehmen überlassen.
Mindeststandards für Anwender
Seite 5......
Policy der enviaM
Blatt 6 - 46
Ausgabe 01.05.2012
Version 5.8
3 Mindeststandards für den IT-Anwender
Die aufgestellten Sicherheitsrichtlinien sind verbindlich für alle IT-Anwender.
Durch den zunehmenden Einsatz der IT ist unser Unternehmen immer mehr von ihrer ordnungsgemäßen
Funktionsfähigkeit abhängig. Dabei besteht das Risiko, dass durch Fehlfunktionen oder (bewusstes oder
unbewusstes) menschliches Fehlverhalten die Sicherheit sensitiver Informationen verloren geht (Verlust
von Vertraulichkeit, Verfügbarkeit oder Integrität). Darüber hinaus kann dadurch der gesamte ITSystemverbund zum Ziel von Schadensprogrammen oder Angriffen werden (sowohl von innen als auch
von außen).
Die Einhaltung der im Folgenden aufgeführten Regelungen und Hinweise für Sie als IT-Anwender führen
zu einem Mindeststandard der IT-Sicherheit. Sie dienen dem Schutz der eingesetzten IT-Komponenten,
Anwendungen und Daten und helfen, Fehlverhalten zu vermeiden.
Neben dem Einsatz von technischen Hilfsmitteln entscheidet oftmals Ihr aktives Handeln zur Wahrung
des Schutzes von z.B. wettbewerbsrelevanten Unternehmensinformationen. Seien Sie wachsam und helfen Sie mit, indem Sie die in dieser Information Security Policy festgelegten Regelungen nach bestem
Wissen und Gewissen zum Schutz der eingesetzten IT-Komponenten, Anwendungen und Daten anwenden und einhalten.
IV-Sicherheit geht alle an
Regel
Befolgen Sie gewissenhaft die Mindeststandards für den IT-Anwender
Sie werden regelmäßig über die Inhalte der Information Security Policy informiert.
Bei Fragen zur Information Security Policy wenden Sie sich an Ihren Vorgesetzten oder den Hinweis
IT-Bereich.
+
Regel für Personalverantwortliche
Regel
Unterweisen Sie einmal jährlich Ihre zugeordneten Mitarbeiter zum Thema IT-Sicherheit.
Alternativ oder ergänzend ist die Belehrung auch im Rahmen andere Veranstaltungen
(z.B. im Rahmen einer Arbeitsschutzunterweisung) möglich.
Hinweis
Bei Bedarf unterstützt hierbei der IT-Bereich.
Durch Rückfluss der Anregungen und Probleme an den IT-Bereich kann entsprechender
Einfluss auf die geltenden Sicherheitsrichtlinien genommen werden.
3.1
Kennwörter und Zugriffsschutz
Kennwörter und andere Verfahren der Zugriffsberechtigung (z.B. SecurID-Karte und PIN
Glossar) sind
wichtige Mittel zur Absicherung der IT-Arbeitsmittel vor missbräuchlicher Nutzung. Ein sorgsamer Umgang mit diesen ist deshalb unerlässlich, ähnlich wie bei der Handhabung von Geheimnummer und
Scheckkarte.
3.1.1
Kennwörter und ergänzende Verfahren
Richtige Nutzung von Kennwörtern
Verwenden Sie persönliche und geheim zu haltende Kennwörter (
Regel
Glossar).
Teilen Sie niemandem Ihr Kennwort mit (z.B. am Telefon oder per E-Mail), auch nicht Ihrem
IT-Dienstleister.
Beachten Sie, dass Kennwörter mindestens 7 Stellen lang sein müssen.
Mindeststandards für Anwender
Seite 6......
Policy der enviaM
Blatt 7 - 46
Ausgabe 01.05.2012
Version 5.8
Verwenden Sie keine Tastaturmuster, Datumsangaben, Begriffe aus Wörterbüchern oder aus
dem allgemeinen Sprachgebrauch.
Verwenden Sie, sofern möglich, mindestens drei der nachfolgenden Zeichentypen: Großbuchstaben, Kleinbuchstaben, Sonderzeichen und/oder Ziffern (z.B. Anfangsbuchstaben eines Satzes).
Wechseln Sie regelmäßig, spätestens nach 90 Tage, Ihre Kennwörter.
Das neue Kennwort darf nicht mit den letzten drei zuvor verwendeten Kennworten identisch sein.
Ersetzen Sie umgehend voreingestellte Kennwörter durch persönliche.
Notieren Sie sich nirgends Kennwörter im Klartext (z.B. in Dateien)
Verwenden Sie Kennwörter, die Sie im betrieblichen Umfeld nutzen, nicht außerhalb des
enviaM (z.B. im Internet)
Zur Absicherung des Zugriffs auf das Unternehmensnetz und zur Anwendung von z.B. Verschlüsselung
oder Signatur ( Glossar) kommen häufig neben dem Kennwort ergänzende oder andere Verfahren der
Absicherung zum Einsatz.
Ergänzende Verfahren zur Absicherung des Zugriffsschutzes
Regel
Beachten Sie die Maßnahmen, die Sie von Ihrem IT-Dienstleister bei Einrichtung des Verfahrens erhalten.
Falsche Kennworte
OpaFritz
Beispiel
Wernesgrüner
Porsche911
Asdfghjk
TheBeatles
22Nov85
3.1.2
Kontrollierter Zugang zu den Daten
Während Ihrer Abwesenheit kann es in Ausnahmefällen notwendig sein, dass auf Ihre mit Kennwörtern
geschützten IT-Komponenten, Anwendungen und Daten zugegriffen werden muss.
Der kontrollierte Zugang ist zu ermöglichen.
Regel
3.1.3 Regel
Verlassen
desArbeitsplatz
Arbeitsplatzes
für den
Stellen Sie beim Verlassen Ihres Arbeitsplatzes sicher, dass kein Unberechtigter Ihren
PC/Ihren Bildschirm oder mobile Geräte nutzen kann.
Regel
Der installierte Bildschirmschoner darf in seiner Konfiguration nur dahingehend verändert
werden, den Zeitraum der Aktivierung des Bildschirmschoners herunterzusetzen.
Keinesfalls ist die Kennwortsperre des Bildschirmschoners zu deaktivieren.
Kennworte und Zugriffsschutz
Seite 7
Policy der enviaM
Blatt 8 - 46
Ausgabe 01.05.2012
Version 5.8
Sicherungsmaßnahmen
Abmelden vom PC
Beispiel
Nutzung einer Bildschirm-/Tastatursperre
Abschließen des Raumes
3.1.4
Druckausgabe auf Netzwerkdruckern
Ihr gedrucktes Dokument enthält Unternehmensdaten aus Ihrem Aufgabengebiet, die nicht in falsche
Hände gelangen dürfen.
Netzwerkdrucker
Regel
Die Druckausgabe auf Netzwerkdruckern ist von Ihnen zu beaufsichtigen und sofort nach
Beendigung des Druckauftrages aus dem Drucker zu entfernen.
3.1.5
Unterwanderung des Zugangs- und Zugriffsschutzes
Unberechtigten Zugriff vermeiden
Regel
Versuchen Sie nicht vorsätzlich Zugriff auf Daten zu erlangen, zu denen Sie keine Zugriffsberechtigung haben.
Wenn Sie bemerken, dass Ihnen ein unberechtigter Zugriff auf Daten, IT-Komponenten oder
Anwendungen gewährt wird, so informieren Sie bitte umgehend den IT-Sicherheitsbeauftragten.
3.2
Schutz der Daten
Jeder Mitarbeiter muss verantwortungsbewusst mit den Daten umgehen, mit denen er arbeitet. Insbesondere gilt dies für vertrauliche/streng vertrauliche Daten.
Eines besonderen Schutzes bedürfen Daten bzw. Informationen,
die nicht zur allgemeinen Veröffentlichung bestimmt sind (Vertraulichkeit),
bei denen es in besonderem Maße darauf ankommt, dass sie nicht missbräuchlich verändert wurden (Integrität),
an die besondere Anforderungen bzgl. Verfügbarkeit gestellt werden, oder
deren Versand, Empfang oder Verarbeitung nachgewiesen werden muss (Verbindlichkeit),
Je nach Höhe des Schutzbedarfs werden sie eingeteilt in vertrauliche oder streng vertrauliche Daten.
Der Verantwortliche für die Daten/Informationen bestimmt, inwiefern eine Information vertraulich ist und
legt ggf. zusätzliche Maßnahmen fest, die diese Informationen weiter schützen sollen.
3.2.1
Schutzbedarfsfeststellung
Regel
Die Einstufung Ihrer Daten ( Glossar) in gering vertraulich, vertraulich oder streng vertraulich erfolgt zwischen Ihnen und Ihrem personellen Verantwortlichen, dies ist zu dokumentieren.
Weitere Hinweise hierzu können sie bei Ihrem Vorgesetzten oder dem IT-Bereich erhalten.
3.2.2
Hinweis
Datensicherung
Unberechtigten Zugriff vermeiden
Speichern Sie Ihre Daten grundsätzlich im Netzwerk; dort werden sie regelmäßig gesichert.
Kennworte und Zugriffsschutz
Regel
Seite 8
Policy der enviaM
Blatt 9 - 46
Ausgabe 01.05.2012
Version 5.8
Dateien sind so abzulegen, dass Inhalt und Verwendungszweck der Daten dem Kreis der
Zugriffsberechtigten entspricht.
Bei Daten, die nicht auf einem Netzlaufwerk liegen, sind Sie selbst für die Datensicherung
verantwortlich.
Lagern Sie Ihre selbst durchgeführte Datensicherungen vertraulicher/ streng vertraulicher
Daten an einem besonders gesicherten Ort.
Ihr IT-Dienstleister stellt Ihnen hierzu geeignete Verfahren und Informationen (z.B. Anleitungen) für die Datensicherung zur Verfügung.
Globale, unternehmensweite Verzeichnisse (z.B. envia-temp) unterliegen keinen Berechtigungsbeschränkungen. Alle dort abgelegten Daten sind für alle Netzwerknutzer lesbar,
veränderbar oder können gelöscht werden. Diese Verzeichnisse unterliegen nicht der
zentralen Datensicherung.
3.2.3
Hinweis
Hinweis
Handhabung mobiler Datenträger
Aufbewahrung und Versand mobiler Datenträger
Bewahren Sie mobile Datenträger verschlossen auf. (z.B. in einem abgeschlossenen Schrank,
Schreibtisch oder Raum)
Regel
Bewahren Sie Datenträger mit schutzbedürftigen Daten in einem Tresor auf.
Versenden Sie Datenträger nur an berechtigte Empfänger.
Verwenden Sie nur unbenutzte (neue) oder sorgfältig gelöschte Datenträger.
Verwenden Sie für den Versand von mobilen Datenträgern nur verschlossene und je nach
dem Schutzbedarf der Daten versiegelte oder verplombte Umschläge/Behälter oder verschlüsseln die die Daten.
Die Lesbarkeit der von Ihnen angelegten gesicherten Datenbestände ist von Ihnen stichprobenartig und turnusmäßig zu überprüfen.
Nicht mehr zu verwendende Datenträger müssen über den IT-Bereich entsorgt werden
3.2.4
Vertrauliche und streng vertrauliche Daten
Umgang mit vertraulichen Daten
Versenden Sie vertrauliche Daten nur verschlüsselt.
Regel
Kennzeichnen Sie vertrauliche Daten möglichst deutlich, z.B. durch die Verwendung einer
entsprechenden E-Mail-Option.
Schützen Sie vertrauliche/streng vertrauliche Daten zum Schutz der Integrität durch den
Einsatz der digitalen Signatur ( Glossar digitale Signatur )
Vor Herausgabe von IT-Komponenten zur Reparatur, müssen alle vertraulichen/streng vertraulichen Daten entweder verschlüsselt oder sicher entfernt werden. ( Glossar sicheres
Löschen )
Verschlüsseln Sie vertrauliche/streng vertrauliche Daten auf mobilen IT-Komponenten.
Falls möglich, richten Sie zusätzlich ein Zugriffskennwort ein.
Schutz der Daten
Seite 9
Policy der enviaM
Blatt 10 - 46
Ausgabe 01.05.2012
Version 5.8
Weisen Sie Ihren IT-Dienstleister darauf hin, wenn Sie vertrauliche/streng vertrauliche Daten
auf einer zur Reparatur vorgesehenen IT-Komponente gespeichert haben.
Es soll erreicht werden, dass kein Unberechtigter diese Daten lesen bzw. unbemerkt verfälschen kann.
Hinweis
Verschlüsselungsverfahren schützen nicht vor Zerstörung oder Löschung der Daten. Eine
regelmäßige Datensicherung ist deshalb nach wie vor erforderlich.
Aufbewahrung der Schlüssel
Regel
Tragen Sie Sorge, dass die für die Verschlüsselung Ihrer Daten und Nachrichten vergebenen
geheimen Schlüssel sicher aufbewahrt werden und nicht in falsche Hände geraten.
Geeignete Verschlüsselungsinstrumente können über den IT-Bereich beschafft werden.
Hinweis
Bei der Verschlüsselung muss sichergestellt sein, dass Ihre Daten im Notfall auch ohne Ihr
Zutun wieder entschlüsselt und damit für das Unternehmen wieder nutzbar gemacht
werden können.
3.2.5
vertrauliche Daten
=
hoher Schutzbedarf
streng vertrauliche Daten
=
sehr hoher Schutzbedarf
Hinweis
Löschen nicht mehr benötigter Datenbestände
Entfernen nicht mehr benötigter Daten
Löschen Sie nicht mehr benötigte Datenbestände im Netzwerk und auf Datenträgern.
Regel
Schutzbedürftigen Daten sind so zu löschen, dass die Daten nicht rekonstruiert werden
können.
Hinweis
Bedenken Sie, dass normalerweise die Daten nicht physisch gelöscht werden, sondern nur Hinweis
deren Einträge im Inhaltsverzeichnis. Die Daten können mit Hilfe entsprechender Dienstprogramme wieder sichtbar gemacht werden.
Werkzeuge zum sicheren und vollständigen Löschen können über den IT-Bereich beantragt werden.
3.2.6
Weitergabe von IT-Anwendungen
Weitergabe von Anwendungen
Sie dürfen keine IT-Anwendungen innerhalb oder außerhalb der enviaM weitergeben (z.B.
über e-Mail oder Internet), auch wenn Sie diese selbst erstellt haben.
3.3
Regel
Installation und Nutzung von IT-Komponenten
Das Unternehmen stellt Ihnen IT-Komponenten für Ihre Arbeit zur Verfügung, die den Vorgaben der ITSicherheit entsprechen. Eine nicht autorisierte Nutzung oder Veränderung dieser IT-Komponenten kann
einen erheblichen Schaden für das Unternehmen hervorrufen.
Sichere Nutzung von IV-Komponenten
Regel
Verwenden Sie nur ordnungsgemäß lizenzierte Standard-/Anwendungssoftware oder Daten
(z.B. keine unberechtigten Kopien lizenzierter Programme)
Schutz der Daten
Seite 10
Policy der enviaM
Blatt 11 - 46
Ausgabe 01.05.2012
Version 5.8
Regel
Laden Sie keine Software (auch Programmänderungen) aus dem Internet oder von Onlinediensten. Ausgenommen von dieser Regelung sind Viewer-Anwendungen, die auf CDROMs geliefert werden, um deren Inhalt zu sichten.
Es ist Ihnen nicht gestattet, eigenständig Hardware und Software auf betrieblichen ITKomponenten zu installieren.
Insbesondere ist Ihnen die eigenständige Installation von WLAN-Karten, ISDN-Karten, Modems ( Glossar) und sonstigen Geräten zur Datenübertragung untersagt, weil hierdurch
leicht ein unberechtigter Zugriff zum IT-Netzwerk entstehen kann.
Sie dürfen sicherheitstechnische Einstellungen (z.B. in Office-Anwendungen, Web Browser,
E-Mail) auf keinen Fall verändern oder deaktivieren.
Schließen Sie keine privaten IT-Komponenten an betriebliche IT-Komponenten an.
Setzen Sie betriebliche IT-Komponenten nur zur Erledigung ihrer betrieblichen Aufgaben
ein.
IT-Komponenten von Fremdfirmenmitarbeitern dürfen nicht ans Unternehmensnetz angeschlossen werden. Bitte achten Sie darauf bzw. geben dieses Verbot entsprechend weiter.
Nur der IT-Dienstleister ist berechtigt, Hardware und Software auf betrieblichen ITKomponenten zu installieren.
Hinweis
Reparatur und Entsorgung
Regel
Bei erforderlicher Reparatur oder Entsorgung von IT-Komponenten müssen Sie stets Ihren ITDienstleister einschalten.
3.4
Nutzung von E-Mail
Nachrichten und Daten, die über öffentliche Netze (z.B. Internet) verschickt werden, haben den Charakter einer mit Bleistift geschriebenen Postkarte . Der Inhalt der Nachricht oder Daten kann von jedem,
dem diese Postkarte in die Hände fällt, gelesen und verändert werden.
In öffentlichen Netzen kann der Empfänger nicht sicher sein, dass der Absender tatsächlich der ist, für
den er sich ausgibt.
Deshalb ist darauf zu achten, dass Nachrichten nicht durch Unberechtigte gelesen oder gar verändert
werden.
Was Sie bei E-Mails beachten müssen
Regel
Richten Sie keine automatische Weiterleitung Ihrer empfangenen E-Mails in ein öffentliches
Netz ein.
Verwenden Sie keine E-Mail-Konten im Internet für betriebliche Zwecke.
Verschlüsseln Sie vertrauliche/streng vertrauliche Daten beim Versenden von E-Mail.
Verwenden Sie in jedem Fall eine digitale Signatur bei zu übermittelnden Nachrichten und
Daten, bei denen Ihre Identität als Absender und die Unverfälschtheit der Nachricht zweifelsfrei feststehen müssen.
Fordern Sie dies im Bedarfsfall auch umgekehrt, wenn Sie der Empfänger sind.
3.5
Schadensprogramme können über Internet, e-Mail oder mobile Datenträger in das Unternehmensnetzwerk gelangen und zu erheblichen Beeinträchtigungen für den IT-Anwender und Schäden für das UnterInstallation und Nutzung von IV-Komponenten
Seite 11
Policy der enviaM
Blatt 12 - 46
Ausgabe 01.05.2012
Version 5.8
nehmen führen. Sie sind u.a. in der Lage, Daten zu verfälschen, zu zerstören oder an Unberechtigte zu
versenden
Regel
Virenschutz
Öffnen Sie keine Dateien aus nicht vertrauenswürdiger Quelle z.B. als Anhang von E-Mails
( Glossar), aus dem Internet ( Glossar), oder von mobilen Datenträgern.
Geben Sie keine Dateien
auch harmlos erscheinende aus nicht vertrauenswürdigen
Quellen weiter. Dasselbe gilt auch, wenn zwar die Quelle vertrauenswürdig erscheint, jedoch keine Dateizusendung von dort erwartet wurde.
Die vom IT-Dienstleister eingestellten Virenschutzprogramme dürfen Sie nicht ändern oder
deaktivieren, in ihrem Lauf abbrechen oder gar löschen.
Prüfen Sie alle Dateien, die Sie aus externen Quellen erhalten vor der erstmaligen Benutzung mit dem auf Ihrem Arbeitsplatzrechner befindlichen On-Demand-Virenscanner (
Glossar)
Jedes Auftreten eines Schadensprogramms oder ein entsprechender Verdacht ist unverzüglich dem IT-Dienstleister zu melden.
Betreiben Sie Ihren Rechner bis zur Klärung des Problems keinesfalls weiter.
Leiten Sie Warnungen vor Schadensprogrammen ausschließlich an den IT-Dienstleister weiter.
Anzeichen für einen möglichen Virenbefall
Beispiel
Unerklärliches Systemverhalten (häufige Fehlerfenster, Programmabstürze, Rechnerabstürze, usw.)
Ungewöhnliche Aktivitäten des Rechners
Unerklärlich langsame Netzwerkverbindungen
3.6
Phishing
Täuschung und Angeln von Kennwörtern
Beim 'Phishing' versuchen Betrüger Sie zu täuschen, um Zugangsdaten zu erlangen oder Ihren Rechner
mit einem Schadprogramm zu infizieren, indem Sie auf unseriöse Web-Seiten geleitet werden.
Sicherer Umgang mit Phishing -e-Mails
Regel
Werden Sie per E-Mail zum Besuchen einer Web-Seite, zum Antworten per E-Mail oder Telefon aufgefordert, um personenbezogene Daten oder Zugangsinformationen abzugleichen, so antworten und reagieren Sie auf diese Anfragen in keinem Fall direkt.
Leiten Sie die e-Mail zur Überprüfung an den IT-Sicherheitsbeauftragten Ihres Unternehmens weiter, damit er sich mit dem Versender in Verbindung setzen kann.
In Zweifelsfällen hinsichtlich der Authentizität von E-Mails informieren Sie bitte Ihr Informationsmanagement.
Anzeichen für Phishing -Mails
Einfaches Phishing beinhaltet in E-Mails häufig
-
keine persönliche Anrede,
-
weist grammatikalische oder orthographische Fehler auf oder
-
ist nicht in der erwarteten Sprache verfasst.
-
enthaltene Links zeigen auf Ihnen nicht bekannte Web-Seiten (Überprüfung durch Bewegung des Mauszeigers auf den Link).
Beispiel
Seite 12
Policy der enviaM
-
Androhungen ( Sie MÜSSEN
Zeitdruck ausgeübt wird.
Blatt 13 - 46
Ausgabe 01.05.2012
Version 5.8
, sonst wird Ihr Zugang gesperrt ), durch die künstlicher
Die Tricks der Betrüger werden jedoch gerade in letzter Zeit
genannten Merkmale nicht immer vorhanden sein.
immer ausgefeilter. So müssen die oben
Seien Sie deswegen besonders wachsam
Regel
bei Auffälligkeiten, die nicht dem sonst bekannten Erscheinungsbild des Absenderunternehmens entsprechen.
bei Übertreibungen zur Sicherheit oder sonstigen Geschäftsangelegenheiten.
bei Angabe vollständiger personenbezogener Daten von Ihnen, die für den Vorgang unnötig sind.
bei Aktionen, die von Ihnen verlangt werden, die seitens des Absender-Unternehmens ausgeschlossen worden sind.
bei unerwarteten Anlagen oder Download-Links, insbesondere wenn diese von nicht vertrauenswürdigen Stellen herrühren.
Überprüfung des Absenderunternehmens mit dem Internet-Browser
Wenn Sie die Überprüfung der Anfrage mit dem Internetbrowser vornehmen wollen, so
öffnen Sie eine neue Internet-Browser-Sitzung, und tippen Sie die Internetadresse des Unternehmens selbst ein oder verwenden Sie einen zuvor festgelegten Favoriteneintrag.
Hinweis
Für weitere Informationen wenden Sie sich bitte an Ihren IT-Sicherheitsbeauftragten.
3.7
Mobiles Arbeiten
Mobile IT-Komponenten wie z.B. Laptops, Notebooks, PDAs oder Speicher-Sticks ( Glossar) unterliegen
einer erhöhten Gefährdung, z.B. durch Diebstahl. Damit verbunden ist insbesondere der Verlust von Unternehmensinformationen.
Sicherheitsmaßnahmen für mobile IV-Komponenten
Regel
Verschlüsseln Sie vertrauliche und streng vertrauliche Daten auf mobilen Endgeräten.
Sichern Sie tragbare Rechner (z.B. Laptops) vor Diebstahl, indem Sie diese entweder mit
einem Stahlseil an stationären Gegenständen befestigen oder wegschließen.
Melden Sie den Verlust eines mobilen Endgerätes umgehend dem IT-Bereich.
Wenn Sie mit dem mobilen Endgerät unterwegs sind
Gewähren Sie nicht autorisierten Personen keine Einsicht auf den Bildschirm Ihres Rechners.
Behalten Sie den tragbaren Rechner unter Ihrer Kontrolle.
Geben Sie das mobile Endgerät nicht als Fluggepäck auf.
Lassen Sie mobile Endgeräte nicht offen und sichtbar im Auto oder im Hotelzimmer liegen.
Überlassen Sie mobile Endgeräte nicht dem Hotelpersonal.
Nutzen Sie zur Aufbewahrung des mobilen Endgerätes den Zimmersafe sofern vorhanden.
Besonderheiten beim Fernzugriff in das Unternehmensnetzwerk
Regel
Regel
Beim Fernzugriff müssen Sie eine verschlüsselte Anbindung zum Unternehmensnetz wählen.
Mobiles Arbeiten
Seite 13
Policy der enviaM
Blatt 14 - 46
Ausgabe 01.05.2012
Version 5.8
Sie dürfen nicht auf vertrauliche/streng vertrauliche Daten im Unternehmensnetz über eine
fremde IT-Komponente oder ein fremdes IT-Netzwerk zugreifen, wenn diese nicht der enviaM-Information Security Policy oder einer äquivalenten Richtlinie unterliegen.
Hinweis
Nähere Informationen zum Fernzugriff erhalten Sie von Ihrem IT-Bereich.
Regel
Falls Ihr Gerät für die Nutzung von kabellosen Netzen vorgesehen ist (z.B. WLAN, Bluetooth
( Glossar) etc.), so dürfen Sie auf keinen Fall die Einstellungen zum Aufbau von kabellosen
Verbindungen ändern bzw. die Schutzkomponenten umkonfigurieren.
Ist Ihr Gerät auch zum Anschluss an öffentliche Netze (z.B. so genannte Hot Spots (
fen) zugelassen, ist eine aufmerksame Nutzung dieses Dienstes Ihrerseits notwendig.
Regel
Glossar) in Flughä-
Nutzung von kabellosen Netzen
Regel
Verbinden Sie sich nur mit Ihrem Unternehmensnetz (z.B. über VPN).
Eine direkte Nutzung des Internets über angebotene öffentliche Netze ist nicht erlaubt.
Aktivieren Sie kabellose Verbindungen nur, wenn Sie sie aktuell benötigen.
Achten Sie soweit es Ihnen möglich ist - darauf, dass die Schutzmaßnahmen an Ihrem
System, insbesondere die Personal Firewall ( Glossar), aktiv sind.
Lassen Sie in keinem Fall zu, dass andere Systeme sich direkt mit Ihrem Rechner verbinden.
3.8
Internetnutzung
Das Internet ist eine der Hauptgefahrenquellen für die IT-Sicherheit des Unternehmens. Technische
Sicherheitsvorkehrungen können nicht vor allen Gefährdungen schützen. Deshalb ist bei der Benutzung
des Internets besondere Vorsicht geboten.
Zugang zum Internet und anderen externen Datennetzen
Regel
Beachten Sie, dass der Abruf oder die Speicherung von bestimmten Internet-Inhalten strafrechtlich verfolgt werden kann.
Nutzen Sie zum Zugriff auf das Internet ausschließlich die dafür vorgesehenen und mit entsprechenden Schutzeinrichtungen (Firewall ( Glossar) versehenen Zugangswege Ihres ITDienstleisters.
Ausschließlich Ihr IT-Dienstleister ist berechtigt, Internet-Zugriffssoftware (z. B. Browser (
Glossar) zu installieren und zu konfigurieren. Diese Konfigurationen dürfen Sie in keinster
Weise verändern.
Es ist Ihnen prinzipiell verboten, ISDN-Karten, Modems (
Datenübertragung lokal zu installieren.
Glossar) und sonstige Geräte zur
Eine Kombination einer Datenübertragung über ISDN-Karten, Modems ( Glossar) und
sonstige Geräte mit einem gleichzeitig bestehenden Netzzugang ist nicht gestattet.
Beim Betrachten von Internetseiten werden Sie unter Umständen gefragt, ob Sie die Ausführung von Software wie Steuerelemente oder Plugins zulassen wollen.
Konfiguration des Internet Browsers
Aktivieren Sie die Programmausführung nur für den Besuch von vertrauenswürdigen Seiten.
Mobiles Arbeiten
Hinweis
Regel
Seite 14
Policy der enviaM
Blatt 15 - 46
Ausgabe 01.05.2012
Version 5.8
Regel
Stellen Sie Ungereimtheiten bei der Nutzung des Browsers fest, so benachrichtigen Sie unverzüglich Ihren IT-Dienstleister.
Ungereimtheiten bei der Browsernutzung
immer wieder auftauchende Browserfenster gleichen Inhalts
Beispiel
trotz richtiger Eingabe in der Adresszeile werden andere Webseiten geöffnet
3.9
Datenschutzvorschriften
Personenbezogene Daten unterliegen besonderen gesetzlichen Regelungen.
Beachtung von Datenschutzregelungen
Achten Sie generell auf die Einhaltung der nationalen Regelungen und Gesetze zum Daten- Regel
schutz (z.B. in Deutschland das BDSG).
Befolgen Sie die unternehmensintern getroffenen Datenschutzregelungen, z.B. des Datenschutz-Handbuchs.
Alle Regelungen im Unternehmen, die die Weitergabe von Unternehmensinformationen betreffen, insbesondere für den Versand über das Internet oder andere öffentliche Netze, sind grundsätzlich einzuhalten.
Wenden Sie sich bei Fragen zum Datenschutz an den Datenschutzbeauftragten.
Hinweis
3.10 Nutzung sozialer Medien (z.B. Facebook, Twitter, Xing)
Soziale Medien stellen ein erhebliches Risiko für die Datensicherheit dar: Sie sind ein beliebtes
Angriffsziel von Schadprogramm-Autoren und Hackern. Versehentliche Datenverluste treten häufig an dieser Stelle auf.
Regeln bei Nutzung sozialer Medien
Regel
Informationen, die veröffentlicht werden, müssen den Datenschutz- und Geheimhaltungsrichtlinien der enviaM entsprechen.
Kennwörter für Social-Media-Systeme müssen sicher sein und der Kennwortrichtlinie der
enviaM entsprechen.
Das Kennwort darf nicht für andere Anwendungen im Unternehmen verwendet werden.
Der Benutzer hat die geltenden Vorschriften bei der Zuweisung von Berechtigungen für
soziale Medien zu beachten und den Zugriff auf Daten, sofern möglich, angemessenen
Kontrollen zu unterwerfen.
Benutzer dürfen ausschließlich mit konformen Systemen auf Social-Media-Systeme zugreifen.
Der Benutzer hat das Informationsmanagement der enviaM über Verstöße gegen die
Sicherheitsvorschriften zu informieren bzw. zu melden, wenn er Richtlinienabweichungen
vermutet.
Hinweis
3.11 Melden von Sicherheitsvorfällen
Informationssicherheit geht alle etwas an. Helfen Sie mit und melden sicherheitsrelevante Vorfälle und
Verstöße.
Internetnutzung
Seite 15
Policy der enviaM
Blatt 16 - 46
Ausgabe 01.05.2012
Version 5.8
Meldung von Sicherheitsvorfällen
Beispiele für Sicherheitsvorfälle durch eigene oder externe Mitarbeiter:
Beispiel
Vorsätzliche Handlungen:
-
Diebstahl von Daten oder Datenträgern, Sabotage, vorsätzliche Veränderung von Informationen
-
Vorteilsnahme durch Weitergabe von vertraulichen Informationen
Verstoß gegen Sicherheitsrichtlinien:
-
unberechtigte Personen in Sicherheitsbereichen
-
unbegleitete Betriebsfremde
-
unverschlüsselter Versand von vertraulichen Informationen per eMail
-
Verstoß gegen Vorschriften der enviaM Mindeststandards für den IT-Anwender
Zugriff Dritter auf interne oder vertrauliche Daten:
-
beabsichtigte oder versehentliche Vorfälle
-
Verlust von Datenträgern (z.B. Laptops)
-
eMail oder Fax mit vertraulichem Inhalt an falsche Empfänger
Vorfälle in Folge von Schwachstellen in Sicherheitskonzepten und verfahren:
-
Versagen des Virenschutzes
-
Versagen physikalischer Zutrittskontrollen
Hinweis
Für weitere Informationen wenden Sie sich bitte an Ihren IT-Sicherheitsbeauftragten.
3.12 Sicherstellung des Sichtschutz bei Gebäuden und des Schutzes vor indirektem Zugriff
Informationsträger dürfen nicht von außerhalb des Gebäudes durch Dritte eingesehen werden.
+
Regel für Personalverantwortliche
Regel
Zur Absicherung müssen entsprechende Schutzvorkehrungen in Abstimmung mit dem Mitbestimmungsgremium getroffen werden.
Regeln zum Sichtschutz
Regel
Teilen sie ihrem Vorgesetzten mit. wenn sie feststellen, dass Informationsträger von außen
eingesehen werden können.
Sorgen sie dafür, dass Bildschirme, Einsatzpläne oder ähnliche an der Wand angebrachte
Informationsträger (mit schutzbedürftigen Informationen) so platziert werden, dass sie nicht
von außen einsehbar sind (insbesondere bei Parterre-Büros)
Wenn es notwendig ist, die Fensterscheiben durch Bekleben mit Milchglasfolie zu schützen, ist dies mit der Arbeitssicherheit und dem zuständigen Mitbestimmungsgremium abzustimmen.
Soziale Medien
Hinweis
Seite 16
Policy der enviaM
Blatt 17 - 46
Ausgabe 01.05.2012
Version 5.8
4 Mindeststandards für den IT-Dienstleister
In diesem Kapitel werden die Anforderungen und Regularien an den IT-Dienstleister zur Realisierung
eines Grundschutzes der IT-Komponenten und der Unternehmensdaten. Die Regularien zum Netzbetrieb und Konfigurationsvorgaben zur IT-Infrastruktur werden wegen ihres stark technischen Charakters
in jeweils einer Technischen Ergänzung zur Information Security Policy behandelt. Diese beinhalten unter anderem die Regularien zum Anschluss an das Internet, zur Erweiterung der Netze und zum Anschluss von Netzen anderer Gesellschaften an das Globale enviaM Netzwerk (GLEN) und das RWE Corporate Network RCN.
Die Aufgaben des IT-Dienstleisters werden vorrangig dadurch geprägt, dass dieser neben den organisatorischen Tätigkeiten die geforderten Technologien nach dem Stand der Technik zu errichten, zu betreiben und zu warten hat.
Die Rolle und die Aufgaben des Bereiches ITs ergeben sich aus der IT-Strategie (siehe Kapitel 5, Organisatorische Maßnahmen ). Bei Ausnahmeregelungen, die in dieser Information Security Policy angegeben sind, ist in der Regel der IT-Bereich hinzuzuziehen. Des weiteren übernimmt der IT-Bereich eine koordinierende Funktion bei der strategischen Ausrichtung und Umsetzung der Information Security Policy
für die enviaM.
Zwischen dem IT-Dienstleister und dem IT-Bereich sind die zu erbringenden Dienstleistungen in Bezug
auf die IT-Sicherheit in Form einer definierten Aufgabenteilung oder einer Servicevereinbarung festzulegen.
4.1
Grundlegendes
Alle in diesen Dokumenten aufgeführten Inhalte sind vom beauftragten IT-Dienstleister sofern für die
Dienstleistungserbringung relevant einzuhalten bzw. umzusetzen. Erfolgt seitens des beauftragten ITDienstleisters eine Unterbeauftragung, so hat der beauftragte IT-Dienstleister für eine entsprechende
Verpflichtung des Unterbeauftragten zu sorgen.
Wird im Nachfolgenden von schutzbedürftigen Daten (
Glossar), Anwendungen oder ITKomponenten gesprochen, so sind dies Daten, Anwendungen oder IT-Komponenten, die durch einen
hohen bis sehr hohen Schutzbedarf gekennzeichnet sind ( Kapitel 0 Für den Auftragnehmer nicht
zutreffend.
Durchführung von Schutzbedarfsfeststellung und Sicherheitsanalyse
Die Aufgaben des IT-Dienstleisters werden vorrangig dadurch geprägt, dass dieser neben den organisatorischen Tätigkeiten die geforderten Technologien nach dem Stand der Technik zu errichten, zu betreiben und zu warten hat.
Der IT-Dienstleister hat alle seine Mitarbeiter, die im Rahmen einer Diensterbringung für eine Gesellschaft der enviaM-Gruppe tätig sind, zur Einhaltung auf die im Kapitel 3 definierten Mindeststandards
für den IT-Anwender genannten Regelungen zu verpflichten.
Der IT-Dienstleister gestattet und ermöglicht der beauftragenden Gesellschaft der enviaM-Gruppe die
Einhaltung der für den beauftragten IT-Dienstleister verbindlichen Richtlinien zu überprüfen.
4.1.1
Cloud Computing
Werden Dienstleistungen nach dem Prinzip des Cloud Computings erbracht, so sind hierbei generell alle
Anforderungen aus der Security Policy zu erfüllen
Zusätzlich sind alle Basisanforderungen (Einstufung B) nach dem BSI Eckpunktepapier " Sicherheitsempfehlungen für Cloud Computing Anbieter" für Private und Public Clouds zu erfüllen.
Mindeststandards IV-Dienstleister
Seite 17
Policy der enviaM
Blatt 18 - 46
Ausgabe 01.05.2012
Version 5.8
Liegt ein hoher Schutzbedarf vor (Einstufung Vertraulichkeit >= " hoch" und/oder Verfügbarkeit >=
" hoch" ) so sind die entsprechenden Anforderungen C+ und/oder V+ aus dem BSI Eckpunktepapier
"Sicherheitsempfehlungen für Cloud Computing Anbieter" zu erfüllen.
4.2
Physischer Zugangsschutz
Generell sind folgende Grundregularien einzuhalten:
a) Server (Dateiserver, Applikationsserver, Datenbankserver) mit schutzbedürftigen Daten sind gegen
physischen Zugang abzusichern.
b) Der Zutritt zu Räumen, die Servertechnik mit schutzbedürftigen Daten enthalten, sowie der Zugriff
auf Verteilereinrichtungen sind zu regeln und entsprechend zu kontrollieren.
c) Der Zutritt zu Räumen, die Servertechnik mit schutzbedürftigen Daten enthalten, ist zusätzlich zu
protokollieren.
d) Schutzbedürftige Daten, die nicht angemessen gegen physischen Zugang gesondert geschützt werden können, sind verschlüsselt aufzubewahren.
e) Netzwerk-Verteilerkästen müssen vor unbefugtem Zugriff abgesichert sein.
f)
Für Router und Bridges sind Ersatzgeräte vorzuhalten. Weiterhin sind sie in verschlossenen Räumen
oder abgeschlossenen Schaltschränken unterzubringen. Wenn dies nicht möglich ist, muss der ITBereich eine Ausnahmeregelung erlassen ( Kapitel 5.3 Behandlung von Ausnahmen). Der ITDienstleister muss durch Beauftragung der Konzerngesellschaft für eine Überwachung der Komponenten sorgen. Die Überwachung umfasst die regelmäßige Überprüfung der Konfiguration und
physische Beschaltung der Geräte auf unberechtigte Änderungen.
g) Standalone-Rechner, die von einem entfernten Standort aus am Globalen enviaM Netzwerk (GLEN)
betrieben werden, um z.B. auf zentrale Anwendungen zugreifen zu können, müssen über einen
physischen Zugangsschutz (z.B. separat abgeschlossener Raum, mit definierten Zugangsregelungen,
oder Verschluss aller zum Zugang gehörigen IT-Komponenten bei nicht Benutzung) verfügen.
h) Bei Übertragung schutzbedürftiger Daten müssen die entsprechenden Netzwerkkomponenten
(Bridge, Switch, Managementsoftware etc.) vor unberechtigtem Zugriff geschützt werden.
i)
Kabel dürfen für Unbefugten nicht zugänglich sein. Für eine Überprüfung der Verkabelung sind eine
aktuelle Dokumentation und eine eindeutige Kennzeichnung aller Kabel erforderlich.
j)
Besteht zu Räumen kein entsprechender Zugangsschutz, oder befinden sich externe Unternehmen
im gleichen Gebäude ohne weitere physische Zugangssicherung, so sind Anschlussdosen nur bei
Bedarf freizuschalten (dies umfasst ebenso Mehrzweckräume, die für Sitzungen etc. genutzt werden). Die Freischaltung ist zu dokumentieren, und wenigstens zweimal jährlich zu überprüfen.
k) Netzbereiche, in denen besonders schutzbedürftige Daten ausgetauscht werden, d.h. Daten, deren
Schutzbedarf als sehr hoch" festgelegt wurde, sind netzwerktechnisch vom restlichen Netz zu isolieren (
Technische Ergänzung zur Information Security Policy Regularien für den Netzbetrieb",
Kapitel 2.5.4 Schutzzonen mit hohem oder sehr hohem Schutzbedarf ).
l)
Datensicherungsmedien sind unter Verschluss zu halten.
m) IT-Systeme (wie z.B. PC) und die darin gespeicherten Daten sind, soweit dies möglich und sinnvoll
ist, durch restriktive Zutrittsregelungen vor Diebstahl und vor unberechtigtem Zugriff zu schützen.
4.3
4.3.1
Zugangs- und Zugriffsregularien
Zugangsberechtigung
Die Möglichkeiten zum Einrichten von Zugangsberechtigungen zu IT-Komponenten, Netzwerkbetriebssystemen und IT-Anwendungen sind zu nutzen, um die aufgeführten Kennwortrichtlinien ( Kapitel
3.1 Kennwörter und Zugriffsschutz ) umzusetzen. Zudem ist eine Zugangsberechtigung zu sperren,
Seite 18
Policy der enviaM
Blatt 19 - 46
Ausgabe 01.05.2012
Version 5.8
falls für diese mehr als fünf Fehlanmeldungen durchgeführt worden sind, oder diese über das Kennwortänderungsintervall nicht mehr benutzt worden ist. Ausnahmen sind vom Information Security Officer der enviaM zu genehmigen und zu dokumentieren. Sofern technisch möglich, hat der ITDienstleister die gleichen Kennwortregelungen und die gleichen Nutzerkennungen über alle in Frage
kommenden IT-Komponenten, Netzwerkbetriebssysteme und IT-Anwendungen einzurichten.
Nach Absprache mit dem IT-Bereich sind entweder der Einsatz eines Boot-Kennwortes oder mindestens
folgende Maßnahmen auf der zu schützenden IT-Komponente vorzusehen:
Unterbinden des Boot-Vorgangs von Diskette oder anderen bootfähigen Datenträgern durch eine kennwortgeschützte BIOS-Einstellung und
Keine parallele Installation mehrerer Betriebssysteme.
PCs im mobilen Einsatz (Notebooks) sind mit einer Pre-Boot-Authentisierung zum Schutz bzgl. unberechtigtem Zugang und Vertraulichkeit auszuliefern.
Wird ein mobiler PC (z.B. Notebook) ohne Pre-Boot Authentifizierung genutzt, so müssen temporär
angelegte Daten (insbesondere temporäre Zwischenkopien von orignär verschlüsselten Dateien oder
z.B. das pagefile) vor dem Herunterfahren des Rechners sicher gelöscht werden.
PCs und sonstige IT-Komponenten sind, sofern dies von den Möglichkeiten des Betriebssystems und von
den operationellen Anforderungen her machbar ist, vor ihrer Auslieferung an die Benutzer so zu konfigurieren, dass sicherheitsrelevante Operationen ( Glossar) nur von dazu besonders berechtigten Personen (Administratoren) durchgeführt werden können. Ausnahmen sind vom Information Security Officer zu genehmigen und zu dokumentieren.
Eventuell vor der Auslieferung eingerichtete Kennwörter sind bei der Auslieferung vom Benutzer / Administrator, der dann für das System verantwortlich ist, zu ändern. Der Dienstleister hat die Anwender
darauf hinzuweisen. Auslieferungskennwörter dürfen nicht auf Systeme im produktiven IT-Einsatz übernommen werden.
Sofern der Einsatz einer Bildschirm- und Tastatursperre (kennwortgeschützter Bildschirmschoner) vom
Betriebssystem der ausgelieferten IT-Komponente unterstützt wird, so ist dieser einzusetzen. Kann ein
Zeitintervall zum Sperren der IT-Komponente bei inaktiver Nutzung angegeben werden, so ist dieses auf
maximal 10 Min. Wartezeit einzustellen.
Der Auftraggeber ist verpflichtet, einmal jährlich eine Überprüfung der Kennwortrichtlinien durchzuführen oder durchführen zu lassen, sofern keine automatisierte Einhaltung der Kennwortrichtlinien (z.B. bei
der Eingabe der Kennwörter) vorgenommen werden kann.
Benötigte Wörterbücher sind an einer zentralen Stelle zusammenzutragen bzw. Verweise auf entsprechend zu benutzende Wörterbücher sind zu pflegen. Wenn Verstöße gegen die Kennwortrichtlinien
festgestellt werden, sind geeignete, in Abstimmung mit dem IT-Bereich festgelegte organisatorische
Maßnahmen zu ergreifen.
Sind die Voraussetzungen einer Zugangsberechtigung zu einem IT-System nicht mehr gegeben, so sind
die erteilten Zugangsberechtigungen umgehend zu sperren.
Eine Zugangsberechtigung muss durch entsprechende Identifikations- und Authentifikationsmechanismen einen eindeutigen Rückschluss auf eine Person zulassen. In Ausnahmefällen kann durch den ITDienstleister in Abstimmung mit dem Information Security Officer der enviaM eine Zugangsberechtigung einer kleinen geschlossenen Benutzergruppe erteilt werden.
Sofern der IT-Dienstleister Entsperrungen oder Änderungen an Kennwörtern vornimmt, hat er die Berechtigung des Anforderers zu überprüfen. Das Verfahren ist mit dem Auftraggeber abzustimmen.
Alle genannten Regelungen (bis auf die Einrichtung des PC oder sonstiger IT-Komponenten mit lediglich
Benutzerrechten) sind ebenso für Zugangsberechtigungen von Mitarbeitern oder Beauftragten des IT-
Seite 19
Policy der enviaM
Blatt 20 - 46
Ausgabe 01.05.2012
Version 5.8
Dienstleisters, die im Rahmen einer Diensterbringung für eine Gesellschaft der enviaM-Gruppe benötigt
werden, einzuhalten. Verantwortlich hierfür ist der beauftragte IT-Dienstleister.
4.3.2
Zugriffsrechte
Zugriffsrechte auf Daten oder IT-Komponenten sind nur auf Antrag und nur insoweit zu gewähren, als
sie zur Aufgabenerfüllung notwendig sind.
Insbesondere die Zugriffsrechte auf die installierte Software sind nach Möglichkeit so einzustellen, dass
nur Administratoren dort Schreibzugriff haben.
Der für die Daten Verantwortliche legt fest, welche Anwender welche Daten mit welchen Zugriffsrechten bearbeiten dürfen. Die erteilten Zugriffsrechte sind in regelmäßigen Abständen mit diesen vorgegebenen Rechten abzugleichen, indem der IT-Dienstleister die in den Systemen vergebenen Rechte auflistet und diese Listen zur Überprüfung an den Fachbereich übergibt.
Alle genannten Regelungen sind ebenso für Zugriffsrechte von Mitarbeitern oder Beauftragten des ITDienstleisters, die im Rahmen einer Diensterbringung für eine Gesellschaft der enviaM-Gruppe benötigt
werden, einzuhalten. Verantwortlich hierfür ist der beauftragte IT-Dienstleister.
Darüber hinaus dürfen sich Administratoren des IT-Dienstleisters im Rahmen Ihrer Tätigkeit nur insoweit
zusätzliche Zugriffsrechte aneignen, wie sie für beauftragte Aufgaben des Kunden benötigt werden.
Eingerichtete und nicht mehr weiter benötigte Zugriffsrechte sind nach Erledigung des Auftrages unverzüglich wieder zurückzunehmen.
4.3.3
Sichere Administration
Der Sicherung von administrativen Zugängen zu IT-System kommt eine entscheidende Bedeutung zu, da
bei Kompromittierung der Administrationsumgebung die Integrität des gesamten Systems und seiner
Ressourcen gefährdet ist. Die im Folgenden dargestellten Regularien gelten dabei für alle administrativen Zugänge zu besonders schutzbedürftigen IT-Ressourcen. Hierzu gehören insbesondere:
alle für die IT-Sicherheit unmittelbar notwendigen Komponenten (Firewall-Systeme, Remote Access Systeme, Content Filter, Authentisierungssysteme etc.)
Netzwerkinfrastrukturkomponenten (Router, zentrale Switche, WLAN Access Points etc.)
Administratorkonten mit sehr weitgehenden Benutzerrechten (wie z.B.: Domänenadministratoren)
IT-Systeme mit mindestens hohem Schutzbedarf
Unter administrativen Zugängen sind dabei neben den Betriebssystemzugängen auch Administrationsumgebungen von Datenbanken oder Anwendungen zu verstehen.
Die administrativen Zugänge sind durch folgende Maßnahmen zu schützen:
Für die Administration sind sichere Basisprotokolle wie z.B. SSH zu verwenden. Protokolle mit
bekannten Sicherheitslücken dürfen nicht eingesetzt werden. Der administrative Verkehr ist
möglichst verschlüsselt zu übertragen.
Die Verwendung von generischen oder gemeinsam genutzten Konten ist nicht erlaubt. Jeder interaktive Zugang muss über personenbezogene Kennungen erfolgen. Die Verwendung von
nicht personalisierten Standard-Konten (wie z.B. root oder administrator ) ist nur zulässig,
wenn es technisch nicht anders realisierbar ist. In diesem Fall ist der Zugang zu diesen Kennungen besonders zu überwachen und eine Fremdverwendung durch häufigen Kennwortwechsel
(mind. einmal monatlich) zu erschweren. Weiterhin ist das Kennwort immer sicher (z.B. verschlüsselt) zu übertragen, an keiner Stelle zu speichern und bei jedem Anmeldevorgang neu
einzugeben
Seite 20
Policy der enviaM
Blatt 21 - 46
Ausgabe 01.05.2012
Version 5.8
Der Zugang zu den administrativen Konten und eine Veränderung an den Berechtigungen dieser
Administratorkonten sind zu protokollieren. Die Protokolle sind regelmäßig auf Missbrauch
durchzusehen. Eine Fremdverwendung ist durch häufigen Kennwortwechsel (mind. einmal monatlich) zu erschweren.
Die Administratoren sind mit einem kryptografisch starken Verfahren (Smart Card, Token) zu authentisieren. Die mehrfache Verwendung eines zugangsberechtigten Kennwortes ist nur in Ausnahmefällen zulässig, sofern das Kennwort immer sicher (z.B. verschlüsselt) übertragen wird, an
keiner Stelle gespeichert ist und bei jedem Anmeldevorgang einzugeben ist.
Für automatisierte Abläufe sind spezielle Kennungen einzurichten, die keinen interaktiven Zugriff ermöglichen.
Innerhalb des internen Netzes ist auch eine Identifizierung des zugreifenden Systems anhand
seiner IP-Adresse und eines sicher übertragenen Kennwortes (z.B. verschlüsselt) zulässig.
Alle administrativen Rechte sind möglichst granular zu vergeben.
Alle administrativen Tätigkeiten sind zu protokollieren und regelmäßig auf Missbrauch durchzusehen. Wird ein Missbrauch festgestellt, so ist dieser umgehend dem Information Security Officer der enviaM mitzuteilen. Alle vorgenommenen Änderungen sind umgehend zu dokumentieren, um im Fehlerfall jederzeit auf die aktuelle Konfiguration zugreifen zu können. Die Dokumentation ist nicht auf dem betroffenen System selbst, sondern entweder auf einem anderen
System oder in schriftlicher Form anzufertigen.
Es ist zu verhindern, dass das Logging ausgeschaltet oder umgangen wird oder Protokolldateien
manipuliert werden können.
4.4
4.4.1
System- und anwendungsrelevante Regelungen
Betrieb von Servern und Clients
Den Servern in einem IT-Netz kommt eine besondere Bedeutung zu, da diese bei fehlerhafter Konfiguration oder mangelnder Wartung (z.B. Einspielen von sicherheitsrelevanten Updates) trotz bestehender
Zugriffsregularien ein lohnendes Angriffsziel darstellen können. Sofern die Clients untereinander erreichbar sind, kommt der Clientabsicherung ebenso eine wichtige Bedeutung zu, da insbesondere durch
Peer to Peer Networking eine Gefährdung von auf den Clients abgespeicherten schutzbedürftigen
Daten besteht.
Bei vom Hersteller oder sonst publizierten, kritischen IT-Sicherheitslücken ( Glossar) zu vom ITDienstleister betriebenen IT-Systemen oder Anwendungen ist ein Update-Managementprozess beim ITDienstleister anzustoßen. Der Update-Managementprozess hat i.d.R. zwei Stufen. Innerhalb der ersten
Stufe ist zu klären, wie mit einer sicherheitskritischen Schwachstelle umzugehen ist (z.B. Lösung durch
Installation des Updates oder Einrichtung von alternativen Maßnahmen). Die zweite Stufe sieht die Umsetzung der in der ersten Stufe festgelegten Maßnahmen vor. Für beide Stufen sind für den Regelfall
maximale Bearbeitungszeiträume mit den Kunden zu vereinbaren. Das Vorgehen ist zu dokumentieren
und für den Kunden transparent zu machen. Der Update-Managementprozess ist unter Einbeziehung
der Kunden aufzusetzen.
Existiert zu einer sicherheitskritischen Lücke eine zugehörige, veröffentlichte Möglichkeit zur Ausnutzung (Exploit), so ist der oben genannte Prozess entsprechend der Gefährdung zu beschleunigen.
Da eine Beschreibung von einzelnen Konfigurationen zu den vom IT-Dienstleister eingesetzten Serverund Clientsystemen über das Regulierungsmaß der Information Security Policy hinausgeht, wird an dieser Stelle auf vom Hersteller existierende oder in Kraft gesetzte Umsetzungsstandards verwiesen.
Der IT-Dienstleister ist verpflichtet, diese Leitlinien als grundlegendes Maß zum Aufbau einer sicheren ITInfrastruktur anzuwenden. Entsprechende Regelungen/Hinweise in diesen Leitlinien oder Richtlinien, die
Seite 21
Policy der enviaM
Blatt 22 - 46
Ausgabe 01.05.2012
Version 5.8
für einen kontinuierlichen Betrieb nicht umsetzbar sind, müssen schriftlich dokumentiert und begründet
werden. Je nach Sicherheitskritikalität der nicht umsetzbaren Regelungen/Hinweise sind Alternativmaßnahmen umzusetzen.
Grundlegend ist ein Sicherheitsniveau anzustreben, das den Regelungen des Grundschutzhandbuches
vom Bundesamt für Sicherheit in der Informationstechnik (Deutschland) entspricht.
4.5
Richtlinien zur sicheren Programmentwicklung, konfiguration, Installation und Wartung
Die hier beschriebene Vorgehensweise gilt verbindlich für alle Entwicklungstätigkeiten, die für die enviaM-Gruppe durchgeführt werden. Werden bereits bestehende Anwendungen angepasst, so ist durch
eine Kosten-/Nutzenanalyse die Umsetzung der genannten Maßnahmen zu prüfen. Änderungen an
bestehenden Anwendungen durch die hier aufgeführten Maßnahmen werden nur durch eine explizite
Beauftragung der Maßnahme notwendig.
4.5.1
Regelungen für die Planung der IT-Anwendung
Vor oder zumindest während der Festlegung eines Pflichten- oder Lastenheftes für eine neu zu entwickelnde IT-Anwendung oder für die Erweiterung / Änderung einer bestehenden IT-Anwendung sind ITSicherheitsaspekte zu berücksichtigen, um IT-sicherheitskritische Vorgänge oder Sachverhalte zu identifizieren. Hierzu ist eine Schutzbedarfsfeststellung durchzuführen. Ergibt sich aus dieser Schutzbedarfsfeststellung ein hoher bis sehr hoher Schutzbedarf, so ist eine dem Projekt angemessene Ergänzende Sicherheitsanalyse durchzuführen. Sich daraus ergebende Maßnahmen sind in das Pflichten- bzw.
Lastenheft der IT-Anwendung aufzunehmen. Sowohl Schutzbedarfsfeststellung als auch Sicherheitsanalyse sind durch den Auftraggeber der IT-Anwendung durchzuführen bzw. durchführen zu lassen.
Für die Entwicklung einer neuen IT-Anwendung ist seitens des IT-Dienstleisters eine zumeist von der
Programmiersprache abhängige Programmierrichtlinie anzuwenden. Die darin enthaltenen Vorgaben
implizieren Einheitlichkeit, Lesbarkeit und Pflegbarkeit des Programm-Codes und schützen somit vor
Implementierungsfehlern. Unabhängig von der Programmiersprache sind in der jeweiligen Programmierrichtlinie mindestens folgende Punkte festzulegen:
Namenskonventionen
Aufbau von Source-Dateien
Aufbau von Klassen / Funktionen / Methoden / Kommentaren
Alle Änderungen an der IT-Anwendung sind zu dokumentieren und einer Qualitätssicherung zu unterziehen, um unberechtigte Änderungen an der IT-Anwendung abzuwenden.
Die technische Infrastruktur für Entwicklung, Test und Wartung der IT-Anwendung ist strikt bzgl. der
Zugriffsrechte und unberechtigter Modifikationen zu kontrollieren. Insbesondere ist der Zugriff auf die
Entwicklungsumgebung auf benannte (Projekt-)Mitarbeiter / Entwickler-Ressourcen einzuschränken. Der
jeweilige Projektleiter der IT-Anwendungsentwicklung ist verantwortlich für die Planung/Auswahl einer
solchen Infrastruktur. Die Aufgabe selbst kann delegiert werden.
4.5.2
4.5.2.1
Regelungen für die Entwicklung der IT-Anwendung
Generelle Sicherheit
Unabhängig von der Schutzbedarfseinstufung und den daraus resultierenden Maßnahmen im Pflichtenoder Lastenheft sind für die sichere Entwicklung bzw. für die Sicherheit einer neuen IT-Anwendung generelle Vorgaben einzuhalten. Dabei handelt es sich um Richtlinien, die den Grundschutz einer neu zu
entwickelnden IT-Anwendung sicherstellen. Im Wesentlichen dienen diese dazu, eine Korrumpierung
der IT-Anwendung zu verhindern, so dass sich das Risiko für benachbarte IT-Systeme nicht erhöht (Risikovererbung).
Seite 22
Policy der enviaM
Blatt 23 - 46
Ausgabe 01.05.2012
Version 5.8
Es ist grundsätzlich darauf zu achten, dass spezielle Funktionalitäten, die ausschließlich den Zweck verfolgen, die Entwickler-Tätigkeiten zu vereinfachen, spätestens zum Zeitpunkt des Integrationstests deaktiviert bzw. entfernt werden. Davon ausgenommen sind Funktionalitäten, die zur weiteren Pflege/Wartung der Software unabdingbar sind.
Jegliche Art von Eingabewerten ist vom System auf Gültigkeit zu überprüfen, um z.B. Buffer Overflows
und somit die Möglichkeit zur Ausführung von beliebigem Code zu vermeiden. Die Ausgabewerte sind
entsprechend ihrer Anforderungsdefinition zu überprüfen. Zusätzlich sind wann immer möglich SyntaxElemente zu verwenden, die Schutzmechanismen gegen bekannte Angriffsmuster (z.B. Buffer Overflow)
bereits von sich aus bieten bzw. Compiler zu verwenden, die die Implementierung solcher Schadfunktionen unterbinden. Derartige Vorgaben (Syntax, Compiler) sind soweit möglich bereits in der Programmierrichtlinie festzulegen.
Für Anwendungen mit einem hohen oder sehr hohen Schutzbedarf sind Protokollierungsmechanismen
zu implementieren, die eine nachträgliche Verfolgung von sicherheitskritischen Vorfällen möglich machen. Beispielhaft sind nachfolgende Protokollfunktionen aufgeführt:
Administratoraktivitäten (soweit die Software dies vorsieht),
sicherheitsrelevante Benutzeraktivitäten und
sicherheitsrelevante Systemaktivitäten
Eine Auswahl der Maßnahmen ist in Abhängigkeit der ergänzenden Sicherheitsanalyse festzulegen.
Die Übertragung von Informationen zur Authentisierung eines Benutzers ebenso wie die Ablage von
Kennwörtern in einem eigenen Repository ist durch anerkannte kryptografische Verfahren abzusichern
bzw. zu verschlüsseln ( Kapitel 2.4 der Technischen Ergänzung zur Information Security Policy für die
enviaM -Konfigurationsvorgaben ). Die entsprechend verwendeten Krypto-Algorithmen müssen in jedem Fall sicherstellen, dass eine Klartextübermittlung bzw. ein wiederholtes Senden der Authentisierungsdaten für eine erfolgreiche Anmeldung an der IT-Anwendung ausgeschlossen ist.
Es sind die bereits vom Betriebssystem vorgegebenen Mechanismen zur Authentisierung (z.B. Kerberos)
zu nutzen.
Um dem Anwender einen einheitlichen Zugriff auf die IT-Komponenten zu ermöglichen, sind soweit
beeinflussbar die gleichen Kennwortregelungen und die gleichen Benutzerkennungen für die neue ITAnwendung vorzusehen, wie bereits bei existierenden Regelungen aus bestehenden IT-Komponenten,
Netzwerkbetriebssystemen oder anderen IT-Anwendungen.
Falls erforderlich sind Programmentwicklung und Transportwesen zu trennen. Transportaufträge sind
gegen Manipulationen zu schützen.
4.5.3
Sicherheit im Entwicklungs- und Wartungsprozess
Entwicklungs-, Konfigurations- und Wartungsumgebungen sind strikt bzgl. Zugriffsrechten und unberechtigten Modifikationen zu kontrollieren. Der Projektleiter der IT-Anwendungsentwicklung ist ebenso
verantwortlich für die Sicherheit der oben genannten Umgebungen. Für die eingesetzten Programmiersprachen sind Programmierrichtlinien seitens des IT-Dienstleisters einzusetzen. Alle Änderungen an der
IT-Anwendung sind zu verifizieren, um unberechtigte Änderungen an der IT-Anwendung abzuwenden.
4.5.4
Besonderheiten bei der Entwicklung von Web-basierten Anwendungen
Bei der Entwicklung von Web-basierten Anwendungen, die aus dem Internet erreichbar sind, sind besondere Vorkehrungen zu treffen. Insbesondere sind folgende Aspekte neben den bereits oben genannten zu berücksichtigen:
Es ist eine penetrante und restriktive Überprüfung der Eingabeparameter und der Übergabeparameter
an Schnittstellen und Funktionsaufrufen vorzunehmen, so dass z.B. eine Ausführung von nicht vorgesehenem Programm-Code durch Buffer Overflow oder durch Cross Site Scripting nicht möglich ist.
Seite 23
Policy der enviaM
Blatt 24 - 46
Ausgabe 01.05.2012
Version 5.8
Der erstellte Source-Code ist durch eine - vom Entwicklungsteam unabhängige - Stelle (keine Zertifizierung nach Common Criteria gefordert) einer Qualitätssicherung zu unterziehen.
Der Source-Code darf nicht auf produktiven Systemen verbleiben. Bei Einsatz von Scriptsprachen sind
diese nach technischer Möglichkeit im Vorfeld zu kompilieren oder es ist dafür Sorge zu tragen, dass
diese von Dritten nicht abgerufen werden können. Der Betreiber / Auftraggeber der IT-Anwendung ist
über die gesamte Laufzeit der Anwendung über mögliche Sicherheitslücken zu informieren, die ggf.
Einsicht in Teile der Entwicklungsarbeiten ermöglichen, oder es ist ein Mechanismus einzurichten, der es
dem Betreiber der Anwendung ermöglicht, dies nachzuvollziehen.
Es ist sicherzustellen, dass der Betreiber der Anwendung alle zusätzlich zum Betriebssystem installierten
Dienste, Zusatzkomponenten, etc. kennt, so dass bei bekannt werden von Sicherheitslücken bei diesen
Diensten, Zusatzkomponenten, etc. der Betreiber unmittelbar ein Updatemanagementprozess mit dem
Ziel zur Verringerung des Ausmaßes der Sicherheitslücke anstoßen kann. Der beauftragte Dienstleister
zur Anwendungsentwicklung muss dem Betreiber die hierfür notwendigen Informationen zur Verfügung stellen.
Werden schutzbedürftige Daten in der Anwendung verarbeitet, so ist in jedem Fall eine Sicherheitsanalyse durchzuführen. Eine Absicherung der schutzbedürftigen Daten ist mehrstufig vorzunehmen, so
dass durch einen Fehler einer Komponente ein Zugriff auf diese Daten nicht möglich wird.
Die Ablage von Kennwörtern für z.B. Datenbanken oder Applikationsserver, ist verschlüsselt zu erfolgen, oder es ist eine mehrstufige Absicherung vorzunehmen.
4.5.4.1
Regelungen zur Entwicklung von Web-basierten Anwendungen für das Intranet
Bei der Entwicklung von Intranetseiten bzw. Anwendungen ist die Einbeziehung von ActiveX nicht erlaubt. Sollte der Einsatz dieser Technologie aber unvermeidbar sein (die Funktionalität kann nicht oder
mit nur unverhältnismäßig hohem Aufwand mit anderen Techniken realisiert werden), so muss die Anwendung auf das Intranet der enviaM und ihrer Beteiligungsgesellschaften beschränkt bleiben. Ausnahmen sind durch den IT-Bereich zu genehmigen.
Kapitel 5.3 Behandlung von Ausnahmen
Der Einsatz von Scripting-Technologie ist am Client erlaubt, ist jedoch bei der Anwendungsentwicklung
clientseitig zu vermeiden bzw. nur bei unbedingter Notwendigkeit einzusetzen. Nicht signierte JavaApplets sind generell nur in der besonders gesicherten Umgebung des Browsers ( Sandbox ) auszuführen. Signierte Applets können bei Bedarf weitergehende Rechte beantragen. Zur Signierung sind Signaturen/Zertifikate eines Trust Centers oder einer durch den IT-Bereich anerkannte Zertifizierungsstelle zu
verwenden. Ein Java-Applet, das von einer zentralen Stelle der enviaM signiert ist, gilt für die Benutzung
im Intranet als sicher. Das Vorgehen hierzu ist mit dem IT-Bereich abzustimmen.
4.5.5
Besonderheiten zur SAP-Anwendungsentwicklung
Bei eigener Programmentwicklung ist eine Prüfung auf Schadfunktionen vorzunehmen sowie eine Berechtigungsprüfung zu implementieren. Es sind Programmierrichtlinien auf Basis der Empfehlungen von
SAP zu erarbeiten und deren Einhaltung ist zu überprüfen. Programmentwicklung und Test ist nur auf
einem Testsystem zulässig. Programmentwicklung und Transportwesen sind zu trennen. Transportaufträge sind gegen Manipulation zu schützen.
4.6
4.6.1
Personelle und organisatorische Sicherungsmaßnahmen
Verpflichtung und Aufsichtspflicht
Betriebsfremde (Besucher sowie Wartungspersonal) dürfen nicht unbeaufsichtigt an Rechnern, Kommunikationsanlagen oder Netzwerkkomponenten arbeiten. Sofern sich ein unbeaufsichtigtes Arbeiten
nicht vermeiden lässt, sind wenigstens stichprobenartig Überprüfungen der durchgeführten Tätigkeiten
vorzunehmen. Betriebsfremde, die im Rahmen ihrer Tätigkeiten Zugriff auf IT-Anlagen haben oder die
sich regelmäßig in einem Gebäude befinden, so dass ein solcher Zugriff möglich erscheint, müssen auf
Geheimhaltung und auf die anzuwendenden gesetzlichen Vorgaben (siehe Kapitel 5.14 Umgang mit
Seite 24
Policy der enviaM
Blatt 25 - 46
Ausgabe 01.05.2012
Version 5.8
personenbezogenen Daten) zum Schutz personenbezogener Daten verpflichtet sein. Für die Organisation dieser Verpflichtung ist derjenige Mitarbeiter zuständig, der den Kontakt mit den Betriebsfremden
abwickelt (i.d.R. der fachliche Vorgesetzte).
Für betriebsfremdes Personal, das in keinem direkten Zusammenhang mit seiner Tätigkeit im Unternehmen Zugang zu IT-Komponenten hat, z.B. Putz- oder Handwerkerpersonal, sind entsprechende organisatorische Maßnahmen zu treffen, so dass ein Missbrauch von IT-Anlagen weitestgehend ausgeschlossen werden kann.
4.6.2
Vertragliche Regelungen
Bei der Zusammenarbeit mit externen Partnern, ist es erforderlich, datenschutz- und datensicherheitsrelevante Aspekte (insbesondere die Verpflichtung aus dieser Policy) vertraglich zu regeln.
4.6.3
Sicherheitsschulung von Administratoren
Mitarbeiter, die in der IT eine besonders verantwortungsvolle Tätigkeit wie etwa die Administration von
Systemen und Netzen wahrnehmen, müssen besonders vertrauenswürdig sein. Bei der Einstellung bzw.
der Übertragung dieser Tätigkeiten ist daher besondere Sorgfalt anzuwenden. Ferner sind diese Mitarbeiter vor der Aufgabenübernahme hinsichtlich der IT-Sicherheit besonders zu schulen.
4.6.4
Mitarbeiterbesprechung zum Thema IT-Sicherheit
Zur Vorbereitung der jährlich abzuhaltenden Mitarbeiterinformationen erstellt der IT-Dienstleister entsprechende Unterlagen (z.B. kurze Darstellung der aktuellen Situation im Unternehmen, statistische
Auswertungen und Tendenzen von Virenvorfällen, Einbruchsversuchen und Schulungsfolien zu Schwerpunktthemen).
4.7
Regularien für die IT-Netzwerkinfrastruktur und dem IT-Netzwerkbetrieb
Die Gesamtheit der vernetzten IT-Komponenten wird als Globales enviaM Netzwerk (GLEN) bezeichnet.
Grundsätzlich ist das GLEN gegen nicht autorisierten ( Glossar) Zugriff oder schadhaften Einflüssen zu
schützen. Dies trifft insbesondere für den Perimeterschutz zum Internet oder Partnern und Kunden zu.
Die genauen Regelungen zum Schutz des GLEN sind in der Technischen Ergänzung zur Information Security Policy der enviaM Regularien für den Netzbetrieb aufgeführt.
Jeder IT-Dienstleister, der netzwerktechnische Dienstleistungen erbringt, hat die in der Technischen Ergänzung zur Information Security Policy der enviaM
Regularien für den Netzbetrieb aufgeführten
Regelungen verbindlich einzuhalten.
Zur Sicherstellung eines ordnungsgemäßen IT-Betriebes sind die Leistungen eines NetzwerkDienstleisters z.B. mittels Service Level Vereinbarungen (SLA) hinreichend genau festzulegen und auf
Umsetzung zu überprüfen.
Netzwerkdienstleistungen Dritter (z.B. Netzwerkleitungen) sind entsprechend des allg. Schutzbedarfes
der zu übermittelten Daten abzusichern. Die Datenhoheit (z.B. beim Einsatz kryptographischer Verfahren, die Schlüssel) liegt dabei immer bei der beauftragenden Gesellschaft.
4.8
Datensicherung
Zum Schutz des Unternehmenskapitals Information müssen Anwenderdaten neben der Abspeicherung
im produktiven Umfeld (i.d.R. auf der Festplatte) separat gesichert werden.
Zentral gesicherte Datenbestände sind an einem sicheren Ort in einem anderen Brandabschnitt als die in
Betrieb befindlichen IT-Komponenten aufzubewahren.
Ein Zugriff auf die gesicherten Daten ist entsprechend der Schutzklasse der gesicherten Daten abzusichern. Schutzbedürftige Daten sind in einem Safe o.ä. gesicherten Ort aufzubewahren.
Seite 25
Policy der enviaM
Die Lesbarkeit der angelegten gesicherten Datenbestände ist regelmäßig
zu überprüfen.
Blatt 26 - 46
Ausgabe 01.05.2012
Version 5.8
zumindest stichprobenartig
Das Zurückspielen von Sicherungskopien erfolgt nur für den anfordernden und berechtigten Anwender.
Der IT-Dienstleister hat die Berechtigung des Anforderers entsprechend zu prüfen.
Anwender, die eigene Datenbestände auf Ihrem PC führen müssen und daher durch Kapitel 3.2.2
Datensicherung zu eigenen Datensicherungsmaßnahmen verpflichtet sind, unterstützt der ITDienstleister durch geeignete Verfahren.
4.9
IT-Notfallmanagement
Die Definition des Begriffes Notfall und dessen Abgrenzung zu den Begriffen Betriebsstörung und Kata1
strophe sind dem Krisenhandbuch zu entnehmen.
Zur Sicherstellung eines angemessenen IT-Notfallmanagements sind die IT-bezogenen Anteile des Krisenhandbuchs verbindlich anzuwenden.
Die Zuständigkeiten für das Management von IT-Notfällen sind innerhalb des IT-Dienstleister verbindlich
zu regeln. Die Schnittstellen zum Informationsmanagement der enviaM sind mit den entsprechend verantwortlichen Stellen abzustimmen und festzulegen.
Der IT-Dienstleister muss den enviaM Gesellschaften die IT-Dienstleistung zur Realisierung der im Krisenhandbuch definierten Wiederanlaufklassen anbieten.
4.10 Schutz vor Schadensprogrammen
4.10.1 Basismaßnahmen
Zur Abwehr der Bedrohungen durch Schadensprogramme (Viren ( Glossar), Würmer ( Glossar),
manipulierte aktive Inhalte usw.) ist in erster Linie der in das lokale Netz eingehende, aber nach Möglichkeit auch der ausgehende Datenverkehr (Gefahr des Virenexports!) durch geeignete Active-ContentScanner zu überprüfen. Der Einsatz dieser Content-Scanner ist in einem dreistufigen Schutzsystem
durch Gateway-, Server- und Desktop-Scanner umzusetzen. Dabei sind mindestens zwei unterschiedliche Scan-Engines einzusetzen, um die Auswirkungen von Fehlfunktionen einzuschränken und eine insgesamt höhere Erkennungsrate zu erzielen. Die eingesetzten Scanner müssen über effiziente Funktionen für ein zentrales Management verfügen, um so auch entfernte und nur zeitweise mit dem lokalen
Netz verbundene Systeme zu versorgen. Unabdingbar ist die zentrale Pflege von Konfiguration, Version,
Pattern ( Glossar) und Policies.
Gateway-Scanner sind als zentrale Maßnahme zur Kontrolle der Internet-Kommunikation einzusetzen
und müssen den Datenstrom für E-Mail, Filetransfer und Webverkehr kontrollieren können. Gerade
über den HTTP-Port werden auch andere Dienste als der erwartete Webverkehr transportiert, so z.B. der
Transport bei Web-Services oder auch das widerrechtliche Durchtunneln von Firewalls z.B. für Onlinespiele. Zur Abwehr dieser Bedrohungen auf Anwendungsebene sind herkömmliche Virenscanner nicht
geeignet. Es müssen bei festgestelltem Bedarf darauf spezialisierte Gateway-Scanner eingesetzt werden.
Problematisch ist die Zunahme von verschlüsselter Kommunikation, z.B. durch Nutzung von SSL, da
diese durch zentrale Gateway-Scanner nicht kontrolliert werden kann. Somit ist eine zentrale Kontrolle
auf Schadensprogramme nur möglich, wenn die Verschlüsselung am Gateway endet oder zumindest
unterbrochen wird. Hierfür eignen sich z.B. SSL-Proxies, die auch verschlüsselte Webinhalte für ContentScanner verfügbar machen. Beabsichtigt der IT-Dienstleister einen solchen SSL-Proxy zu betreiben, ist im
Vorfeld der Einsatz mit dem IT-Bereich der hierzu auch die Mitbestimmungsgremien einbeziehen kann
genau abzuklären.
1
Die Beschreibung des IV-Notfallmanagements ist gemäß BdV 9-02 Krisenmanagement (BdV 2006-08/00) im Krisenhandbuch
der enviaM als Checkliste im Handlungsmuster 10 hinterlegt.
Seite 26
Policy der enviaM
Blatt 27 - 46
Ausgabe 01.05.2012
Version 5.8
Pattern-basierte Content-Scanner müssen über die Möglichkeit des Downloads von Pattern ( Glossar)
aus dem Internet verfügen bzw. von zentralen intern zu erreichenden Servern. Engine- und vor allem
Pattern-Updates sind periodisch zu aktualisieren. Darüber hinaus sind bei Bedarf zusätzliche Aktualisierungen vorzunehmen, wenn sich etwa ein neuer gefährlicher Virus ( Glossar) schnell verbreitet und
dafür aktualisierte Pattern verfügbar werden. Es ist dafür Sorge zu tragen, dass diese Aktualisierung
auch auf den Arbeitsplatzrechnern der Benutzer geschieht, beispielsweise durch automatische Software-Verteilung. Zumindest die Engine-Updates sind aber vorherigen Funktionstests zu unterziehen.
Ist die zu bevorzugende zentrale Versorgung auch der Arbeitsplatzrechner mit Pattern nicht realisierbar
(z.B. bei mobilen Nutzern), muss der IT-Dienstleister für andere Möglichkeiten der Aktualisierung sorgen, z.B. durch direkten Bezug aus dem Internet. Hierauf ist der Anwender von seinem IT-Dienstleister
entsprechend hinzuweisen.
Dateitypen, die wegen ihrer Gefährlichkeit nicht in das lokale Netz gelangen dürfen, sind am Netzübergang durch Firewall oder Gateway-Scanner zu blockieren. Hierfür ist in der "Technischen Ergänzung zur
Information Security Policy" eine Blockliste angegeben, die bei Vorliegen neuer Erkenntnisse zu aktualisieren ist. Ausnahmen z.B. für Administratoren sind nur in gut begründeten und dokumentierten Fällen
zulässig.
4.10.2 Schutz vor Viren
Möglichst alle, zumindest aber die zentral bereitgestellten Server müssen über einen Virenscanner verfügen. Auf Mail- und Groupware-Servern sind hierauf spezialisierte Scanner einzusetzen, die auch über
die Möglichkeit einer nachträglichen Löschung von Schadensprogrammen verfügen sollten.
Der Einsatz eines Virenscanners auf den Arbeitsplatzrechnern (inkl. Notebooks, etc.) ist verpflichtend.
Dieser Virenscanner muss sowohl als On-Demand-Scanner als auch als On-Access-Scanner (Virenwächter) eingesetzt werden. Die On-Access-Funktion ist permanent zu aktivieren, die On-Demand-Funktion
ist regelmäßig, (mindestens wöchentlich) spätestens nach einem Update der Virenpattern aufzurufen,
was in der Regel automatisch (zeitgesteuert oder beim Hochfahren des Rechners) geschehen kann. Beide Funktionen müssen, soweit technisch möglich, vom Anwender unbeeinflussbar ablaufen.
Der IT-Dienstleister ist verpflichtet die aktuelle Bedrohungslage durch Schadensprogramme über alle ihn
zur Verfügung stehenden Informationsquellen (Virenbefall, Mitteilung eines CERT oder einschlägige
Foren im Internet) zu beobachten. Insbesondere ein erhöhter Virenbefall im Unternehmensnetzwerk
kann Anlass zu einer akuten Bedrohungssituation sein. Beim Vorliegen einer akuten Bedrohungslage
aktiviert der IT-Dienstleister nach Zustimmung des Bereiches IT einen flächendeckenden On-Demand
Scan auf allen betreuten Arbeitsplatzrechnern. Je Bedrohungslage sind die Server mit einzubeziehen.
Auf den Servern muss zumindest ein On-Demand-Virenscanner eingesetzt werden, der regelmäßig aufzurufen ist (mindestens wöchentlich und nach Möglichkeit automatisch zeitgesteuert).
Die Verwendung einer einheitlichen Hotline-Nummer für den Erstkontakt mit dem IT-Anwender ist anzubieten Erlauben Anwendungen (z.B. Office-Anwendungen) einen Schutz gegen Makroviren, so ist
dieser durch den IT-Dienstleister in der Konfiguration einzurichten.
4.10.3 Schutz vor Aktiven Inhalten
Schadensprogrammen, die sich in dynamisch geladenen Programmteilen z.B. beim Laden von Webseiten verbergen, muss mit darauf spezialisierten Content-Scannern begegnet werden. Diese müssen in
der Lage sein, Active Contents wie Java, ActiveX, JavaScript oder Jscript zu kontrollieren oder zumindest zu blockieren. Es gelten die Basismaßnahmen zur Abwehr von Schadensprogrammen ( Kapitel
4.10.1 Basismaßnahmen ).
Die Nutzung von Aktiven Inhalten im Rahmen von frei gegebenen Netzdiensten (z.B. PDF, Adobe
Flash) ist wegen der damit verbundenen hohen Sicherheitsrisiken jeweils jährlich einer Sicherheitsanalyse zu unterziehen und dem Information Security Officer vorzulegen. Ermittelt die Sicherheitsanalyse neu
Seite 27
Policy der enviaM
Blatt 28 - 46
Ausgabe 01.05.2012
Version 5.8
aufgetretene behandlungspflichtige Risiken, ist eine Entscheidung zur Nutzung der identifizierten risikobehafteten Aktiven Inhalte durch den Information Security Officer herbeizuführen.
Bei einer Freigabe von Active Contents sind folgende Richtlinien zu beachten:
Die allgemeine Nutzung von ActiveX ist am jeweiligen Netzeingang (Internet, Intranet) oder
durch eine zentral vorgegebene Clientkonfiguration zu blockieren. Nur in begründeten und dokumentierten Ausnahmefällen und bei zusätzlichen Schutzmaßnahmen (z.B. Einschränken der
Zugriffe nur auf bestimmte vertrauenswürdige Ziele; Vorliegen von signierten Controls) kann eine begrenzte Freigabe erfolgen.
Java und JavaScript/Jscript sind durch hierauf spezialisierte Scanner zu kontrollieren. Bei Vorliegen schädigender Inhalte sind diese vom Scanner sofort zu eliminieren.
Webbrowser und deren Komponenten sind wegen ihrer hohen Gefährdung durch Angriffe über manipulierte Active Contents bzgl. Sicherheitsupdates immer auf dem aktuellsten Stand zu halten. Werden bestehende Sicherheitslücken eines Webbrowsers durch den Anbieter nicht mehr umgehend behoben bzw. in verifizierter Form zur Verfügung gestellt, so ist auf eine aktuelle Version des Webbrowsers
zu wechseln. Diese ist jedoch vor der Freigabe einem Review (anzustoßen durch den IT-Bereich) zu unterziehen.
4.11 Allgemeine Regularien
4.11.1 Fernbetreuung / Fernwartung
Das Need-to-know-Prinzip beim Fernzugriff / -wartung ist zu wahren. Insbesondere bei:
Schaltung von Leitungen
Erteilung von Benutzerrechten
Zugriff auf Daten
Zur Absicherung der vertraulichen Kommunikation und Authentisierung ist der Einsatz kryptografischer
Methoden vorgeschrieben.
Beim Wartungszugang zu Systemen, bei denen potenziell Zugang zu schutzbedürftigen Daten besteht,
ist die Benutzung eines verschlüsselten Zugangs zu empfehlen.
Es sollte ein Warnhinweis konfiguriert werden, welcher beim Zugriff auf einen Server oder ein Netzwerkelement angezeigt wird. Der Warnhinweise soll deutlich machen, dass der Zugriff auf dieses Gerät
nur autorisierten Benutzern gestattet ist und Zuwiderhandlungen strafrechtliche Konsequenzen nach
sich ziehen können. Die Informationen in diesem Text sollten einem potenziellen Angreifer keine detaillierten Informationen über den Gerätetyp und eingesetzte Software bereitstellen, da ansonsten allgemein bekannte Schwachstellen des spezifischen Gerätes leicht ausgenutzt werden können.
Für Fernwartungsvorgänge ist eine starke Authentisierung (
Glossar) vorzusehen.
Fernbetreuung und -wartung darf im Regelfall nur unter Mitwirkung des zuständigen Mitarbeiters erfolgen.
Wenn dies technisch machbar ist, muss der Fernzugang so konfiguriert werden, dass keine Möglichkeit
besteht, schutzbedürftige Daten, insbesondere personenbezogene Daten, einzusehen, zu ändern, zu
löschen oder zu kopieren. Ist es technisch möglich, Netzwerkdienste oder andere IT-Systeme durch z.B.
Browsing direkt oder von dem zu wartendem IT-System zu erkunden, so muss dies genau kontrolliert
werden.
Der Auftragnehmer muss den Nichtzugriff auf diese Daten vertraglich bestätigen und den Nachweis
führen, dass seine Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet sind.
Alle Aktivitäten sind - wenn möglich - zu protokollieren und regelmäßig zu kontrollieren.
Seite 28
Policy der enviaM
Blatt 29 - 46
Ausgabe 01.05.2012
Version 5.8
Die technischen Details zu den Regelungen zur Fernbetreuung und Fernwartungszugängen sind festzulegen, so dass ein ordnungsgemäßer Betrieb sichergestellt ist.
4.11.2 PC von Externen
Externe PC dürfen grundsätzlich nicht an Rechner und an Netze angeschlossen werden. Ausnahmen
sind über den Information Security Officer der enviaM zu genehmigen
Kapitel 5.3 Behandlung von
Ausnahmen.
Wird ein externer PC an ein LAN angeschlossen, so muss dieser den gleichen Regelungen unterliegen,
wie ein normaler Mitarbeiter-PC. Der Bereitsteller / Betreiber eines solchen PC ist ebenfalls auf Geheimhaltung und auf die Einhaltung der anzuwendenden gesetzlichen Vorgaben ( Kapitel 5.14 Umgang
mit personenbezogenen Daten) sowie auf den Inhalt der vorliegenden Richtlinie zu verpflichten.
Vom IT-Dienstleister ist ein geeignetes Verfahren bereitzustellen, das den Schutz des Netzes der enviaM
beim Anschluss fremder PCs sicherstellt. Dies kann z.B. darin bestehen, dass der Anschluss in einer Quarantänezone erfolgt oder zunächst eine Sicherheitsprüfung des PCs vorgenommen wird.
4.11.3 Sicherung von mobilen IT-Komponenten wie z.B. Notebooks
Alle mobilen IT-Komponenten (minimal managed oder managed) wie z.B. Notebook, Smartphone sind
mit einer starken Verschlüsselungslösung für die darauf abgespeicherten Daten zum Schutz bzgl. unberechtigtem Zugang und Vertraulichkeit auszustatten. Für Desktopsysteme ist dies ebenfalls vorzusehen,
wenn diese außerhalb der zugangsgeschützten Räume der Gesellschaft betrieben und schutzbedürftige
Daten auf diesen Rechnern verarbeitet werden. Hierbei ist eine transparente, vom Benutzer nicht zu
beeinflussende Festplattenverschlüsselung einzusetzen.
Dem Anwender ist das Merkblatt ( Kapitel Fehler! Verweisquelle konnte nicht gefunden werden.
Fehler! Verweisquelle konnte nicht gefunden werden. ) bei der Auslieferung von mobilen Geräten (
Glossar) auszuhändigen. Der IT-Dienstleister hat einen Nachweis zu führen, dass der Anwender dieses
Merkblatt erhalten hat.
Der IT-Dienstleister hat einen Prozess gegenüber dem Kunden zu etablieren, der es ermöglicht, nach
einer Verlustmeldung des Kunden, umgehend Dienste, die einen Zugriff auf Unternehmensdaten mittels
des mobilen Endgerätes ermöglichen (z.B. E-Mail) zu deaktivieren und ggf. Daten, die lokal auf der mobilen IT-Komponente gespeichert sind, zu löschen.
Der Anschluss von mobilen enviaM IT-Komponenten an nicht der Information Security Policy unterliegenden Netzwerken ist nicht gestattet. Ausnahmen regelt der IT-Bereich
Kapitel 5.3 Behandlung von
Ausnahmen. Für diesen Fall sind vom IT-Dienstleister zusätzliche Sicherheitsmaßnahmen zum Schutz
der enviaM IT-Komponente im fremden Netz einzurichten (z.B. Aktualisierung des Virenscanners ohne
Verbindung zum enviaM-Netz, Personal Firewall zum Schutz gegen Verbindungen aus dem Fremdnetz).
Darüber hinaus ist ein geeignetes Verfahren - zum Ausschluss einer Fremdeinwirkung - für den Wiederanschluss an das Netz der enviaM vorzusehen.
Die IT-Komponenten sind wenn technisch möglich so zu konfigurieren, dass durch Anschluss von
Datenträgern (z.B. Speicher-Sticks ( Glossar) über die USB-Schnittstelle ( Glossar)) keine automatische Ausführung von Skripten oder Programmen stattfindet (Unterbindung der Autostart-Funktion).
4.11.4 Datenträger
4.11.4.1 Aufbewahrung von Datenträgern
Mobile Datenträger sind verschlossen aufzubewahren. Dies kann in einem abgeschlossenen Schrank,
Schreibtisch oder Raum erfolgen. Dabei sind Originaldatenträger und Datensicherungen schutzbedürftiger Dateien nach Möglichkeit an einem feuerfesten gesicherten Ort zu lagern.
Seite 29
Policy der enviaM
Blatt 30 - 46
Ausgabe 01.05.2012
Version 5.8
4.11.4.2 Vernichtung von Datenträgern
Unverschlüsselte schutzbedürftige Daten sind vor Ort beim Kunden falls technisch noch möglich - mit
einer sicheren Löschmethode ( Glossar) vom Datenträger zu entfernen. Vor Vernichtung von Datenträgern (z.B. bei einem Geräteaustausch) ist der Kunde nach dem Vorhandensein von unverschlüsselten
schutzbedürftigen Daten zu befragen.
Beim Austausch von Datenträgern sind die Unterauftragnehmer durch Verträge zur physischen Vernichtung der Daten und ggf. anschließenden Entsorgung der nicht mehr benötigten Datenträger zu verpflichten. Hierbei ist der Unterauftragnehmer insbesondere zur vertraulichen Handhabung der ggf.
noch auf den Datenträgern vorhandenen Daten zu verpflichten (Verbot der Anfertigung von Kopien,
Entsorgung der Datenträger ohne jegliche Möglichkeit der Datenwiederherstellung, etc.). Die Vertrauenswürdigkeit eines Unterauftragnehmers ist vom beauftragenden IT-Dienstleister zu überprüfen.
4.11.5 Reparatur
Falls eine Reparatur von physischen IT-Komponenten nur durch Externe erfolgen kann, muss das Wartungspersonal beaufsichtigt werden, sofern davon Datenträger mit unverschlüsselten schutzbedürftigen
Daten betroffen sind.
Defekte Geräte und Festplatten mit unverschlüsselten schutzbedürftigen Daten dürfen nur über Einschaltung des IT-Dienstleisters oder des Information Security Officers zur Reparatur nach außen gegeben
werden.
Bei unverschlüsselten schutzbedürftigen Daten wird der Datenträger ausgebaut, bevor das defekte Gerät das Gebäude verlässt.
4.11.6 Konfiguration und Betrieb des Webbrowsers für das Internet
Als Webbrowser für das Internet darf nur der standardisierte Webbrowser verwendet werden (zu Ausnahmen
Kapitel 5.2 Behandlung von Ausnahmen). Es ist über geeignete Maßnahmen sicherzustellen, dass der Anwender keine weitere Internet-Zugangssoftware auf dem Endsystem installieren kann.
Zur Durchsetzung einer enviaM einheitlichen Policy bei den Sicherheitseinstellungen des InternetBrowsers ist der Einsatz von zentral vorgegebenen Konfigurationseinstellungen notwendig (siehe auch
Technische Ergänzung zur Information Security Policy - Konfigurationsvorgaben, Kapitel 2.1). Diese sind
so anzulegen, dass sie vom Anwender nicht geändert werden können. Die in der Zone der vertrauenswürdigen Websites eingetragenen Webseiten sind zentral vorzugeben. Da bei allen Webinhalten (auch
denen der extern zugänglichen Webserver der enviaM) grundsätzlich von einer möglichen
Kompromittierung ausgegangen werden muss, darf der Anwender keine Möglichkeit haben, eigenmächtig Webseiten als vertrauenswürdig zu kennzeichnen.
Die Verwendung von Browser-Erweiterungen (u.a. Plug-Ins) ist anzulehnen an die Praxis zur Verwendung von standardisierter Software. So sind solche Erweiterungen im Normalfall erst nach Aufnahme in
dem IT-Dienstleister und dem Auftraggeber vereinbarten IT-Warenkorb zu verwenden.
Unter Einhaltung entsprechender Vorsichtsmaßnahmen, wie z.B. Virencheck und Austesten, ist der
Download ( Glossar) von Patches und Updates durch den IT-Dienstleister erlaubt, auch wenn dazu im
Einzelfall eine von den Standardeinstellungen des Browsers abweichende Konfiguration erforderlich ist.
Diese Patches und Updates sind zeitnah zu installieren. Es ist sicherzustellen, dass alle Endsysteme (insbesondere Browser und ggf. verwendete Plug-Ins) mit den jeweils aktuellen Versionen und Patches versorgt werden. Da viele Sicherheitsprobleme bereits vor der Verfügbarkeit eines Patches bekannt werden,
sind die einschlägigen Webseiten und Mailinglisten auf das bekannt werden neuer Schwachstellen in
den eingesetzten Komponenten zu überwachen. Es ist sicherzustellen, dass Konfigurationsänderungen,
die die erfolgreiche Ausnutzung einer noch nicht durch den Hersteller behobenen Schwachstelle verhindern, zeitnah umgesetzt werden können.
Bei Nutzung von zentralen Content-Scannern für aktive Inhalte wie Java und JavaScript/Jscript können
diese für die Internet-Zone freigegeben werden. Erfolgt keine Untersuchung aktiver Inhalte auf SchadMindeststandards IV-Dienstleister
Seite 30
Policy der enviaM
Blatt 31 - 46
Ausgabe 01.05.2012
Version 5.8
funktionen ist deren Nutzung zu unterbinden (am Netzeingang oder am Endsystem). Die Nutzung von
ActiveX ist über eine zentral vorgegebene Konfiguration zu unterbinden. Ggf. können bestimmte ActiveX Controls (z.B. Adobe Acrobat Reader, Macromedia Flash) zur Nutzung freigegeben werden, allerdings nur unter der Maßgabe, dass die so geöffneten Dokumente über einen zentralen oder lokalen
Content-Scanner auf bösartige Inhalte hin überprüft werden. Werden ActiveX Controls zur Ausführung
zugelassen, so ist sicherzustellen, dass beim Auftreten von Sicherheitsproblemen in diesen Controls unverzüglich aktualisierte Versionen installiert werden können. Ist dies nicht möglich, so sind die jeweiligen
Controls zu sperren. Dateidownloads sind vor der Auslieferung an den Arbeitsplatz zentral und lokal auf
Schadensprogramme zu überprüfen. Durch die lokale Prüfung wird sichergestellt, dass auch Daten, die
über verschlüsselte Verbindungen (HTTPS) übertragen wurden, untersucht werden können.
4.11.7 Konfiguration und Betrieb des Webbrowsers im Intranet
Grundsätzlich gelten bei der Nutzung des Webbrowsers in Intranet die gleichen Regularien wie für das
Internet ( Kapitel 4.11.6 Konfiguration und Betrieb des Webbrowsers für das Internet). Zusätzlich gilt:
Werden auf Intranet-Webseiten selbst entwickelte ActiveX Controls oder Java Applets verwendet, müssen diese mit einem vom Browser als vertrauenswürdig eingestuften Zertifikat signiert werden.
Die serverseitige Adressvergabe für die Intranet-Server ist langfristig zu planen, da jegliche Modifikation
mit Einstellungsarbeiten an den eingesetzten Clients einhergeht. Dies ist wegen des unterliegenden
Mengengerüsts mit evtl. hohem organisatorischem und somit auch finanziellem Aufwand verbunden.
Die Zone für vertrauenswürdige Seiten des Browsers enthält die Intranet-Server, die im Globalen enviaM
Netzwerk GLEN zur Verfügung gestellt werden. Stellt ein Intranet-Server sichere HTML-Seiten zur Verfügung (https), so ist der Server ebenfalls unter der https-Adressierung einzutragen.
Zur Entwicklung von Web-basierten Anwendungen siehe Kapitel 4.5
grammentwicklung, konfiguration, Installation und Wartung .
Richtlinien zur sicheren Pro-
4.11.8 Sicherheit der Systemdokumentation
Die Einstufung des Schutzbedarfs für die Systemdokumentation ist zu prüfen und entsprechend festzulegen. Entsprechend des festgelegten Schutzbedarfs der Systemdokumentation ist diese zu schützen.
4.11.9 Überwachung
Die Überwachung der Systemnutzung liegt in der individuellen Verantwortung des IT-Dienstleisters.
4.12 Einsatz kryptografischer Techniken
4.12.1 Grundsätze
Der Einsatz von kryptografischen Methoden dient folgenden Zwecken:
Wahrung der Vertraulichkeit durch Verschlüsselung
Sicherstellung der Integrität der Daten und Authentizität des Absenders durch Signatur
Authentisierung eines Zugreifenden
Verbindlichkeit (Nichtabstreitbarkeit)
Kryptografische Methoden sind immer dann anzuwenden, wenn die Sicherheit der Daten oder Kommunikation anderweitig nicht gewährleistet ist. Beispiele hierfür sind die Übertragung schutzbedürftiger
Daten über nicht vertrauenswürdige Netze, der Zugriff auf schutzbedürftige Ressourcen von externer
Stelle usw.
Für den Einsatz von kryptografischen Methoden in der enviaM Gruppe gelten folgende Grundsätze:
Es dürfen nur Kryptoalgorithmen und -protokolle angewendet werden, die nach aktuellem
Stand der Technik als sicher gelten. Dabei sind möglichst standardisierte und offen gelegte AlgoMindeststandards IV-Dienstleister
Seite 31
Policy der enviaM
Blatt 32 - 46
Ausgabe 01.05.2012
Version 5.8
rithmen einzusetzen. Die Verwendung von eigenen bzw. nicht allgemein anerkannten
Kryptoalgorithmen ist nicht zulässig.
Neben der Güte des Kryptoalgorithmus bestimmt die Länge des verwendeten Schlüssels die
Stärke der kryptografischen Methode. Auch hier sind allgemein anerkannte Mindestlängen der
Schlüssel einzusetzen, um eine nach aktuellem Stand der Technik angemessene Sicherheit zu erzielen.
Der für IT-Sicherheit zuständige Bereich pflegt eine Übersicht über die nach aktuellem Stand der
Technik ausreichend sicheren Kryptoalgorithmen (siehe Technische Ergänzung zur Information
Security Policy
Konfigurationsvorgaben , Kapitel 2.4). Diese werden als starke
Kryptoalgorithmen bzw. starke Verschlüsselung bezeichnet.
Dem Kunden sind vom IT-Dienstleister die besonderen Handhabungsbedingungen beim Einsatz
von starker Kryptographie, insbesondere bei starker Authentisierung mitzuteilen. Hierzu gelten
die folgenden Grundsätze:
Immer getrennte Aufbewahrung der mit dem Besitz verbundenen IT-Komponente von der ITKomponente mit der z.B. ein Netzwerkzugang vorgenommen wird.
Handhabung der Wissenskomponente wie Kennwörter ( Kapitel 3.1 Kennwörter und
Zugriffsschutz ). Ausnahmen: Das Kennwort muss mindestens vier Zeichen lang sein und
muss - falls technisch möglich spätestens nach 180 Tagen gewechselt werden.
Der IT-Dienstleister darf bei Implementierung von Kryptoalgorithmen nur die dort aufgeführten
Algorithmen und Mindestschlüssellängen einsetzen. Ausnahmen sind nur in Abstimmung mit
dem IT-Bereich zulässig.
Ist der Einsatz starker Kryptoalgorithmen aufgrund von rechtlichen Rahmenbedingungen nicht
zulässig bzw. sind dazu spezielle Genehmigungen erforderlich, weist der IT-Dienstleister die enviaM darauf hin.
Fordert die Information Security Policy in einem Bereich zwingend den Einsatz von starken kryptografischen Methoden und ist dieser nachweisbar aus technischen oder rechtlichen Gründen
nicht möglich, so darf keine Nutzung der vorgesehenen Dienstleistung erfolgen. Ausnahmen
davon dürfen vom IT-Bereich nur zugelassen und vom IT-Dienstleister umgesetzt werden, wenn
die Sicherheit anderer Gesellschaften der enviaM Gruppe, Gesellschaften des RWE Konzerns
oder übergeordneter IT-Ressourcen nicht gefährdet ist.
Der IT-Dienstleister ist aufgefordert, bei der Konzeption von entsprechenden Anwendungen die
Vorgaben zur PKI-Infrastruktur, Zertifikatsgestaltung, etc. aus den Dokumenten zur RWE Basis
PKI ( Glossar) einzuhalten. Die Auswahl von Kryptoprodukten (siehe auch Einsatzfelder für
Kryptoprodukte) ist unter dem Aspekt der operativen Nutzbarkeit im RWE Basis PKI-Umfeld entsprechend vorzunehmen, so dass diese Produkte einheitlich auf die Basis-Komponenten wie z.B.
Smart Card oder Software-PSE zurückgreifen können. Die aktuellen Dokumente zur RWE Basis
PKI werden nach berechtigter Anfrage über das für den IT-Dienstleister zuständigen Bereiches IT
zur Verfügung gestellt.
4.12.2 Anforderungen an die Bereitstellung von kryptografischen Schlüsseln
Beim Einsatz von kryptografischen Methoden kommt der Behandlung von Schlüsseln eine wichtige Bedeutung zu.
Sofern die jeweilige Anwendung nicht auf die Infrastruktur der RWE Basis PKI zurückgreift, sind vom ITDienstleister geeignete Verfahren für die Schlüsselgenerierung, -speicherung und -verwaltung sowie die
Bereitstellung öffentlicher Schlüssel zu implementieren. Da bei Verlust der Schlüssel erhebliche Konsequenzen und ggf. der Verlust von Daten droht, sind auch Prozesse zum Backup und Recovery von
Schlüsseln vorzusehen.
Seite 32
Policy der enviaM
Blatt 33 - 46
Ausgabe 01.05.2012
Version 5.8
Dabei gelten folgende Grundsätze:
Schlüssel sind in der Regel zentral zu erzeugen und bereitzustellen. Eine Generierung durch den
Benutzer selbst ist nur in speziellen Fällen sinnvoll.
Sofern der Schlüssel zur Authentisierung eines Benutzers oder zur Sicherung seiner persönlichen
Kommunikation vorgesehen ist, muss sichergestellt sein, dass nur der Benutzer Zugriff auf den
Schlüssel erhält und diesen durch ein nur ihm bekanntes Kennwort oder eine PIN schützen
kann.
Die Wiederherstellung eines derartigen Schlüssels aus dem Backup darf nur im Rahmen eines
gesicherten Prozesses möglich sein, der soweit möglich sicherstellt, dass Dritte nicht in Besitz des
Schlüssels gelangen können. Der Schlüssel ist nur an den zugeordneten Benutzer auszuliefern.
4.12.3 RWE Basis PKI
Die RWE Basis PKI bietet eine konzernweit einheitliche Infrastruktur für die Erzeugung und Verwaltung
von asymmetrischem Schlüsselmaterial und X.509 Zertifikaten ( Glossar).
Die initiale Zertifikatshierarchie der RWE Basis PKI besteht aus einer Wurzel-Zertifizierungsinstanz (Root
Certification Authority, Root-CA), zwei ausgebenden Zertifizierungsinstanzen (Issuing CAs) für Endnutzerzertifikate sowie den Endnutzerzertifikaten. Die beiden Zertifizierungsinstanzen geben Zertifikate mit
unterschiedlichem Sicherheitsniveau aus:
Zertifikate einer RWE Issuing Certification Authority, deren zugehöriges Schlüsselmaterial in einem sicheren Prozess auf einem Trägermedium mit Kryptocontroller gespeichert und an den Zertifikatsnehmer ausgegeben wird (hohes bis sehr hohes Sicherheitsniveau)
Zertifikate einer RWE Issuing Certification Authority, deren Schlüsselmaterial auf einem Trägermedium ohne Kryptocontroller gespeichert und an den Zertifikatsnehmer ausgegeben wird
(normales bis hohes Sicherheitsniveau)
Das Verwaltungssystem unterstützt konzernweit den PKI Workflow für Beantragung, Personalisierung,
Ausgabe und Sperrung von Schlüsselmaterial, Zertifikaten und Trägermedien (Personal Security Environments, PSEs).
Das RCD als konzernweit verfügbarer Verzeichnisdienst ist
primäre Quelle für die Daten des Zertifikatsnehmers im Zertifikatsprofil im Rahmen der Beantragung und
Speicher für Zertifikate und Zertifikatssperrlisten im Rahmen der Veröffentlichung im Intranet
der RWE.
Beim Einsatz von Kryptoprodukten gemäß der Aufstellung in dem Dokument Technische Ergänzung
zur Information Security Policy für die enviaM Konfigurationsvorgaben , Kapitel. 2.4.1, ist festzulegen, welchem Sicherheitsniveau die Zertifikate der RWE Basis PKI entsprechen müssen. Die
Kryptoprodukte sollen folgende Überprüfungen durchführen:
Das Sicherheitsniveau der Zertifikate durch Validierung der jeweiligen RWE Issuing Certification
Authority (d.h. wird für eine Kryptoanwendung zwingend ein hohes Sicherheitsniveau gefordert, dann darf ein Zertifikat der RWE Issuing Certification Authority für Nutzerzertifikate mit
normalem Sicherheitsniveau nicht als vertrauenswürdig eingestuft und akzeptiert werden).
Die Vertrauenswürdigkeit der Zertifikate entlang der Zertifikatshierarchie bis zum Zertifikat der
RWE Root-CA.
Die Gültigkeit der Zertifikate durch automatische Überprüfung der zum Zeitpunkt der Überprüfung aktuellen Zertifikatssperrlisten.
Seite 33
Policy der enviaM
Blatt 34 - 46
Ausgabe 01.05.2012
Version 5.8
5 Organisatorische Maßnahmen der Gesellschaften der enviaMGruppe
In diesem Abschnitt sind alle organisatorischen Maßnahmen zusammengefasst, die weder eindeutig in
die Mindeststandards für den Anwender noch für den IT-Dienstleister eingeordnet werden können. Sie
sind dennoch bei der Auftragserfüllung durch den Auftragnehmer zu beachten.
5.1
Einhaltung von gesetzlichen, regulatorischen oder sonstigen relevanten Vorschriften
Neben den in dieser IT-Sicherheitsrichtlinie festgelegten Maßnahmen zur Realisierung eines Basisschutzes kann es erforderlich sein - auf Grund von z. B. gesetzlichen, regulatorischen oder sonstigen für enviaM relevanten Anforderungen
zusätzliche Maßnahmen zu etablieren. Insbesondere IT-Anwendungen können hiervon betroffen sein: So zum Beispiel Anwendungen, die
im Prozess der Bilanzbildung für die enviaM eine Aufgabe wahrnehmen, oder
originär digital einfließende oder erzeugte steuerrelevante Daten verarbeiten.
Im Nachfolgenden sind einige Grundsätze und Vorschriften (z. B. für Deutschland) aufgeführt, bei denen ggf. im Bereich der IT zusätzliche Maßnahmen zu den in dieser IT-Sicherheitsrichtlinie definierten
notwendig sind:
Basel II
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBs)
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
Bundesdatenschutzgesetz (BDSG)
Telemediengesetz (TMG)
Telekommunikationsgesetz (TKG)
Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz EnWG)
Richtlinie Datenaustausch und Mengenbilanzierung (DuM)
Datensicherheitsstandard der Payment-Card-Industrie (PCI DSS)
5.2
Rolle und Aufgaben des Bereiches IT
Die Rolle und die Aufgaben des Bereiches IT ergeben sich aus der IT-Strategie des RWE-Konzerns. Bei
Ausnahmeregelungen, die in dieser Information Security Policy angegeben sind, ist in der Regel der ITBereich hinzuzuziehen.
Des Weiteren übernimmt der IT-Bereich eine koordinierende Funktion bei der strategischen Ausrichtung
und Umsetzung der Information Security Policy für die enviaM durch den IT-Dienstleister.
Zwischen dem IT-Dienstleister und dem IT-Bereich sind die zu erbringenden Dienstleistungen in Bezug
auf die IT-Sicherheit in Form einer definierten Auftragserteilung oder einer Servicevereinbarung festzulegen.
5.3
Behandlung von Ausnahmen
Bei Ausnahmeregelungen, die in dieser Information Security Policy angegeben sind, ist der IT-Bereich der
enviaM hinzuzuziehen.
Ausnahmen, die der IT-Bereich für die enviaM Gruppe entscheidet:
Freigabe von Browserzusätzen oder Internetzugriffssoftware
Organisatorische Maßnahmen der Gesellschaften
Seite 34
Policy der enviaM
Blatt 35 - 46
Ausgabe 01.05.2012
Version 5.8
Freigabe von weiteren Protokollen, die zur Kommunikation an den verschiedenen Netzwerkgrenzen eingesetzt werden dürfen
Ausnahmen, die der IT-Bereich einer Gesellschaft der regelt und ggf. zu Regularien die Information Security Policy eingebracht werden:
ISDN-, Modeminstallationen /-betrieb mit parallelem Zugang zum enviaM Netzwerk
Freigabe nicht standardisierter Browserzusätze oder Internetzugriffssoftware in Einzelfällen
Freigabe von Kryptoalgorithmen und Mindestschlüssellängen, die nicht den Vorgaben der Information Security Policy entsprechen.
Freigabe der Nutzung von Instant Messaging nur unter Beachtung der dafür vorgesehenen
Schutzmaßnahmen ( Technische Ergänzung zur Information Security Policy-Kapitel 3.6) und
mit dem Hinweis auf Anwenderrichtlinien:
Verbot der Freigabe von ganzen Datenbereichen (file sharing)
Verbot des Imports von Programmen
Hinweise zu Verhaltensregeln und Nutzungsrisiken
Vorgegebene Trennung von SAP-Systemen in Test-, Qualitätssicherungs- und Produktionssystem
wird nicht vorgenommen.
Ausnahmen, die der IT-Bereich einer Gesellschaft regelt:
Entscheidung gegenüber dem IT-Dienstleister, ob und bei welchen IT-Komponenten ein BootKennwort einzurichten ist. Soweit der IT-Bereich auf das Boot-Kennwort verzichtet, verzichtet,
hat es dem IT-Dienstleister die beiden folgenden Alternativmaßnahmen bindend vorzuschreiben:
a) Unterbinden des Boot-Vorgangs von Diskette oder anderen bootfähigen Datenträgern durch
eine passwortgeschützte BIOS-Einstellung und
b) keine parallele Installation mehrerer Betriebssysteme.
Werden auf mobilen PCs (z.B. Notebook) Verschlüsselungsprodukte (z.B. E-Mail- oder Verzeichnisverschlüsselung) eingesetzt oder schutzbedürftige Informationen ("Vertraulich" oder "Streng
vertraulich ) verarbeitet, so ist in jedem Fall die Pre-Boot-Authentisierung zu aktivieren. Ist eine
Nutzung der Pre-Boot-Authentifizierung technisch nicht oder nur mit erheblichem Aufwand
möglich (z.B. Touchpads im Workforce Einsatz) so kann nach erfolgter Risikoanalyse und ggf.
Einsatz alternativer Maßnahmen von der Aktivierung einer Preboot-Authentifizierung abgesehen
werden.
Es sind jährlich der Wegfall der Pre-Boot-Authentiserung als auch in diesem Kontext durchgeführte Risikoanalysen auf Validität zu überprüfen.
Abweichungen zur Durchführung des On-Demand-Scans auf dem Anwender-PC
Direkter Internet- oder Onlinezugang, ohne gleichzeitige Anbindung an das Netzwerk der enviaM
Freigabe von Benutzerkonten, die von mehr als einer Person genutzt werden (
Zugangsberechtigung)
Kapitel 4.3.1
Anschluss von PCs externer Mitarbeiter an das LAN der enviaM ( Kapitel 4.8.2). In diesem Fall
ist der IT-Dienstleister mit der Einrichtung von zusätzlichen Sicherheitsmaßnahmen zu beauftragen ( Kapitel 4.8.2 PC von Externen)
Seite 35
Policy der enviaM
Blatt 36 - 46
Ausgabe 01.05.2012
Version 5.8
Freischaltung einzelner vertrauenswürdiger Webseiten für ActiveX ( Technische Ergänzung zur
Information Security Policy, Kapitel 2.2.3) (eine sicherheitstechnische Bewertung ist vorab durchzuführen).
Freigabe von Ports an der Firewall
Änderungen des Kennwortänderungsintervalls
Festlegungen der in der Zone der vertrauenswürdigen Websites eingetragenen Webseiten.
Betrieb von Routern und Bridges ohne physischen Zugangsschutz (
gangsschutz)
Kap. 4.2 Physischer Zu-
Nutzung von betrieblichen mobilen IT-Komponenten in nicht der Information Security Policy unterliegenden Netzwerken. In diesem Fall ist der IT-Dienstleister mit der Einrichtung von zusätzlichen Sicherheitsmaßnahmen zu beauftragen ( Kapitel 4.11.3 Sicherung von mobilen ITKomponenten wie z.B. Notebooks)
Vergabe von lokalen Administrationsrechten auf Clientsystemen an Anwender (
Zugangsberechtigung / Kapitel 4.3.2 Zugriffsrechte)
5.4
Kapitel 4.3.1
Änderungsprozess / Erstellung von neuen IT-Anwendungen
Für jede neu zu erstellende IT-Anwendung oder bei Änderung einer IT-Anwendung ist vor Festlegung
eines Pflichten- oder Lastenheftes eine Schutzbedarfsfeststellung durchzuführen. Die Ermittlung des
Schutzbedarfs muss jedoch spätestens vor der Beauftragung zur Implementierung der Änderungen vorliegen. Ergibt sich aus dieser Schutzbedarfsfeststellung ein hoher bis sehr hoher Schutzbedarf, so
ist eine Sicherheitsanalyse durchzuführen und entsprechend ergänzende Maßnahmen in das Pflichtenbzw. Lastenheft mit aufzunehmen.
5.5
5.5.1
Handhabung von Zugriffsberechtigungen
Überprüfung von Zugangs-/Zugriffsberechtigungen
Der IT-Dienstleister ist verpflichtet, einmal jährlich die Benutzerberechtigungen aufzulisten und dem
Datenverantwortlichen zur Prüfung vorzulegen. Der IT-Bereich hat die Aufgabe, den Prozess zur Überprüfung der Benutzerberechtigungen in den Fachabteilungen zu monitoren und zu dokumentieren.
5.5.2
Berechtigungen und Profile
Für Client-Server-Systeme oder bei Systemen in denen für das Geschäft wertvolle Informationen verarbeitet werden (hoch oder sehr hoch schutzbedürftige Informationen) ist ein Benutzerberechtigungskonzept zu erstellen.
In dem Berechtigungskonzept für ein System sind alle erforderlichen Regelungen für das Management
der Berechtigungen, für den Zugriff auf das System sowie die Bestandteile (Rollen etc.) nachvollziehbar
zu dokumentieren.
Ein Berechtigungskonzept muss neben der ggf. relevanten Einhaltung gesetzlicher Anforderungen, insbesondere dem Need-to-know-Prinzip sowie dem Schutzbedarf der in diesem System gespeicherten
Informationen, Rechnung tragen.
Berechtigungskonzepte beinhalten die Zuständigkeiten und Dateneigentümerschaften, die im Allgemeinen nicht personenspezifisch verfasst werden, sondern auf organisatorische Rollen referenzieren.
Diese Rollen werden von Personen in einem Unternehmen wahrgenommen (z.B. Beteiligungscontroller). Des Weiteren ist das Verwalten dieser Berechtigungsrollen ein weiterer integraler Bestandteil
des Berechtigungskonzeptes.
Analog werden die einzelnen Rechte für den Zugriff auf die Informationen in einem System nicht personenspezifisch zugeordnet. Vielmehr werden im Allgemeinen Zugriffsberechtigungen auf ein System
Seite 36
Policy der enviaM
Blatt 37 - 46
Ausgabe 01.05.2012
Version 5.8
zu logisch sinnvollen, den Aufgaben entsprechend organisatorischen Rollen bzw. Berechtigungsrollen
zusammengefasst.
Änderungen an Benutzerstammsätzen sind vom Dateneigentümer (oder in seinem Auftrag) zu protokollieren.
5.5.3
Funktionstrennung
Die Grundsätze der Funktionstrennung sind so abzubilden, wie sie für die Abwicklung der zugrunde
liegenden Geschäftsprozesse erforderlich sind.
Bei Ausnahmen der Funktionstrennung ist eine starke Authentifizierung der Anwender notwendig.
5.5.4
Vergabe von Zugangsberechtigungen
Grundlegend sind in den Berechtigungsvergabeprozessen / strukturen soweit technisch und organisatorisch möglich - Vorkehrungen zu treffen, um die nachfolgenden Aspekte sachgerecht abzubilden.
Es ist zwischen Änderungs- und Anzeigeberechtigungen zu differenzieren. Grundlegend darf niemand
seine eigene Tätigkeit alleine kontrollieren, niemand seine eigenen Arbeitsergebnisse in einer späteren
Stufe bearbeiten (Vertuschung vorausgegangener Manipulationen). Beispiele zwingend voneinander zu
trennender Berechtigungen sind: Einkauf/Verkauf, Debitoren/Kreditoren, Kasse/Güter, Kasse/Buchführung. Ausnahmen sind zu begründen und zu dokumentieren, außerdem ist in solchen Fällen
eine starke Authentifizierung der Anwender notwendig. Es ist sicherzustellen, dass Anwender sich nicht
selbst höhere Berechtigungen vergeben können.
Administratoren dürfen nicht gleichzeitig Anwender sein (Ausnahmen sind vom Datenanforderer zu
begründen und vom Dateneigentümer freizugeben und zu dokumentieren). Änderungen von Profilen
sowie deren Freigabe sind vom Dateneigentümer zu protokollieren. Es ist regelmäßig vom Dateneigentümer zu überprüfen, dass die Funktionstrennung eingehalten ist. Die Aufgaben des Dateneigentümers
können delegiert werden, dieser muss die ordnungsgemäße Handhabung jedoch zumindest stichprobenhaft überprüfen.
Für die Zuordnung und Vergabe von Berechtigungsprofilen zu Benutzerkennungen ist ein manipulationssicheres Verfahren zu verwenden. Die Vorgänge dieses Verfahrens sind zu dokumentieren. Für besonders hohe Berechtigungen ist eine starke Authentifizierung des Anforderers oder das Vier-AugenPrinzip notwendig.
Sofern die Vergabe von Berechtigungen und die Definition von Rollen nicht innerhalb einer Gesellschaft
erfolgt und ggf. bei einem IT-Dienstleister beauftragt wird, so ist der IT- Dienstleister zusätzlich zu Kapitel 4 zu den oben aufgeführten Regelungen auf Einhaltung zu verpflichten.
Der Information Security Officer muss die Ausnahme vor Umsetzung genehmigen und dokumentieren.
5.5.5
Überprüfung von Kennwortrichtlinien
Werden Unternehmensdaten so abgespeichert, dass der Zugang oder Zugriff auf diese Informationen
nur noch durch das Wissen einer Person (z.B. Kennwortschutz einer Office-Datei) oder durch einen Besitz oder eine Kombination aus den beiden geschützt ist, so ist ein Verfahren einzuführen, dass der Zugang oder Zugriff auf diese Informationen für das Unternehmen in jedem Fall gewahrt bleibt. Bei der
Ausarbeitung und In-Kraft-Setzung dieses Verfahrens ist zu prüfen, ob die Mitbestimmungsgremien
einzubeziehen sind.
In Abstimmung mit dem Betriebsrat ist mindestens einmal pro Jahr die Einhaltung der Kennwortrichtlinien zu überprüfen.
Des Weiteren ist ein generelles Verfahren ggf. unter Einbeziehung der Mitbestimmungsgremien
erarbeiten, das regelt, wie bei Nichteinhaltung der Kennwortrichtlinien verfahren wird.
zu
Seite 37
Policy der enviaM
5.6
Blatt 38 - 46
Ausgabe 01.05.2012
Version 5.8
Regelungen zum Update-Management des beauftragten IT-Dienstleisters
Der Information Security Officer der enviaM hat mit dem IT-Dienstleister einen Update-Managementprozess zu vereinbaren. Dieser Prozess muss zum Ziel haben, dass bei veröffentlichten kritischen ITSicherheitslücken ein geregelter Vorgang zur Risikominimierung abgearbeitet wird.
5.7
Regelung zur Nutzung Web-basierter Anwendungen
Da bei der Nutzung von Web-basierten Unternehmenszugängen wie z.B. beim E-Mail-Zugang oder
Terminal-Server-Zugang (Workplace) grundsätzlich nicht ausgeschlossen werden kann, dass schutzbedürftige Dateien lokal (zwischen-) gespeichert werden können, hat der Information Security Officer der
enviaM eine Entscheidung zu treffen, ob generell der Abruf von E-Mail-Anhängen gesperrt und/oder die
Einbindung von lokalen Laufwerken unterbunden werden sollen. Die Entscheidung ist zu dokumentieren und entsprechend transparent zu machen.
Zudem sind die Regelungen zum Vorgehen beim Zugriff auf Web-basierte Anwendungen (gemäß
Technische Ergänzung zur Information Security Policy für die enviaM Punkt 2.4. Zugriff über das Internet (VPN) anzuwenden.
5.8
Schulungs- und Ausbildungsmaßnahmen
Für den Auftragnehmer nicht zutreffend.
5.9
IT-Notfallmanagement
5.10 Security Incident Reporting
5.11 Durchführung von Schutzbedarfsfeststellung und Sicherheitsanalyse
Nur für Auftragnehmer, die Sicherheitsanalysen im Auftrag der enviaM erstellen zutreffend.
5.12 Regularien zur Abtrennung eines Konzerngesellschaftsnetzes oder anderer Schutzzonen
Besonders sensitive Bereiche im Unternehmensnetz, ggf. auch das gesamte Netz einer Konzerngesellschaft, sind bei Bedarf zusätzlich abzusichern, indem z.B. eine netzwerktechnsiche Absicherung vorgenommen wird.
Es ist eine logische netzwerktechnische Trennung vom RCN vorzunehmen, wenn die Vorgaben der ISMS
Group Baseline von einer Gesellschaft oder Teilbereichen dieser nicht erfüllt werden.
5.13 Technische Sicherheitsüberprüfungen
Auch bei Beachtung aller empfohlenen Sicherheitsmaßnahmen ist niemals von einem lückenlosen
Schutz einer IT-Umgebung auszugehen. Fehler in der verwendeten System- oder Anwendungssoftware
oder in der Betreuung der verwendeten Komponenten können ebenso die Sicherheit bedrohen wie
neue, bisher noch wenig beachtete Angriffsstrategien. Deswegen ist die ständige Überprüfung aller
Sicherheitsmaßnahmen unabdingbar, um die Zielsetzung einer sicheren IT-Umgebung zu erreichen.
Hierzu sind in unterschiedlichen Zeitintervallen aufeinander abgestimmte Formen der Sicherheitsüberprüfung zu veranlassen:
Externe Tests mit Security-Scannern
Schwachstellenanalysen mit Security Scannern ergeben ein aktuelles Bild der Sicherheitslage der
untersuchten Bereiche und sind für alle externen Netzübergänge (Internet, Dial-In, Festverbindungen) periodisch durchzuführen. An hoch bedrohten Netzübergängen wie dem zum Internet
sind mindestens jährlich und zusätzlich bei größeren Änderungen der IT-Umgebung ÜberprüOrganisatorische Maßnahmen der Gesellschaften
Seite 38
Policy der enviaM
Blatt 39 - 46
Ausgabe 01.05.2012
Version 5.8
fungen mit Security-Scannern durchzuführen, an allen übrigen Netzübergängen sind auch größere Zeitabstände zwischen den Tests zulässig. Dabei sind bei externen Tests auf Netz- und Systemebene auch Tests auf Anwendungsebene vorzusehen, sofern solche Anwendungen für externe Nutzer angeboten werden.
Interne Tests mit Security Scannern
Lokale Netze sind ebenfalls periodischen Überprüfungen zu unterziehen, dabei sind mindestens
einmal jährlich Tests auf Netz- und Systemebene durchzuführen. Diese Tests schließen grundlegend alle internen Sicherheitskomponenten, wichtige Server und auch exemplarisch ausgewählte Arbeitsplatzsysteme ein. Intern genutzte Techniken, die durch unberechtigten externen Zugriff gefährdet sind (z.B. WLAN), sind zumindest bei ihrer Einführung mit entsprechenden Scannern zu überprüfen.
Gezielte Einbruchsversuche durch Penetrations-Tests
Penetrations-Tests erweitern den Einsatz von Security-Scannern dahingehend, dass sie nicht nur
das Ziel haben Schwachstellen zu suchen, sondern diese auch auszunutzen. Sie werden weitgehend manuell durchgeführt und versuchen durch mehrstufiges Ausnutzen von Schwachstellen
widerrechtlichen Zugriff auf Systeme oder geschützte Netzbereiche zu erlangen. PenetrationsTests (im Gegensatz zu voll automatisierten Scan-Tests) sind bei hoch bedrohten externen Systemen (z.B. Webserver) und Netzübergängen (z.B. Internet-DMZ) mindestens einmal jährlich
durchzuführen.
Auch im internen Netz ist zumindest für hoch schutzbedürftige Systeme und Anwendungen der
Einsatz von Penetrations-Tests empfohlen, evtl. zusammen mit Scanner-Tests.
Die Verantwortung für die Initiierung von Sicherheitsüberprüfungen liegt beim Information Security
Officer. Die Ergebnisse der durchgeführten Sicherheitsüberprüfungen sind dem Auftraggeber mitzuteilen. Der Information Security Officer hat das Recht, die Ergebnisse der Sicherheitsüberprüfungen einzusehen.
IT-Dienstleister sind vom Dateneigentümer auf die regelmäßige Durchführung der vorgesehenen Sicherheitsüberprüfungen zu verpflichten. Der IT-Dienstleister gestattet und ermöglicht der beauftragenden
Gesellschaft oder einer von dieser beauftragten Gesellschaft, die Einhaltung der für den beauftragten ITDienstleister verbindlichen Richtlinien zu überprüfen
5.14 Umgang mit personenbezogenen Daten
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Den Umgang mit diesen Daten regelt innerhalb von
Deutschland das Bundesdatenschutzgesetz (BDSG). In anderen Ländern sind die entsprechend gültigen
nationalen Gesetze anzuwenden. Bei einem Versand von personenbezogenen Daten über nationale
Grenzen hinweg greift innerhalb der EU-Länder die EU-Datenschutzrichtlinie. Bei anderen Ländern
(Nicht EU-Ländern) ist die Übermittlung von personenbezogenen Daten an Auflagen gebunden. In der
Regel sind in solchen Fällen entsprechende vertragliche Vereinbarungen zu treffen.
Generell ist auf die Einhaltung der anzuwendenden Regelungen und Gesetze sowie der unternehmensintern getroffenen Datenschutzregelungen zu achten.
Bereits bei der Entwicklung oder dem Kauf von IT-Anwendungen (ggf. auch bei Standardsoftware) ist
sicherzustellen, dass der Datenschutzbeauftragte frühzeitig eingeschaltet wird, wenn mit dieser IT-Anwendung/Software personenbezogene Daten verarbeitet werden. Bei Unklarheiten, ob personenbezogene Daten verarbeitet werden, ist eine Abstimmung mit der für den Datenschutz zuständigen Stelle
erforderlich.
Für Fragen steht der Datenschutzbeauftragte zur Verfügung.
Seite 39
Policy der enviaM
Blatt 40 - 46
Ausgabe 01.05.2012
Version 5.8
5.15 Einsatz von kryptografischen Methoden
In einzelnen Bereichen sieht die Information Security Policy den Einsatz von kryptografischen Methoden
zur Sicherung vor.
Die Gesellschaften sind in diesem Zusammenhang verpflichtet, zu prüfen, ob ein Einsatz rechtlich zulässig ist (insbesondere bei grenzüberschreitendem Einsatz) bzw. ob zunächst spezielle Genehmigungen
eingeholt werden müssen. Die Gesellschaft informiert ihren IT-Dienstleister über das Ergebnis dieser
Prüfung.
Fordert die Information Security Policy in einem Bereich zwingend den Einsatz von starken kryptografischen Methoden und ist dieser aus technischen oder rechtlichen Gründen nicht möglich, so darf keine
Nutzung erfolgen. Ausnahmen davon dürfen vom IT-Bereich nur zugelassen und beim IT-Dienstleister
angefordert werden, wenn die Sicherheit anderer Gesellschaften oder übergeordneter IT-Ressourcen
nicht gefährdet ist.
Im RWE-Konzern sind verschiedene Dokumente zur RWE Basis PKI zur konzernweiten einheitlichen Nutzung in Kraft gesetzt worden. Die Gesellschaften sind aufgefordert, bei der Konzeption von entsprechenden Anwendungen diese Standards zu berücksichtigen oder die Nutzung bestehender PKIInfrastrukturanteile einzuplanen. Der Aufbau davon losgelöster PKI s darf nicht erfolgen. Ausnahmen
sind über die Konzerngremien zu genehmigen.
Seite 40
Policy der enviaM
Blatt 41 - 46
Ausgabe 01.05.2012
Version 5.8
6 Glossar
Access Point
ACL-Anzeigewerkzeug
ActiveX
Anwendung
Arbeitsplatzrechner
Authentifizierung
Authentisierung
Autorisierung
BDSG
Betaversion
Betriebssystem
Bluetooth
Booten mobiler ITKomponenten
Browser
Chipkarte
Client
Daten
Datenträger, mobiler
Digitale Signatur
DMZ
Download
Glossar
Zugangspunkt für den Aufbau von kabellosen Netzen (WLAN). Der Access
Point verbindet die an ihn per Funktechnologie angeschlossenen Endsysteme
untereinander. Darüber hinaus stellt er einen Übergang zu kabelgebundenen
Netzen bereit.
Werkzeug, mit dem die Zugriffsrechte für mehrere Dateien bzw. Verzeichnisse
angezeigt werden können. ACL steht für Access Control List
aktive Elemente im Internet in Programmiertechnik der Firma Microsoft, die
bei Aufruf, z.B. Ansicht einer Webseite, auf einer IT-Komponente (z.B. PC)
ausgeführt werden
siehe IT-Anwendung
Endgerät, das zur Speicherung und Verarbeitung von Daten geeignet ist. Häufig wird Client, System, Personal Computer oder einfach PC auch synonym zu
Arbeitsplatzrechner benutzt.
Prüfung einer Authentisierung, d.h. Überprüfung der Identität eines Kommunikationspartners
Vorlage eines Nachweises zur Identifikation eines Kommunikationspartners
Prüfen und Gewähren der Berechtigung eines Kommunikationspartners für
bestimmte Operationen, wie zum Beispiel zum Zugriff auf Daten
Bundesdatenschutzgesetz
Programmversion, die noch nicht alle Tests durchlaufen hat
Steuerprogramm auf einem Rechner, das die Hardware des Rechners verwaltet und die Ausführung von Programmen steuert
Funktechnologie für kabellose Verbindungen mit kurzer Reichweite. Bluetooth
wird insbesondere zur Verbindung von Endgeräten untereinander eingesetzt
(Handy, Notebook, PDA, Digital Kamera etc.).
Start- / Einschaltvorgang eines Notebooks, eines Handhelds / Personal Digital
Assistant (PDA), eines Handy s oder sonstiger aktiver IT-Komponenten auf denen Daten gespeichert oder verarbeitet werden können.
Programm zum Darstellen von Daten auf dem Bildschirm, vorzugsweise aus
dem Internet
Plastikkarte mit einem elektronischen Baustein, der ein persönliches Kennwort, persönliche Schlüssel sowie ggf. Verfahren zur Ver- und Entschlüsselung
enthalten kann
Client oder Clientsystem siehe Arbeitsplatzrechner
Informationen, die mittels IT-Komponenten erstellt, transportiert, gespeichert,
verarbeitet oder gelöscht werden
Diskette, Magnetband, Magnetooptische Datenträger, CD-ROM, DVD, etc.
Technik, um sicherzustellen, dass ein elektronisch übertragenes Dokument
nicht verändert wurde und von einem bestimmten Absender stammt
Demilitarisierte Zone: Netzwerkbereich zwischen einem zu schützenden Netz
und einem oder mehreren anderen Netzen. Typischerweise wird der Netzwerkbereich durch einen inneren und einen äußeren Router und einer dazwischen liegenden Firewall aufgebaut.
Kopieren von Daten aus einem anderen Rechner und Abspeichern auf einer ITKomponente
Seite 41
Policy der enviaM
Blatt 42 - 46
Ausgabe 01.05.2012
Version 5.8
E-Mail
elektronische Post; Versenden von Notizen und Dateien über ein privates oder
öffentliches Netz
Externes IT-Netz
Ein IT-Netzwerk, das die Vorgaben der Information Security Policy nicht erfüllt.
Externe Gesellschaft
Eine Gesellschaft, die die Vorgaben der Information Security Policy nicht erfüllt. Evtl. betriebene IT-Netze gelten dann auch als externe IT-Netze.
Externer Zugriff
Externe Zugriffe sind keine internen Zugriffe (s. Interner Zugriff)
Festplatte
Datenträger im PC, der normalerweise nicht ausgetauscht werden kann
Firewall
System aus Hard- und Software, das unerlaubte Kommunikation zwischen
Netzen verhindert
Freeware
Programme und Daten, die ohne Lizenz benutzt werden dürfen
Hardware
alle Teile, aus denen ein Rechner und seine Komponenten gebaut sind
Globales enviaM Netzwerk TCP/IP basiertes Unternehmensnetzwerk, zu dem alle angeschlossenen Gesellschaften die Regularien der Information Security Policy erfüllen müssen
Hot Spots
Bezeichnung für öffentliche kabellose Netze (meist auf WLAN-Technologie
basierend), mit denen man sich in de Regel gegen Gebühr verbinden kann.
Über das Netz des Hot Spots besteht eine Verbindung zum Internet. Hot Spots
werden derzeit an vielen öffentlichen Plätzen aufgebaut, z.B. in Flughäfen
oder Hotels.
http-Tunneling
Zumeist widerrechtliche Nutzung des an der Firewall für Webverkehr freigegebenen Kommunikationskanals für Spiele, Instant Messaging oder Herunterladen von Mediadateien.
Identifikation,
Feststellung der Identität eines Kommunikationspartners anhand eines einIdentifizierung
deutigen Unterscheidungsmerkmals
IDS
Ein Intrusion Detection System hat die Aufgabe, gerade stattfindende Angriffe
zu erkennen und Alarm auszulösen. Typische Positionierung für Kontrollpunkte sind ausgewählte Stellen im Netzwerk und wichtige Zielsysteme.
IEEE 802.11
internationaler Standard für den Aufbau von kabellosen Funknetzen (siehe
WLAN)
Interner Zugriff
Bezogen auf das IT-Netz der enviaM. Als interner Zugriff wird bezeichnet:
Zugriffe von Mitarbeitern auf IT-Komponenten innerhalb des IT-Netzes der
enviaM
Zugriffe von Mitarbeitern der enviaM über RAS, Internet oder anderen
Zugangsmöglichkeiten auf das IT-Netz der enviaM
Automatische Kommunikationsverbindungen (z.B. Server Server) innerhalb eines IT-Netzes der enviaM
Internet
öffentliches Netz, an dem mittlerweile viele Millionen Rechner angeschlossen
sind
Internetzugriffssoftware Programme, die Zugriff zum Internet erlauben wie Browser, Dateiübertragungsprogramme (File Transfer Protocol; ftp) usw.
Intranet
unternehmensinternes Netz, auf das mit denselben Hilfsmitteln zugegriffen
wird wie auf das Internet
IPS
Intrusion Prevention Systeme sind eine Fortentwicklung von IDS und versuchen erkannte Angriffe sofort zu unterbinden.
ISDN
Integrated Services Digital Network; digitales Leitungsprotokoll zur Sprachund Datenübermittlung
Glossar
Seite 42
Policy der enviaM
IT-Anwendung
IT-Komponenten
IT-Netz
IT-System
JAVA
Java-Skript
Kennwort
Kritische IT-Sicherheitslücke
Kryptografie
Kryptografischer Tunnel
Kryptoserver
LAN
Lizenz
MAC
Makrovirus
Mobile Datenträger /
Mobile Endgeräte
Modem
Glossar
Blatt 43 - 46
Ausgabe 01.05.2012
Version 5.8
Synonym für Programm, welches auf einem Betriebssystem oder (Anwendungs-)Server ausgeführt werden kann.
Zu den IT-Komponenten gehören:
Arbeitsplatzrechner (stationäre und mobile), Workstation, Bereichs- und
Unternehmensrechner (Server)
Handheld / Personal Digital Assistant (PDA), Handy, Smart Card oder sonstige aktive IT-Komponente auf der Daten gespeichert oder verarbeitet
werden können.
Periphere Geräte wie Drucker, Plotter, Scanner, Datenträgerlaufwerke u.a.
Datenträger
Programme
Kommunikationsverbindungen
Alle Formen von IT-Netzen bei denen IT-Systeme mittels Übertragungsmedien
wie z.B. Kupferkabel zwecks Datenkommunikation untereinander verbunden
sind.
Ein IT-System bietet die Umgebung für den Ablauf einer IT-Anwendung
und/oder zur Speicherung von Daten. Ein IT-System kann sich aus einer oder
mehreren IT-Komponenten zusammensetzen.
Programmiersprache, die bevorzugt im Internet verwendet wird
aktive Elemente im Internet, eingebettet in eine Webseite, die bei Ansicht auf
dem eigenen PC ausgeführt werden
persönlich zugeordnet, ermöglicht den Zugang und die Nutzung von Rechnern und Programmen
IT-Sicherheitslücke in einer IT-Komponente, bei der ein Angreifer einen weitgehenden, nicht autorisierten Zugriff auf diese IT-Komponente erlangen kann
(z.B. Rechte eines Administrators) oder bei der Masseninfektionen (z.B. durch
Schadprogramme) wahrscheinlich sind.
Wissenschaft von der Ver- und Entschlüsselung; liefert mathematische Verfahren, um mittels Zeichenketten (Schlüssel) lesbare Daten für nicht Berechtigte
unlesbar zu machen
Verbindung von zwei Punkten, zwischen denen die Verbindung durch eine
starke Authentisierung und/oder Verschlüsselung der Datenübertragung abgesichert ist
Server, der das eine Ende eines kryptografischen Tunnels aufbauen kann
Local Area Network; lokales Netz, mit dem PCs verbunden werden
erworbene Berechtigung zur Nutzung eines Programms
Media Access Control; kann auf unterster Netzwerkebene zur Zugangssteuerung genutzt werden. Jede Netzwerkkarte besitzt eine weltweit eindeutige
MAC-Adresse
Schadprogramm das z.B. beim Öffnen von Dokumenten ausgeführt wird und
sich darüber verbreitet oder ggf. Schaden anrichtet (siehe auch Virus).
Portable IT-Komponenten zur Speicherung oder Verarbeitung von Daten wie
z.B. Notebook, PDA, Blackberry, Handy oder Speicher-Stick.
Anschlussgerät, um Rechner über eine Telefonleitung miteinander zu verbinden
Seite 43
Policy der enviaM
Blatt 44 - 46
Ausgabe 01.05.2012
Version 5.8
Öffentliches Netz
Offenes Netzwerk, das prinzipiell von jedem genutzt werden kann. Ein Beispiel für ein öffentliches Netz ist das Internet oder ein Wählnetz eines Telekommunikationsanbieters
On-Access-Virenscanner Permanent mitlaufender Virenscanner, der bei Dateizugriff (z.B. von einer Diskette, Festplatte oder einer in einer Mail angehängten Datei) automatisch eine
Virenüberprüfung durchführt
On-Demand-Virenscanner Automatisch oder manuell gestarteter Virenscan auf einem vorgegebenen
Speichermedium (Diskette, Festplatte, etc.). Ein On-Demand-Virenscanner
kann mehr Viren erkennen als ein On-Access-Virenscanner.
Pattern
Virensignaturdatei, als Basis zur Erkennung der jeweils aktuellen Viren.
PC / Personal Computer Siehe unter Arbeitsplatzrechner
PDA
Personal Digital Assistant (auch: Handheld). Bezeichnet Minicomputer, die an
das Unternehmensnetzwerk nur über die Verbindung an andere Rechner (PC's
oder Notebooks) angeschlossen werden können. Beispiele für PDA's sind:
Terminplaner, Palm, Handsprings, Psion, Smartphones, PocketPC
Personal Firewall
Schutzprogramm, das auf einer IT-Komponente Endsystem (z.B. Arbeitsplatzrechner oder Notebook) installiert wird und die gesamte Kommunikation des
Systems überprüft und unzulässigen Verkehr unterbindet.
PIN-Nummer
Personal Identifikation Number, wird im Zusammenhang mit Smartcards genutzt, die den Zugriff zum Karteninhalt und den darauf befindlichen kryptografischen Schlüsseln und Funktionen ermöglicht.
PKI
Public Key Infrastructure:
Ermöglicht es Kunden und Geschäftspartnern, einfache, wirtschaftliche,
rechtswirksame und sichere elektronische Geschäftsprozesse zu beiderseitigem Vorteil zu nutzen.
Ist ein System von Komponenten, Diensten und Verfahren, um Schlüssel
und Zertifikate für den Einsatz von Kryptografie zu generieren, zu verteilen und zu administrieren.
PKI-Dienst
Dienst wie z.B. Authentisierung oder Verschlüsselung von E-Mail, der durch
Anwendung von asymmetrischen Verschlüsselungsverfahren im Kontext einer
Public Key Infrastructure realisiert werden kann.
Plug-In
Zusatzkomponente für einen Browser. Ursprüngliche Schnittstelle für Plug-Ins
wurde von Netscape entwickelt und hat sich als Industriestandard durchgesetzt
Public Domain Software Programme und Daten, die ohne Lizenz benutzt werden dürfen
Public Key Infrastructure Siehe unter PKI
Remote Access Service
Möglichkeit, sich von einem dezentralen Rechner über Telefon in einen Server
einzuwählen und das daran angeschlossene Netz inkl. der dort angebotenen
Dienste zu nutzen
RWE Basis PKI
Sicherheitsinfrastruktur zur Etablierung eines einheitlichen Vertrauenslevels
und einheitlicher Prozesse zum Zertifikatsmanagement und Aufbau von Basisdiensten zur Nutzung dieser Zertifikate z.B. für E-Mail-Signatur oder verschlüsselung.
RWE Global Access
Bezeichnung eines IT-Dienstes der RWE zur Einwahl in das RWE Corporate
Network und Nutzung des persönlichen Desktops und weiterer Anwendungen wie z.B. E-Mail oder SAP.
Schutzbedarfsfeststellung Verfahren zur Klassifizierung von Informationen, Daten und IT-Komponenten
bzgl. des bestehenden Schutzbedarfes.
Glossar
Seite 44
Policy der enviaM
Blatt 45 - 46
Ausgabe 01.05.2012
Version 5.8
Schutzbedürftige Daten
Daten die durch eine Klassifikation als hoch oder sehr hoch schutzbedürftig eingestuft worden sind.
Server
Rechner im Netz, der für zugelassene Benutzer Programme und Daten bereithält
Shareware
Programme und Daten, die ohne Lizenz getestet werden dürfen; bei längerer
Benutzung ist meistens eine Gebühr an den Urheber fällig
Sicheres Löschen
Physikalisches Löschen von Dateninhalten auf einem Speichermedium. Bei
magnetischen Speichermedien werden Effekte wie Restmagnetisierung durch
mehrmalige Löschung des Inhaltes berücksichtigt
Sicherheitskritisches
Update zu einer kritischen IT-Sicherheitslücke (siehe kritische IT-SicherheitsUpdate
lücke).
Sicherheitsrelevante
Operationen, die i.d.R. nur mit Administratorrechten durchgeführt werden
Operationen
können.
Signatur
Technik um sicherzustellen, dass ein elektronisch übertragenes Dokument
Digitale Signatur
nicht verändert wurde und/oder von einem bestimmten Absender stammt
Smart Card
Eine Plastikkarte die zur sicheren Speicherung von kryptografischen Schlüsseln, die im Rahmen einer PKI zum Einsatz kommen.
Software
Alle Programme, die auf einem Rechner zur Ausführung kommen können
Speicher-Stick
Kleine mobile IT-Komponente, mit der Daten i.d.R. über die USB-Schnittstelle
bequem zwischen einem PC/PDA o.ä. und dieser Komponente ausgetauscht
werden können
Starke Authentisierung
Authentisierungsverfahren, bei dem Besitz und Wissen zum Zugang auf
IT-Komponenten notwendig sind. Ein Beispiel dazu: Als Besitz dient eine elektronische Karte, die zeitabhängige Schlüssel generiert, als Wissen wird eine PIN
zum Zugang zur elektronischen Karte und ein Kennwort zum Zugang auf ein
LAN benötigt.
starke Kryptoalgorithmen Nach dem aktuellen Stand der Technik als ausreichend sichere Kryptoalgostarke Verschlüsselung
rithmen bzw. Verschlüsselung erachtet. Details hierzu sind in der Technischen
Ergänzung zur Information Security Policy der enviaM Konfigurationsvorgaben angegeben.
Terminal
Datenendgerät, Bildschirm
Token-Karte
Zumeist elektronisches Gerät in Form eines Schlüsselanhängers oder Scheckkarte, mit dem Einmal-Kennwörter für eine starke Authentisierung generieren
werden können.
Trojanisches Pferd
Software, die neben einer erkennbaren Hauptwirkung verdeckte Nebenwirkungen auf einem PC oder in einem Datennetz hat
USB-Schnittstelle
Universal Serial Bus: Moderne Schnittstelle z.B. an einem PC mit der schnell
und einfach periphere IT-Komponenten, wie z.B. Tastatur, Maus oder SpeicherStick angeschlossen werden können.
Umsetzungsstandard
Technische Ausarbeitung zumeist zur Konfiguration von IT-Komponenten (z.B.
Konfiguration eines Webservers), die von dem IT-Dienstleister n bei der Inbetriebnahme und/oder beim Betrieb von IT-Komponenten beachtet werden
muss.
Verschlüsselung
mathematische Verfahren, um mittels Zeichenketten (Schlüssel) lesbare Daten
für nicht Berechtigte unlesbar zu machen; die Umkehrung ist die Entschlüsselung
Glossar
Seite 45
Policy der enviaM
Blatt 46 - 46
Ausgabe 01.05.2012
Version 5.8
Vertrauenswürdige Seiten Web-Seiten im Internet, denen der Anwender vertraut. Beispiele für vertrauenswürdige Seiten sind die von Banken, größeren Gesellschaften oder Organisationen
Vertrauenswürdige Zone Hier: netzwerktechnischer Verbund von einzelnen Konzerngesellschaftsnetzen
oder -netzteilen, der per jeweiliger Willenserklärung gebildet werden kann.
Virus
Programm oder Datei mit ausführbaren Befehlen, die Daten auf einem Rechner verfälschen, zerstören oder an Unberechtigte weiterleiten können; hat die
Fähigkeit, sich an andere Programme anzuhängen und sich dadurch auf einem PC oder in Datennetzen zu verbreiten
WAN
Wide Area Network; Weitverkehrsnetz; Verbindung von Rechnern über große
Entfernungen
Web-based-Training
Interaktive Anwendung zur Schulung von Inhalten mittels eines Browsers
Webseite
Darstellung von Daten aus einer bestimmten Adresse im World Wide Web
Wechselmedium
Mobiler Datenträger oder Speichermedium das ohne Werkzeug von einer
anderen IT-Komponente (ohne Datenträger) getrennt werden kann. Also z.B.
Speicherkarte (z.B. SD-Karte), CD-ROM, DVD, Magnetband, USB-Speichermedien (Speicher-Stick, Festplatte), hot-swap-fähiges Speichermedium.
WEP
Wired Equivalent Privacy: Internationaler Standard zur Verschlüsselung in Kabellosen Funknetzen (WLAN).
Windows
Betriebssystem des Herstellers Microsoft
WLAN
Wireless Local Area Network: Kabellose Funknetze (in der Regel auf Basis des
IEEE Standards 802.11), in denen sich mehrere Endsysteme wie in einem kabelgebundenen LAN miteinander verbinden lassen.
World Wide Web (WWW) Heute der am meisten genutzte Dienst im Internet. Darstellung von Informationen (Texte, Bilder, Grafiken etc.) in einem weltweit einheitlichen Format
Wurm
Virusartige Datei, die sich sehr schnell (wurmartig) ausbreitet.
Zertifikat
Ein Zertifikat ist ein elektronischer " Ausweis" . Das Zertifikat enthält Informationen über die Identität einer Person und Signaturprüfdaten, mit deren Hilfe
Signaturen dieser Person zugeordnet werden können. Das Zertifikat ist durch
die elektronische Signatur seines Ausstellers vor Veränderungen geschützt.
Zugangsberechtigung
Erlaubt einer Person, bestimmte Ressourcen wie IT-Systeme bzw. SystemKomponenten und Netze zu nutzen.
Zugriffsberechtigung
Erlaubt eine Person im Rahmen ihrer Funktionen oder eine bevollmächtigte ITAnwendung, Informationen, Daten oder auch IT-Anwendungen, zu nutzen
oder Transaktionen auszuführen.
Zutritt
Mit Zutritt wird das Betreten von abgegrenzten Bereichen wie z. B. Räumen
oder geschützten Arealen in einem Gelände bezeichnet.
Zutrittsberechtigung
Erlaubt einer Person, bestimmte Umgebungen zu betreten, also beispielsweise
ein Gelände, ein Gebäude, definierte Räume eines Gebäudes oder Schaltschränke eines Raumes.
Glossar
Seite 46

Information Security Policy der enviaM

Transcrição

Documentos relacionados

RAABEIs Homepage Sicherheit

The CSO Group approach…

Virenschutz der Extraklasse

Intranator Security Gateway

CosmosDirekt Social Media im Unternehmen

PRESSEMITTEILUNG Neue Kraft auf Energiemarkt Sachsen

usd Security Awareness Plattform

Intranator Network Security

Intra2net Business Server

Anleitung für Schmetterlinge: Schmetterling Bastelvorlage Kaufen