DFN-Checkliste IT-Sicherheit

Transkript

1 DFN-Checkliste IT-Sicherheit für die Leitungsebene von Hochschulen und öffentlich geförderten Forschungseinrichtungen - Ein Leitfaden zur Bewertung der Sicherheit von IT-Infrastrukturen - DFN-Verein, Juni 2005, Version 2.0 Seite 1 von 9

2 1 Hintergrundinformationen Im Rahmen einer vom DFN-Verein organisierten Kanzlertagung wurde seitens der Kanzler Interesse an einer Checkliste zum Thema IT-Sicherheit geäußert. IT-Sicherheit muss dabei im Gesamtkontext der Geschäftsprozesse einer Einrichtung gesehen werden. Maßnahmen zur IT-Sicherheit müssen daran gemessen werden, welche Schäden und Folgeschäden auftreten können, wenn z.b. fehlende finanzielle Mittel zu schuldhaftem Unterlassen oder zu Handeln wider besseres Wissen führen. Ziel dieser Checkliste ist es, den Entscheidungsträgern und den IT-Verantwortlichen an Hochschulen und Forschungseinrichtungen auf geeignetem Abstraktionsniveau ein Werkzeug an die Hand zu geben, mit dem die an einer Einrichtung getroffenen Maßnahmen im IT-Sicherheitsbereich überprüft werden können. Dabei soll die Checkliste als Hilfsinstrument für alle Beteiligten dienen, um die Kommunikation untereinander strukturiert führen zu können. Zu betonen ist der Charakter als Checkliste. Es geht explizit nicht um die Bereitstellung umfassender und somit häufig schwer umsetzbarer Informationen, sondern um einen ersten - aber wichtigen - Schritt zur Bewertung zentraler Richtlinien (Policies) und Maßnahmen im IT-Sicherheitsbereich. Entsprechend den spezifischen Anforderungen jeder Einrichtung müssen weitere, detaillierte Schritte die hier aufgeführten Maßnahmen ergänzen. Aufgrund der vielschichtigen Anforderungen im Bereich IT-Sicherheit enthält die Checkliste neben organisatorischen und technischen Fragestellungen auch eine Reihe rechtlicher Aspekte. Beide Bereiche sind für die IT-Sicherheit gleichermaßen von Bedeutung. Die organisatorisch/technischen Fragestellungen werden in Kapitel 3, die rechtlichen in Kapitel 4 behandelt. Die Priorisierung der durchzuführenden Maßnahmen muss sowohl die potentielle Schadenshöhe als auch die Wahrscheinlichkeit des Eintretens eines Schadensfalls berücksichtigen. Die Reihenfolge der Fragestellungen in den Kapiteln 3 und 4 versucht dies generell abzubilden, im Einzelfall muss jedoch immer der konkrete Anwendungsbereich innerhalb einer Einrichtung betrachtet werden. So sind z.b. im Bereich der Hochschulverwaltung, in dem mit personenbezogenen Daten gearbeitet wird, andere Maßstäbe anzusetzen als in einem öffentlichen PC-Pool. Es muss deshalb mit Hilfe aller Beteiligten geprüft werden, in welchem Bereich und in welchem Umfang die Maßnahmen umgesetzt werden. Da die Entwicklung im IT-Sicherheitsbereich sehr dynamisch ist, werden auch in Zukunft Anpassungen dieser Checkliste notwendig sein. Sie wird deshalb bei Bedarf unter Berücksichtigung neuer Anforderungen überarbeitet. 2 Kontakt Weitere Informationen rund um das Thema Sicherheit im DFN und zu den vom DFN-Verein angebotenen Dienstleistungen im Bereich Sicherheit finden Sie unter Für Rückfragen und Kommentare zu dieser Checkliste stehen wir Ihnen gerne zur Verfügung unter sicherheit@dfn.de DFN-Verein, Juni 2005, Version 2.0 Seite 2 von 9

3 3 Organisatorisch / technische Fragestellungen 3.1 IT-Sicherheitsbeauftragter a) Gibt es einen IT-Sicherheitsbeauftragten, der als Ansprechpartner für den Bereich Sicherheit fungiert? b) Ist berücksichtigt, dass der IT-Sicherheitsbeauftragte nicht an eine Person gebunden ist, sondern als Rolle im Sinne einer Sicherheitsinstitution mit fester Telefonnummer oder Mailadresse etabliert ist? c) Wirkt der IT-Sicherheitsbeauftragte sowohl nach außen, insbesondere zum DFN-CERT, als auch nach innen? d) Ist der IT-Sicherheitsbeauftragte allen Mitarbeitern bekannt? Mögliche Folgen bei Nichtbeachtung: Verzögerung und ggf. Unterlassung der Bearbeitung und Beseitigung von Sicherheitsvorfällen. 3.2 Ausbildungsstand des IT-Personals a) Sind die Personen, die sicherheitsrelevante Komponenten bedienen, Zugriff auf sicherheitskritische Daten haben oder für Bereich IT-Sicherheit verantwortlich sind, ausreichend geschult? b) Werden Schulungen regelmäßig durchgeführt und aktuellen Anforderungen angepasst? Mögliche Folgen bei Nichtbeachtung: Falsch konfigurierte Systeme, die Hackern Tür und Tor öffnen. 3.3 Schutz vor Schadsoftware (siehe auch Kapitel 4.6) a) Gibt es eine Richtlinie zum Schutz vor Schadsoftware wie Viren oder Würmer? b) Ist der Einsatz von Virenscannern vorgeschrieben? c) Ist sichergestellt, dass diese stets über aktuelle Signaturen verfügen? d) Ist sichergestellt, dass stets alle erforderlichen Sicherheitsaktualisierungen wie Updates und Patches für Betriebssysteme und Anwendungsprogramme eingespielt werden? e) Wird ein Patch-/Update-Server betrieben, der unter der Hoheit der eigenen Einrichtung steht? Mögliche Folgen bei Nichtbeachtung: Systeme mit nicht geschlossenen Sicherheitslücken, die vor Allem für automatisierte Angriffe wie Würmer oder Bots anfällig sind. 3.4 Backup/Restore Konzept a) Gibt es ein dokumentiertes Backup/Restore Konzept für das Sichern und Wiederherstellen von Daten? b) Erfolgt eine inkrementelle Gesamtsicherung mit mehreren Sätzen von Backupmedien? c) Werden die Backupmedien physikalisch getrennt von den zu sichernden Geräten gelagert, z.b. in einem feuersicheren Safe und/oder einem Bankschließfach? d) Wird bei den Backupmedien auf den Datenschutz geachtet? e) Wird das Funktionieren des Backup/Restore Konzepts in Notfallübungen getestet? Mögliche Folgen bei Nichtbeachtung: Verlust wichtiger Daten. Preisgabe sensitiver Informationen. DFN-Verein, Juni 2005, Version 2.0 Seite 3 von 9

4 3.5 Logische Zugangskontrolle a) Existiert eine logische Zugangskontrolle zu den Daten auf den IT-Systemen? b) Gibt es für das Administrationspersonal Richtlinien für den Zugang zu Daten? c) Werden Zugriffe auf sensitive Daten protokolliert (Wer? Wann? Was?)? d) Ist den Beteiligten mitgeteilt worden, dass Zugriffe protokolliert werden? e) Existiert ein Mechanismus, der im Falle fehlgeschlagener Zugriffsversuche alarmiert? f) Werden Logfiles geschützt und sicher verwahrt? Mögliche Folgen bei Nichtbeachtung: Unautorisierter Zugang über das Netz. Nicht aufklärbare Angriffe von Innen, z.b. durch unzufriedene Mitarbeiter. 3.6 Physikalische Zugangskontrolle a) Sind sicherheitskritische Systeme wie - oder Benutzerverwaltungsserver in Räumen mit physikalischer Zugangskontrolle untergebracht? b) Sind die Geräte und ihre Komponenten gegen Diebstahl gesichert, z.b. angekettet oder abschließbar? c) Wird der Zugang zu den Komponenten protokolliert (Wer? Wann? Was?) Mögliche Folgen bei Nichtbeachtung: Unautorisierter physikalischer Zugang. Zerstörung oder Diebstahl von Komponenten. Preisgabe sensitiver Informationen. 3.7 Administrationskonzept a) Gibt es ein Administrationskonzept, in dem der für die Installation von Software zuständige Personenkreis festgelegt ist? b) Wird dieser Personenkreis so klein wie möglich gehalten, ist z.b. das Administrator- Passwort nur wenigen Personen bekannt? c) Sind die Systeme, Server wie Klienten, gehärtet, d.h. sind insbesondere nicht benötigte Systemdienste abgeschaltet? d) Ist sichergestellt, dass neue Systeme offline installiert und gehärtet werden? e) Ist sichergestellt, dass Nutzer selber keine Software installieren können? Mögliche Folgen bei Nichtbeachtung: Zusätzliche Software bringt zusätzliche, nicht vorhersehbare Schwachstellen ins System. Systeme, die während der Installation vernetzt sind, können schon während des Installationsvorgangs mit Schadsoftware infiziert werden. 3.8 Firewall a) Gibt es für die eingesetzten Firewalls Richtlinien, welche Dienste nach außen angeboten werden und welche Kommunikationsbeziehungen im Sinne einer Kommunikationsmatrix (innen nach außen und außen nach innen) zulässig sind? b) Sind diese Richtlinien dokumentiert und exakt implementiert? Mögliche Folgen bei Nichtbeachtung: Unautorisierter Zugang zu sensitiven Diensten (z.b. Datenbanken, Fileserver) über das Netz. Verstärkte Gefährdung notwendiger, nicht abschaltbarer Systemdienste wie Windows-RPC, die vor Allem für automatisierte Attacken anfällig sind. DFN-Verein, Juni 2005, Version 2.0 Seite 4 von 9

5 3.9 Richtlinien für den Betrieb a) Gibt es eine Richtlinie für Anschluss und Inbetriebnahme von externen Geräten wie Modems oder WLANs? b) Gibt es eine Richtlinie für den entfernten Zugriff auf das eigene Netz und ist dafür Sorge getragen, dass dieser ausschließlich gesichert (z.b. durch ein VPN) erfolgen kann? c) Wird die Einhaltung dieser Richtlinien kontrolliert und durchgesetzt? Mögliche Folgen bei Nichtbeachtung: "Seitenwege" ins Netz. Aushebeln von Sicherheitsrichtlinien und Umgehung technischer Sicherheitsmaßnahmen wie Firewalls Notfallkonzept a) Gibt es ein Notfallkonzept, das beschreibt, welche Maßnahmen in einem Notfall mit welcher Priorität durchzuführen sind? b) Sind die verantwortlichen Personen über das Notfallkonzept und ihre Rolle darin informiert? c) Sind die erforderlichen Informationsflüsse zwischen den verantwortlichen Personen klar definiert? Mögliche Folgen bei Nichtbeachtung: Verzögerung und ggf. Unterlassung der Bearbeitung und Beseitigung von Sicherheitsvorfällen Richtlinien für die Kommunikation a) Gibt es eine Richtlinie, die beschreibt, in welchen Fällen nach außen und innen verschlüsselt oder signiert elektronisch kommuniziert werden muss? b) Gibt es eine Richtlinie zum Versand bestimmter Dokumententypen, z.b..pdf statt.doc? c) Wird die Einhaltung dieser Richtlinien kontrolliert und durchgesetzt? Mögliche Folgen bei Nichtbeachtung: Preisgabe sensitiver Informationen, die z.b. in Form von Änderungsverfolgungen in Dokumenten "versteckt" sind. DFN-Verein, Juni 2005, Version 2.0 Seite 5 von 9

6 4 Rechtliche Fragestellungen 4.1 Benutzungsordnung a) Existiert eine Benutzungsordnung? b) Ist diese Benutzungsordnung allen Nutzern jederzeit zugänglich? c) Ist die Benutzungsordnung so verständlich formuliert, dass kein Erläuterungsbedarf besteht? Mögliche Folgen bei Nichtbeachtung: Keine ausreichende rechtliche Legitimation für möglicherweise notwendige Anpassungen der Nutzungsmöglichkeiten. 4.2 Nutzungsbeschränkungen a) Wurde eine Regelung in die Benutzungsordnung eingefügt, die gegenüber dem Nutzer im Missbrauchsfalle zu Nutzungsbeschränkungen bis hin zur Sperrung einzelner Dienste legitimiert? b) Wurde das Erfordernis vorheriger Abmahnung statuiert? Mögliche Folgen bei Nichtbeachtung: Keine zureichende Ermächtigungsgrundlage für Sanktionen bei erheblichem oder fortgesetztem Fehlverhalten durch einzelne Nutzer. 4.3 Umgang mit Daten a) Werden beim Umgang mit personenbezogenen Daten die einschlägigen Gesetze beachtet, mit anderen Worten: wird im Rahmen der Datenschutzgesetze des Bundes und der Länder, des Teledienstegesetzes, des Gesetzes über den Datenschutz bei Telediensten und des Mediendienste-Staatsvertrages, des Telekommunikationsgesetzes, den Hochschuldatenschutzverordnungen u.s.w. agiert? b) Werden die Grundsätze von Datensparsamkeit bzw. Datenvermeidung beachtet? c) Wird den Löschpflichten nachgekommen? Mögliche Folgen bei Nichtbeachtung: Sanktion als Straftat oder Ordnungswidrigkeit gegenüber den verantwortlichen Mitarbeitern. Bei bekannt werden drohen zudem Schäden für das Ansehen der Einrichtung. 4.4 Optimaler Informationsfluss Es kann zur Haftung für fremde, für Nutzer gehostete Informationen kommen, sobald Kenntnis von rechtswidrigen Handlungen/Informationen erlangt wird und die Informationen nicht unverzüglich entfernt oder gesperrt werden ( 11 TDG). a) Ist sichergestellt, dass innerhalb der gesamten Einrichtung eingehende Hinweise auf rechtswidrige Inhalte jederzeit an einen bestimmten, für Prüfung, Entfernung und Sperrung verantwortlichen Mitarbeiter (Rolle) weitergeleitet werden? Mögliche Folgen bei Nichtbeachtung: Annahme der positiven Kenntnis von fremden rechtswidrigen Inhalten mit der Folge des Verlusts der Haftungsprivilegierung aus 11 TDG. Die Einrichtung haftet dann wie für eigene rechtswidrige Inhalte. 4.5 Sperrung rechtsverletzender eigener Inhalte auf Servern Zivilrechtliche Ansprüche im Bereich der Onlinedienste richten sich häufig auf Unterlassung. DFN-Verein, Juni 2005, Version 2.0 Seite 6 von 9

7 a) Wurde eine Struktur geschaffen, die es technisch ermöglicht, eine Sperrung rechtsverletzender Inhalte zügig vorzunehmen? Mögliche Folgen bei Nichtbeachtung: Zusätzliche Schadenersatzforderungen. 4.6 Schutz vor Schadsoftware (siehe auch Kapitel 3.3) a) Werden bei Planung und Einsatz von Spam- und Schadsoftware-Abwehrstrategien die schützenswerten Interessen der an der Kommunikation Beteiligten gewahrt? b) Werden insbesondere das durch 206 StGB und das TKG geschützte Telekommunikationsgeheimnis, das informationelle Selbstbestimmungsrecht, datenschutzrechtliche Gesichtspunkte, das durch 303a StGB geschützte Interesse an der Datenintegrität sowie die Wissenschaftsfreiheit berücksichtigt? c) Existiert eine Betriebsregelung zur Behandlung von potenziell mit Schadsoftware verseuchten Mails? Wurden Nutzungsbedingungen zur Spam-Filterung aufgestellt? Mögliche Folgen bei Nichtbeachtung: Bei einer fehlenden Virenabwehr erfolgt ein Verstoß gegen die datenschutzrechtlichen Vorgaben für speichernde Stellen. Andererseits kann es bei einer fehlerhaften Ausgestaltung zu einer Verletzung des Fernmeldegeheimnisses kommen. 4.7 "Zu eigen Machen" von fremden Inhalten Durch das Anbringen von Hyperlinks auf fremde rechtswidrige Inhalte kann eine Haftung eintreten. a) Ist gewährleistet, dass fremde Inhalte vor dem Setzen von Links auf ihre Rechtmäßigkeit hin geprüft werden? b) Ist sichergestellt, dass eine verantwortliche Person bei Kenntnis nachträglicher Rechtswidrigkeit verlinkter Informationen den Link unverzüglich entfernt? Mögliche Folgen bei Nichtbeachtung: Haftung wie für eigene Inhalte gemäß 8 Abs. 1 TDG. 4.8 Verdacht auf Straftaten a) Ist sichergestellt, dass beim Verdacht auf Straftaten durch Nutzer von Onlinediensten rechtzeitig Beweise gesichert werden können, z.b. Ausdruck und Speicherung der Dateien sowie Informierung anderer Mitarbeiter als Zeugen? b) Wurden die Mitarbeiter darüber informiert, dass außer dieser Beweissicherung keine weiteren eigenmächtigen Ermittlungen angestellt werden sollen? Wurden die Mitarbeiter angewiesen, frühzeitig die Polizei oder Staatsanwaltschaft zu informieren, um gegebenenfalls Anzeige zu erstatten? c) Wurden die Mitarbeiter instruiert, bei Auskunftsverfahren an Strafverfolgungs- und Sicherheitsbehörden die formellen Anforderungen (ggf. Schriftlichkeit der Anordnung, Anordnung durch die zuständige Stelle etc.) zu prüfen? d) Ist sichergestellt, dass die Datenübermittlung bei einer Anfrage von diesen Behörden unverzüglich erfolgen kann? e) Wurde eine Person dafür verantwortlich erklärt zu prüfen, dass inhaltlich und umfänglich die richtigen Daten herausgegeben werden? DFN-Verein, Juni 2005, Version 2.0 Seite 7 von 9

8 4.9 Jugendschutz a) Wurden für Informationsangebote der Einrichtung Vorkehrungen zum Schutz vor Aufnahme jugendgefährdender Inhalte getroffen? b) Wenn nein, wurde ein Jugendschutzbeauftragter bestellt oder ggf. ein Dritter mit den Aufgaben eines Jugendschutzbeauftragten betraut? 4.10 Elektronische Signaturen a) Sind die Mitarbeiter über Einsatz und Rechtswirkungen elektronisch signierter Dokumente informiert? b) Wird bei der Verwendung von elektronischen Signaturen zwischen deren verschiedenen Hierarchie-Ebenen nach dem Signaturgesetz (einfache, fortgeschrittene oder qualifizierte Signatur) differenziert? Weitere Informationsquellen zu Rechtsfragen Von der Forschungsstelle Recht im DFN wurde ein umfangreiches Handbuch erstellt, das sich mit Rechtsproblemen von Providern befasst. Behandelt werden häufig wiederkehrende Fragestellungen aus den Bereichen Datenschutzrecht, Urheberrecht, Domainrecht, Haftungsrecht, Strafrecht und dem neuen Jugendschutzrecht. Die Themen werden anhand aktueller Beispiele aus der Rechtsprechung aufgearbeitet und in Übersichten veranschaulicht. Das Buch ist 2004 unter dem Titel "Recht der Access-Provider" beim C.H. Beck Verlag erschienen. Alle in der Checkliste referenzierten Quellen und Gesetze sowie eine Vertiefung der genannten rechtlichen Fragestellungen finden Sie unter DFN-Verein, Juni 2005, Version 2.0 Seite 8 von 9

9 Dokumentation Status IT-Sicherheit Diese Seite ist Bestandteil der DFN-Checkliste IT-Sicherheit. Sie haben hier die Möglichkeit, den Status ihrer Einrichtung in Bezug auf die Fragestellungen der Checkliste zu dokumentieren. Sie können das entsprechende Kästchen ankreuzen, wenn Sie für Ihre Einrichtung bzw. Ihren Verantwortungsbereich alle Fragen zu einem Thema vollständig positiv beantwortet haben oder kein Handlungsbedarf mehr besteht. Mit diesem Blatt erhalten Sie so einen schnellen Überblick über erledigte bzw. noch offene Fragestellungen zur IT-Sicherheit in Ihrer Einrichtung. Die DFN-Checkliste IT-Sicherheit finden Sie unter Organisatorisch / technische Fragestellungen 1 IT-Sicherheitsbeauftragter 2 Ausbildungsstand des IT-Personals 3 Schutz vor Schadsoftware 4 Backup/Restore Konzept 5 Logische Zugangskontrolle 6 Physikalische Zugangskontrolle 7 Administrationskonzept 8 Firewall 9 Richtlinien für den Betrieb 10 Notfallkonzept 11 Richtlinien für die Kommunikation Rechtliche Fragestellungen 1 Benutzungsordnung 2 Nutzungsbeschränkungen 3 Umgang mit Daten 4 Optimaler Informationsfluss 5 Sperrung rechtsverletzender eigener Inhalte auf Servern 6 Schutz vor Schadsoftware 7 "Zu eigen Machen" von fremden Inhalten 8 Verdacht auf Straftaten 9 Jugendschutz 10 Elektronische Signaturen DFN-Verein, Juni 2005, Version 2.0 Seite 9 von 9