Sewecom-Standard vom 29.08.2002

Frühere Version (Archiv)

Zum aktuellen Sewecom-Standard.

Der hier beschriebene Sewecom-Standard für sichere Kommunikation in Internet und Intranet soll dazu beitragen ein Mindestmaß an Datensicherheit in Firmen und Einrichtungen zu realisieren.

Übersicht

A) Organisation
A1) Gesamtkonzept erforderlich
A2) Leitungsebene der Organisation ist eingebunden
A3) Konkretes Sicherheitskonzept: Prozess definieren
A4) Sicherheitsbeauftragte
A5) Interne Sicherheitsrichtlinien und -standards werden definiert
A6) Schulung der Mitarbeiter/innen
A7) Mehrstufige Sicherheitsebenen
A8) Beteiligte PCs, Software und Netzwerke

B) Internet-Technik (ggf. extern)
B1) Auswahl und Verpflichtung externer Dienstleister
B2) Technische Sicherheits-Infrastruktur
B3) Sichere Server-Infrastruktur
B4) VPN - virtual private network
B5) Administrative Zugänge zu Servern besonders gesichert
B6) Kommunikationslösung geschieht webbasiert
B7) SSL-Server-Zertifizierung nach Signaturgesetz
B8) Intranet besonders gesichert

C) Darstellung nach Außen
C1) Aufklärung der Kunden / Klienten
C2) Erklärung zu Datenschutz und Datensicherheit / Privacypolicy

Weiteres
Visuelle Darstellung dieses Standards
Zum Archiv früherer Versionen
Zu den PC-Sicherheits-Tipps
 

A) Organisation

A1) Gesamtkonzept erforderlich
Bei einem Sicherheitskonzept nach dem Sewecom-Standard handelt es sich um ein umfassendes Gesamtkonzept, das alle beteiligten Personen und technischen Komponenten einer Organisation sowie die ggf. beteiligten externen Dienstleister umfasst. Als Organisation wird hier das Gesamtsystem (Konzern, Unternehmen, Dachverband, Einrichtung) verstanden, welches das Sicherheitskonzept entwickelt und realisiert. Nur wenn alle relevanten Bereiche in das Konzept integriert sind, kann dabei ein hohes Maß an Sicherheit gewährleistet werden. Nur dann entspricht das Sicherheitskonzept dem Sewecom-Ansatz. (Überblick: Sewecom-Abbildung)

zur Übersicht

A2) Leitungsebene der Organisation ist eingebunden
Sicherheit muss von der obersten Leitungsebene gewollt sein und vorangetrieben werden. Sicherheitsstandards, die nicht eingefordert werden können, erweisen sich schnell als unwirksam, weil sie in Vergessenheit geraten oder ohne Folgen untergraben werden können. Nur wenn sich die Leitungsebene ebenfalls die Sicherheitsthematik zu Eigen macht und diese bei Bedarf einfordert, ist eine Realisierung von wirksamen Sicherheitsstandards in der Organisation zu erreichen.
Sicherheitsberatung von außen darf in diesem Sinne ausschließlich als Begleitung verstanden werden. Nur wenn die Verantwortung für Datenschutz und Datensicherheit in der Leitungsebene der Organisation verankert wird, kann ein für die Organisation angemessenes Sicherheitskonzept nachhaltig wirksam werden. Von außen können Beratung oder technische Komponenten eingekauft werden, die Verantwortung für den Sicherheitsbedarf sowie für die Entwicklung und Realisierung des jeweiligen konkreten Sicherheitskonzepts nach dem Sewecom-Standard verbleiben jedoch in der Organisation selbst.

zur Übersicht

A3) Konkretes Sicherheitskonzept: Prozess definieren
Datensicherheit darf nicht als etwas Statisches missverstanden werden, das einmal eingekauft werden kann und dann für immer da ist. Vielmehr ist Sicherheit in einer Organisation als Prozess zu verstehen, der sich der Veränderung der Umwelt anpassen muss. Im konkreten Sicherheitskonzept wird somit ein Prozess definiert, der alle Abläufe und beteiligten Personen mit ihren jeweiligen Aufgaben erfasst. Dabei werden unterschiedliche Kommunikationswege ermöglicht, die selbst bei möglichen Störungen eine zielgerichtete Alarmierung ermöglichen.

zur Übersicht

A4) Sicherheitsbeauftragte
Um diesen Prozess angemessen zu steuern, muss es Sicherheitsbeauftragte geben, welche in besonderer Weise dafür ausgebildet sind und für die gesamte Fragestellung in Zusammenarbeit mit der Leitung Verantwortung übernehmen.

zur Übersicht

A5) Interne Sicherheitsrichtlinien und -standards werden definiert
Verbindliche Sicherheitsrichtlinien der jeweiligen Organisation bilden die Basis für die Umsetzung eines Sicherheitskonzeptes. Darin werden die vertraglichen Rahmenbedingungen erläutert und es wird auf Konsequenzen und Sanktionen hingewiesen, die für die Mitarbeiter/innen bei Verstößen gegen diese Richtlinien eintreten können. Die Verpflichtung auf die geltenden Datenschutzbestimmungen wird hier beschrieben.
Die Sicherheitsstandards konkretisieren die Richtlinien und sind ebenso verbindlich. Sie müssen regelmäßig an die aktuellen Bedingungen angepasst werden. In ihnen wird festgelegt, welche Sicherheitseinstellungen an den beteiligten PCs vorzunehmen sind, welche Gefahren bei Soft- und Hardware abzuwenden sind und wie Angriffe effektiv abgewehrt werden können. In einem Alarmierungsplan wird dabei genau beschrieben, wer für was zuständig ist und wie mit möglichen Angriffen umzugehen ist.
Informationen zum Datenschutz: Virtuelles Datenschutzbüro

zur Übersicht

A6) Schulung der Mitarbeiter/innen
Alle Beteiligten werden entsprechend ihrer Zugangsrechte aus- und weitergebildet. Dies beinhaltet das Grundverständnis des Gesamtkonzepts sowie ausreichende Kenntnisse zu Datenschutz und Datensicherheit. Nur diejenigen Mitarbeiter/innen, welche die Gefahren kennen, sind in der Lage, diesen aktiv entgegenzuwirken. Aus- und Weiterbildung im Bereich Sicherheit stellt dabei einen zentralen Punkt für die Wirksamkeit eines Sicherheitskonzepts dar.

zur Übersicht

A7) Mehrstufige Sicherheitsebenen
Es werden unterschiedliche Sicherheitsebenen im Sicherheitskonzept miteinander kombiniert. Es kann immer sein, dass eine Sicherungsfunktion - aus welchen Gründen auch immer - vorübergehend ausfällt. Dadurch sollte aber nicht das Ganze zu schützende System tangiert werden. Diese Mehrstufigkeit gilt sowohl für die technischen Lösungen als auch für die beteiligten Mitarbeiter/innen.

zur Übersicht

A8) Beteiligte PCs, Software und Netzwerke
Die beteiligten PCs und Netzwerk-Komponenten werden entsprechend den in den Sicherheitsstandards festgelegten Beschreibungen konfiguriert und ausgestattet. Bei einem Arbeits-PC, der dem Sewecom-Standard entspricht, dürfen dabei keine risikovollen Zugriffe von außen erlaubt werden. Insbesondere Software mit Serverfunktionalität darf nur installiert werden bzw. bleiben, wenn dies ausdrücklich erlaubt und für die Arbeit notwendig ist. Auch bei der Hardware dürfen lediglich unbedenkliche Komponenten verwendet werden. Gefahren, die zum Beispiel durch unverschlüsselte Funk-Komponenten (z.B. Maus, Tastatur) entstehen können, wird durch die konkreten und jeweils aktuellen Sicherheitsstandards ebenfalls entgegengewirkt.
Alle beteiligten PCs und Netzwerke gehen ausschließlich über einen gesicherten Zugang ins Internet. Dabei sind nur die notwendigen Internetdienste (http, https, ftp,...) freigeschaltet. Jeglicher Datentransfer - auch der Zugang zum Internet - wird durch Firewall- und Viruswall-Lösungen gesichert.

zur Übersicht

B) Internet-Technik (ggf. extern)

B1) Auswahl und Verpflichtung externer Dienstleister
Nicht jede Organisation ist in der Lage, eine eigene Infrastruktur aufzubauen, sondern muss gegebenenfalls auf externe Dienstleister zurückgreifen. Externe Dienstleister (z.B. Internet-Service-Provider) können dabei aber eine erhebliche Sicherheitslücke darstellen. Nur Dienstleister, die in der Sicherheitsthematik ausreichend qualifiziert sind, sind im Sinne des Sewecom-Ansatzes vertretbar. Die internen Daten werden hier schließlich in die Hände von Dritten gegeben. Ein eigenes Sicherheitskonzept der Organisation nützt in diesem Fall also nichts, wenn nicht auch alle beteiligten externen Dienstleister ein angemessenes Sicherheitskonzept vorweisen können und die Einhaltung dieses Konzeptes vertraglich gegenüber der Organisation garantieren.

zur Übersicht

B2) Technische Sicherheits-Infrastruktur
Vor allem die technische Infrastruktur (Server, VPN, Firewall, Viruswall) ist in der konkreten Ausgestaltung  eine Frage der Finanzen, da es sich um dauerhafte Folgekosten (intern: Personal und Technik / extern: Dienstleistung) handelt. Dem Niveau an Sicherheit sind dabei keine Grenzen gesetzt. Gleiches gilt entsprechend für die Kosten. Ein angemessenes Maß an Sicherheit ist dabei allerdings nur zu erreichen, wenn die technischen Komponenten nicht veraltet sind, Sicherheitslücken bei Hard- und Software regelmäßig geschlossen werden und die verantwortlichen Mitarbeiter/innen kontinuierlich weitergebildet werden. Kann dies innerhalb der Organisation nicht gewährleistet werden, hilft unter Umständen ein externer Dienstleister, das Sicherheitsniveau zu erhöhen, wenn jener diese Punkte zuverlässig gewährleisten kann. Die technischen Komponenten sollten dabei den Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnologie) entsprechen: www.bsi.de.

zur Übersicht

B3) Sichere Server-Infrastruktur
Die Daten werden ausschließlich auf einem Server gespeichert, der höchsten Sicherheitsanforderungen genügt. Die Verbindung zum Internet wird dabei durch Firewall- und Viruswall-Lösungen gesichert, die dem aktuellen Stand der Technik entsprechen.

zur Übersicht

B4) VPN - virtual private network
Falls die Technik nicht ausschließlich im eigenen Haus realisierbar ist, kann die  Vernetzung über ein getunneltes VPN geschehen oder über Standleitungen bzw. Dial-In. Der Sewecom-Ansatz hat ein geschlossenes Netzwerk zum Ziel. Das Eindringen von Unbefugten muss also auch in diesem Falle effektiv abgewehrt werden. Notwendige Sicherheitsfaktoren sind im Falle eines VPN: Verschlüsselung, Authentifizierung und Zugangskontrolle, eingebettet in ein schlüssiges Vernetzungskonzept.

zur Übersicht

B5) Administrative Zugänge zu Servern besonders gesichert
Die administrativen Zugänge sind also auf keinen Fall direkt über das Internet erreichbar, sondern (falls nicht im eigenen Haus möglich) über ein virtual private network (VPN), das den oben beschrieben Sicherheitsanforderungen entspricht.

zur Übersicht

B6) Kommunikationslösung geschieht webbasiert
Eine Kommunikationslösung über das Internet ist mit Kunden und Klienten per gängigen E-Mail-Protokollen nicht vertretbar. Der Verschlüsselungsvorgang ist zu kompliziert und wird in der Praxis von Kunden/Klienten kaum genutzt. Webbasierte Mail ist hier sinnvoll, weil sie nutzerfreundlich zu realisieren ist und den beschriebenen Gefahren entgegenwirken kann. Die Dimensionen von Datensicherheit können dadurch verlässlich garantiert werden: Vertraulichkeit, Verbindlichkeit, Integrität. Außerdem die  Authentizität der Organisation. Bezüglich der Kunden / Klienten kann die Organisation selbst bestimmen, ob sie von den Nutzern Authentizität oder Anonymität erwartet. Sämtliche Kommunikationsverläufe verbleiben also auf dem Server der Organisation und können so gesichert und vor unbefugten Zugriffen geschützt werden.

zur Übersicht

B7) SSL-Server-Zertifizierung nach Signaturgesetz
Um den höchsten gesetzlichen Standards für Verschlüsselungstechnik zu genügen, wird ein nach deutschem Recht anerkannter Zertifizierer gewählt. Dieser muss von der zuständigen Regulierungsbehörde für Post und Telekommunikation (www.regtp.de) für die Ausstellung von Sicherheits-Zertifikaten zugelassen sein. Mit einer Zertifizierung durch eine anerkannte Zertifizierungsinstanz ist dann auch im Internet glaubwürdig nachzuvollziehen, dass es sich bei dem Internet-Angebot einer bestimmten Organisation auch wirklich um diese selbst handelt (Authentifizierung).

zur Übersicht

B8) Intranet besonders gesichert
Ein Intranet stellt im hier beschriebenen Sinne eine Plattform dar, über die sich Mitarbeiter/innen intern vernetzen. Insofern stellt es auch eine sinnvolle Ergänzung einer Kommunikationsplattform für das Internet dar, wie sie durch den Sewecom-Standard sicher ermöglicht werden kann. Ein Intranet enthält vertrauliche Informationen eines  einer Organisation. Ein Intranet nach dem Sewecom-Standard wird strengsten Anforderungen unterworfen. Auch hier ist die geregelte Zugangskontrolle mit Authentifizierung der zentrale Ansatzpunkt, der mit der Vergabe einer eindeutigen internen IP-Adresse ergänzt wird. Durch eine entsprechende Firewallkonfiguration wird ein direkter Zugriff aus dem Internet abgewehrt.

zur Übersicht

C) Darstellung nach Außen

C1) Aufklärung der Kunden / Klienten
Die Nutzer (Kunden/Klienten) der Kommunikationsplattform werden auf mögliche Gefahren bezüglich PC und Internetzugang aufmerksam gemacht. Es werden zudem Hinweise und / oder Links bereitgestellt, die dazu beitragen können, den Zugang und die PCs ebenfalls angemessen sicher zu machen. (PC-Sicherheits-Tipps)

zur Übersicht

C2) Erklärung zu Datenschutz und Datensicherheit / Privacypolicy
Die Nutzer werden an deutlich sichtbarer Stelle der Website über die Sicherheitspolitik der Organisation in Kenntnis gesetzt. Insbesondere auf die Frage der Speicherung und Löschung von Daten wird hingewiesen. Der Umgang mit den IP-Adressen als Datenspuren muss ebenfalls beschrieben werden.
Die IP-Adressen sollten dabei vom Systemadministrator für eine begrenzte Zeit aufbewahrt werden. Dies dient zum Schutz vor möglichen Angriffen aus dem Internet.

zur Übersicht

Weiteres

Zum Archiv früherer Versionen
Weiterentwicklung des Standards
Zu den PC-Sicherheits-Tipps

Sewecom-Standard aktuell

Stand 29.08.2002
© 2002 by .etc EDV Training Consulting GmbH, Mainz

weiter