Sicherheitsrichtlinien für Netzwerk- und Internetnutzung des Unternehmens/der Behörde...

Transkript

1 Sicherheitsrichtlinien für Netzwerk- und Internetnutzung des Unternehmens/der Behörde Sinn und Zweck der Sicherheitsrichtlinien Schäden an dem Computernetzwerk können katastrophale Auswirkungen auf das Unternehmen/die Behörde bis hin zum völligen Ausfall produktiver Arbeit einzelner oder gar aller Geschäftsbereiche haben. Das Unternehmens/Behördennetzwerk, von dem jeder Rechner ein Teil ist, muss deshalb vor unbefugter Kenntnisnahme, Änderung und Zerstörung von Daten geschützt werden. Die Integrität, Vertraulichkeit und Verfügbarkeit des Systems ist ohne die konsequente und sorgfältige Mitwirkung aller Nutzer nicht zu erreichen. Die nachfolgenden Richtlinien verdeutlichen mögliche Risikoquellen und bieten entsprechende Vorsorgemaßnahmen an.... Begriffsklärung und Definition Hardwareressource: Computer, Eingabe- und Ausgabegeräte wie Tastaturen und Bildschirme, Speichergeräte wie Festplatten, Bandlaufwerke und optische Aufzeichnungsgeräte; Netzwerk: Summe der leitergestützt (z.b. per Kabel) oder nicht leitergestützt (z.b. per Funk) verbundenen Hardwareressourcen einschließlich der Verbindungswege und - elemente innerhalb des Unternehmens/der Behörde; Zugriff: Aufrufen, Lesen, Schreiben, Speichern, Verändern, Löschen oder Übertragen von Informationen; (Beispiele für weitere erklärungsrelevante Begriffe:) Betriebssystem/Server/Smartcard/Systemadminstration/Mailadministration... Gegenstand der Vereinbarung Die Sicherheitsrichtlinien betreffen den Zugriff auf das Unternehmens/Behördennetz, den Internetzugang sowie die private Nutzung des Netzwerks. Jeder Zugriff auf mit dem Netz verbundene Hardwareressourcen ist ein Zugriff auf das Unternehmens/Behördennetz. Dies gilt auch für nur vorübergehend verbundene Hardware, wie z.b. Laptops. Der Internetzugang ist die über das Netzwerk oder direkt über den eigenen, mit dem Netzwerk verbundenen Rechner hergestellte Verbindung zu Hardwareressourcen außerhalb des Unternehmens/der Behörde.

2 Private Nutzung ist die Nutzung von Hardwareressourcen, die nicht der Erfüllung arbeitsvertraglicher Pflichten dient.... Zugangsschutz Der Zugang zum Netzwerk ist nur den befugten Mitarbeitern des Unternehmens/der Behörde zu gestatten. Bei Abwesenheit sind daher geeignete Sicherheitsmaßnahmen gegen unbefugten Zugang zu ergreifen. Zimmertüren sind bei Arbeitsende und längerer Abwesenheit zu verschließen. Bei vorübergehender Abwesenheit ist eine Abmeldung beim Netzwerk geboten, die einen Zugriff auf den Rechner und das Netzwerk nur bei erneuter Anmeldung und Eingabe eines Passworts erlaubt. Ermöglicht das Betriebssystem keinen passwortgeschützen Anmeldevorgang, so ist ein passwortgesicherter Bildschirmschoner zu verwenden/sind die Zimmertüren auch bei kurzer Abwesenheit zu verschließen. Der Zugangsschutz wird durch biometrische Kontrollen in folgender Form gewährleistet: Zugriffsschutz Das Ausmaß einer möglichen Gefährdung der Netzwerksicherheit hängt davon ab, auf welcher Zugriffsebene sich der Benutzer befindet. a) Ist der Rechner nicht mit dem Netzwerk verbunden (lokaler Zugriff), reichen einfache Vorsichtsmaßnahmen. b) Ist der Rechner mit einem internen Netzwerk (Interner Netzwerkzugriff) verbunden, sind erhöhte Vorsichtsmaßnahmen erforderlich. c) Verfügt der Rechner über einen eigenen Datenfernübertragungszugang (z.b. eigener Anschluss an das Telefonnetz), sind hohe Vorsichtsmaßnahmen erforderlich. d) Unabhängig von der Zugriffsebene sind für Rechner, die zentrale Dienste erbringen (wie z.b. Mailserver) oder sensible und/oder umfangreiche Daten enthalten, hohe Vorsichtsmaßnahmen erforderlich. Der Zugriffsschutz wird vor allem durch eine Autorisierung mittels (z.b.) Smartcard und Passwort gewährt. Die Sicherheit des Passworts wird hauptsächlich durch seine Erratbarkeit, Gültigkeitsdauer und Aufbewahrungsart beeinflusst. Einfache Vorsichtsmaßnahmen schützen lokale Daten; der Zugangsberechtigte muss keinen Zugriff über das Netz befürchten. Die Mindestlänge des Passworts beträgt 6 Zeichen, von denen mindestens zwei keine Buchstaben sein dürfen. Das Passwort ist jährlich/halbjährlich/... zu wechseln. Das Passwort sollte an einem geheimen Ort in der

3 Nähe des Rechners aufbewahrt werden. Geheim ist der Ort nur, wenn er weder bekannt ist, noch leicht erraten werden kann. Bei erhöhten Vorsichtsmaßnahmen sind Passworte mit einer Mindestlänge von 8 Zeichen zu verwenden, wobei Namen und Worte, die im Lexikon zu finden sind, vermieden werden und mindestens zwei Zeichen keine Buchstaben darstellen sollen. Das Passwort ist alle 100/50/...Tage zu wechseln. Angaben zum Passwort dürfen nicht in der Nähe des Rechners aufbewahrt werden. Bei hohen Vorsichtsmaßnahmen sind Passworte mit einer Mindestlänge von 12 Zeichen zu verwenden, wobei Namen und Worte, die im Lexikon zu finden sind, vermieden werden sollen und mindestens zwei Zeichen keine Buchstaben darstellen dürfen. Das Passwort darf ausschließlich an einem zentralen, zugangsgeschützten Ort aufbewahrt werden. Jede Hardwareressource muss im Notfall (z.b. Tod, Krankheit) und bei Mitarbeiterwechsel für andere Personen nutzbar sein. Das Passwort ist daher in geeigneter Form vor Kenntnisnahme geschützt und in einer Weise, die eine leichte Zuordnung ermöglicht, an einem zentralen Ort zu hinterlegen. Dies kann auch in elektronischer Form geschehen. Der Zugang zum Netzwerk wird durch die folgenden Maßnahmen zusätzlich gesichert. a) Begrenzung fehlerhafter Anmeldungsversuche: Wer das Passwort mehr als dreimal fehlerhaft eingibt, dessen Zugang wird gesperrt. b) Zeitliche Begrenzung der Anmeldeberechtigung: Die Möglichkeit zur Anmeldung ist auf den Zeitraum von 6.00 bis Uhr begrenzt. Darüber hinausgehende Anmeldeberechtigungen können gesondert vereinbart werden. c) Automatische Abmeldung bei längerer Nichtbenutzung: Wird ein Rechner länger als 30 Minuten nicht benutzt, so erfolgt eine automatische Abmeldung des Benutzers.... Schutz der Verfügbarkeit Die Verfügbarkeit der Hardware kann auch durch unangemessene Nutzung der Netzwerkressourcen in erheblichem Maße bis hin zum Ausfall des Netzes beeinträchtigt werden. Im Interesse aller Nutzer ist daher Folgendes zu vermeiden: Spiele, die zu Datenverkehr im Netzwerk führen, insbesondere Spiele mit zwei oder mehr über das Netzwerk verbundenen Rechnern (interaktive Spiele); Übertragen (Download und Upload) größerer Datenmengen (Filme, Musik, Bilder, Programme und Ähnliches) zu anderen als dienstlichen Zwecken; dauerhafte oder automatische Verbindungen mit anderen Rechnern. Von folgenden Möglichkeiten sollte nur mit angemessener Zurückhaltung Gebrauch gemacht werden:

4 Versenden von Mails an mehr als einen Empfänger oder an eine Gruppe von Empfängern. Versenden von Anlagen (attachments) größeren Umfanges oder an eine Vielzahl von Personen. Soweit Informationen vom Adressaten an anderer Stelle eingesehen oder abgerufen werden können, ist der Hinweis auf die entsprechende Quelle (z.b. einen Link) der Versendung der Information grundsätzlich vorzuziehen. Zu dienstlichen Zwecken kann von dem Vorstehenden abgewichen werden.... Elektronische Post Beim Umgang mit elektronischer Post sind nicht schutzbedürftige, schutzbedürftige und sensible Daten zu unterscheiden. a) Nicht schutzbedürftig sind unbeschränkt zugängliche (z.b. zur Veröffentlichung bestimmte Nachrichten) und für den Versender ausschließlich die eigene Person betreffende Informationen ohne Bezug zur Arbeitsstelle. b) Schutzbedürftig sind alle anderen Daten. c) Sensibel sind alle die Intimsphäre einer Person betreffende (z.b. medizinische) Daten, Betriebsgeheimnisse und alle als sensibel gekennzeichneten Daten. Vertraulichkeit: Bei der Übertragung von Daten im Netz ist Vertraulichkeit ohne Vorsorgemaßnahmen nicht gewährleistet. Schutzbedürftige Daten sind daher auf gesichertem Wege oder verschlüsselt, sensible Daten stets verschlüsselt zu übertragen. Integrität: Im Netz ohne Vorsorgemaßnahmen übertragene Daten können spurenlos verändert werden. Die Integrität (unveränderter Inhalt) der Daten ist im Zweifelsfall und bei sensiblen Daten auf geeignete Weise (z.b. durch Verwendung einer digitalen Signatur oder persönliche Nachfrage) sicherzustellen. Auf Wunsch wird durch die Systemadministration ein abgestimmtes Verschlüsselungssystem, wie beispielsweise PGP, zur Verfügung gestellt. Verfügbarkeit: Wer eine -Adresse für die allgemeine Kommunikation zur Verfügung stellt oder erhält, hat diese regelmäßig auf Posteingang hin zu überprüfen. Werden Zugangshindernisse oder -verzögerungen bekannt, sind sie der Mailadministration unverzüglich mitzuteilen. Längerfristige Abwesenheit (z.b. bei Krankheit oder Urlaub) oder Adressänderungen sind auf geeignete Weise (z.b. durch automatische Antwortmitteilungen Autoresponder) kenntlich zu machen. Empfängerschutz: Texte sind möglichst in einem Format zu übertragen, das keine ausführbaren Bestandteile (Makros) enthält, z.b. als Rich-Text-Files (rtf). Jede muss den Namen und die -Adresse des Absenders, den Zeitpunkt der

5 Absendung (Datum und Uhrzeit) sowie eine Wiedergabe des Namens des Absenders als Abschluss der Nachricht enthalten. Statusverändernde Erklärungen, wie z.b. Kündigungen, dürfen nicht ausschließlich per E- Mail abgegeben werden. Es ist schonend mit den Übertragungskapazitäten umzugehen, z.b. durch - zurückhaltenden Gebrauch von Eintragungen in Mailing-Listen, - das Beschränken des Versendens umfangreicher Dateien (wie zumeist Bilder und Grafiken) auf notwendige Fälle, - Nutzung der Möglichkeit des zeitversetzten Sendens.... Virenvorsorge Der Internetzugang eröffnet ein weites Risikofeld für das Eindringen von Viren, Trojanern und sonstigen unerwünschten Programmen. Insbesondere dort, wo hohe Sicherheitsmaßnahmen erforderlich sind oder sensible Daten verwaltet werden, sind sicherheitskritische Browserfunktionen (z.b. ActiveX) im Regelfall zu deaktivieren. Die Systemadministration ist bei der Anpassung des Browsers gerne behilflich. Umgang mit mobilen Datenträgern (z.b. Disketten und CD-ROM): Mobile Datenträger dürfen nur nach sorgfältiger Virenkontrolle am Rechner verwendet oder mit dem Netzwerk verbunden werden. Umgang mit Downloads: Soweit das Herunterladen von Programmen oder Daten erforderlich ist, sind diese möglichst von den Systemdateien getrennt abzuspeichern und vor der Verwendung sorgfältig auf Virenfreiheit zu untersuchen. Umgang mit s: s unbekannter Absender sind mit entsprechender Vorsicht zu handhaben, dazugehörige Anlagen keinesfalls ungeprüft zu öffnen. Warnmeldungen über Virengefahren oder Ähnliches per sind auch beim Anschein höchster Dringlichkeit nur nach Absprache mit der Systemadministration/dem Sicherheitsbeauftragten/dem Datenschutzbeauftragten weiterzugeben. In einer Warnmeldung vorgeschlagene Abwehrmaßnahmen dürfen keinesfalls ohne Absprache mit der Systemadministration/dem Sicherheitsbeauftragten/dem Datenschutzbeauftragten durchgeführt werden.... Nutzungsgrundregeln Die Anwender können den Rechner, insbesondere den Internetzugang, außerhalb der Arbeitszeiten auch für private Zwecke nutzen. Private Daten dürfen die Anwender nur getrennt von dienstlichen und vorübergehend auf

6 den unternehmens-/behördeneigenen Rechnern speichern. Die passwortgesicherte Speicherung von Daten ist nur nach Rücksprache mit der Systemadministration zulässig. In jedem Fall ist sicherzustellen, dass auf im Rahmen des Arbeitsverhältnisses gespeicherte Daten (Arbeitsergebnisse) auch bei vorübergehender Abwesenheit jederzeit zugegriffen werden kann (z.b. durch Hinterlegung des Passworts an geeigneter Stelle). Die Nutzung der Internetanbindung muss sich in einem angemessenen Rahmen halten. Insbesondere bei der Suche nach Informationen sind stets Zeitaufwand und Verbindungskosten mit dem möglichen und erzielten Resultat abzuwägen. Das Speichern (Herunterladen) von Daten gesetzeswidrigen oder pornographischen Inhalts ist in jedem Fall unzulässig. Entgeltpflichtige Internetangebote dürfen nur nach ausdrücklicher vorheriger Zustimmung des Arbeitgebers genutzt werden. Informationen, die auf andere Weise als durch Nutzung des Internet (z.b. durch telefonische Auskunft, Nachfrage bei Kollegen) schneller und/oder preisgünstiger zu erhalten sind, sollen regelmäßig nicht im Internet abgefragt werden. Aus Gründen des System- und Netzwerkschutzes darf keine Software installiert werden, die nicht von der Systemadministration freigegeben wurde. Für Entwicklungs- und EDV- Abteilungen können Ausnahmeregelungen getroffen werden. Die Nutzer sind verpflichtet, nur unter der eigenen Benutzerkennung zu arbeiten. Verbindungen und Programme sind nur durch das programmgemäß vorgesehene Verfahren zu beenden (also z.b. keinesfalls durch Ausschalten des Rechners). Schäden und Kosten, die aus einer vereinbarungswidrigen Nutzung der Rechner und des Netzes erwachsen, hat der Mitarbeiter zu tragen. Dies gilt insbesondere für die unberechtigte Nutzung entgeltpflichtiger Internetangebote.... Eigene Kontroll- und Meldepflichten Der Bestand an Daten und Software ändert sich auf jedem Rechner unter anderem durch Speicherung, Updates und Downloads. Unerwartete Änderungen und Vorgänge werden am ehesten durch denjenigen bemerkt, der regelmäßig am jeweiligen Computer arbeitet. Die Aufmerksamkeit der Anwender ist daher die beste Voraussetzung für die Sicherheit und Verfügbarkeit des eigenen Systems. Wiederholt auftretende Fehlermeldungen, deren Ursache nicht ohne weiteres erkennbar ist, sind der Systemadministration mitzuteilen. Das Gleiche gilt, wenn die Verbindung zum Internet ausfällt oder sich nicht nur vorübergehend erheblich verlangsamt oder s

7 nicht, verfälscht, unvollständig oder nicht nur unerheblich verspätet übertragen (empfangen oder gesendet) werden.... Programmierung und Administration Soweit der Rechner für eigene Programmierung oder Systemadministration genutzt wird, ist er beim Testen von Wechselwirkungen mit anderen Programmen oder Rechnern in einer gesicherten Umgebung einzusetzen oder ggf. vorübergehend vom Netzwerk zu trennen.... Datensicherung Die Verfügbarkeit von Programmen und Daten wird durch regelmäßige Speicherung der Daten sichergestellt. Auch ein zentrales Sicherungssystem kann wegen der Vielfalt möglicher Störungsquellen den jederzeitigen Zugriff insbesondere auf lokal verarbeitete Daten nur eingeschränkt gewährleisten. In eigener Verantwortung durchgeführte Sicherungen sollten nach den folgenden Grundregeln erfolgen: Die Daten sollen auf mindestens drei verschiedenen Datenträgern gesichert werden, von denen immer die älteste Version durch die aktuelle Datensicherung überschrieben wird. Lässt die Größe des Datenbestandes eine dreifache Vollsicherung (Sicherung aller Dateien) nicht zu, so ist bei jeder dritten Sicherung eine Vollsicherung vorzunehmen. Die Dokumentation über die Datensicherung muss den Zeitpunkt (Wann), Art um Umfang der Sicherung (Vollsicherung/Differenzsicherung), den oder die Rechner, dessen Daten gesichert wurden, sowie die für die Sicherung verwendete Hard- und Software angeben. Die aktuellste Sicherung ist, soweit möglich, mit einem Passwort zu schützen, und an vom Arbeitsplatz räumlich getrennter Stelle und möglichst sicher vor Beschädigung oder unbefugtem Zugriff aufzubewahren. Altdaten, die nicht mehr benötigt werden, sind in regelmäßigen Abständen von den Datenträgern zu entfernen.... Datenschutz Zur Vereinfachung der internen Kommunikation, zu Zwecken der Netzwerkinstandhaltung sowie zur Wahrung gesetzlicher oder vertraglicher Mitteilungspflichten werden persönliche Daten der Netzteilnehmer gespeichert und verarbeitet. Der vertrauliche Umgang mit den Daten wird nach Maßgabe der gesetzlichen Bestimmungen und der Datenschutzrichtlinien des Unternehmens/der Behörde gewährleistet. Verarbeitet werden insbesondere Name, dienstliche Anschrift und -Adresse der Anwender. Über die gespeicherten Daten erteilt das Unternehmen/die Behörde auf Anfrage Auskunft. Auf Wunsch werden die persönlichen Daten gelöscht, soweit ihre Speicherung nicht aus

8 arbeitsvertraglichen oder den unter Abs. 1 genannten Gründen zwingend erforderlich ist. Soweit die Anwender selbst personenbezogene Daten verarbeiten, gilt Folgendes: a) Der Mitarbeiter ist verpflichtet, mit personenbezogenen Daten achtsam umzugehen. Er hat die betrieblichen/behördlichen Datenschutzmaßnahmen zu beachten. a) Ihn trifft im Hinblick auf personenbezogene Daten insbesondere die Pflicht: - die vorgesehenen Maßnahmen für die Zugangskontrolle zum Internetzugang zu beachten und dabei vor allem Passwörter und Benutzernamen streng vertraulich zu behandeln; - Datenträger, die personenbezogene Daten enthalten, sorgsam und für Unbefugte unzugänglich aufzubewahren; - geeignete Aufzeichnungen über Zeitpunkt (Wann) und Inhalt (Was) übermittelter und/oder erfasster personenbezogener Daten zu führen, soweit dies der betrieblichen/behördlichen Vereinbarung entspricht; - Schutzvorkehrungen bei der Übertragung personenbezogener Daten (wie z.b. Verschlüsselungssoftware) zu verwenden, soweit dies nach betrieblicher/behördlicher Vereinbarung vorgesehen ist, und in Zweifelsfällen eine vertrauliche und sichere Übertragungsform zu wählen; - wenn der Kreis der empfangsberechtigten Personen etwa durch eine entsprechende Liste dem Mitarbeiter bekannt gegeben wurde, personenbezogene Daten nur an diese Kommunikationspartner zu übermitteln. Versionsnummer der Sicherheitsrichtlinien: 1.0 vom......