(Stand:
Juli 2003)
Anlage
zum
RdErl. v. 25. 1. 2000 -
Sicherheitsregelungen
für die externe Fernwartung
in der Landesverwaltung
Die nachfolgenden Sicherheitsregelungen
ergänzen die Maßnahmeempfehlungen für den mittleren Schutzbedarf des
IT-Grundschutzhandbuches des Bundesamtes für Sicherheit in der
Informationstechnik. Die Anwendung des IT-Grundschutzhandbuches ist mit RdErl.
des Ministeriums für Inneres und Justiz vom 22. 8. 1998 (SMB1. NRW. 20025)
empfohlen worden.
Aus Sicherheitsgründen ist es
sinnvoll, auf externe Fernwartung zu verzichten. Sollte sich nach Prüfung des
Aufgabenträgers ergeben, dass auf eine externe Fernwartung nicht verzichtet werden
kann, so sind die Gründe aktenkundig zu machen.
Zusätzliche Sicherungsmaßnahmen:
1. Aufbau der Verbindung
Der Aufbau der Verbindung für eine
externe Fernwartung sollte immer vom lokalen IT-System initiiert werden. Davon
kann aus technischen, wirtschaftlichen oder organisatorischen Gründen abgesehen
werden, wenn die Behörde vor dem Aufbau der Verbindung ihr Einverständnis
erteilt hat. Hierzu muss von der Behörde eine verantwortliche Person benannt
werden.
2. Authentifizierung
Das externe Wartungspersonal muss sich
zu Beginn der Wartung authentisieren. Hierzu sollten Einmalpasswörter verwendet
werden, die am Ende der Sitzung vom Systemverwalter zurückgesetzt werden. Der
Behörde ist freigestellt, weitere Authentifizierungsmechanismen einzusetzen.
3. Protokollierung
Alle Tätigkeiten bei der Durchführung
der externen Fernwartung müssen auf dem zu wartenden IT-System protokolliert
werden. Im Einvernehmen mit der Behörde kann auch eine zentrale Protokollierung
vorgenommen werden, z.B. im betreuenden Rechenzentrum.
4. Einschränkung der Rechte des
Wartungspersonals
Das Wartungspersonal sollte nicht die
vollen Administrationsrechte besitzen. Falls in besonderen Fällen darauf nicht
verzichtet werden kann, hat der System-Verwalter vor Ort den Ablauf der Fernwartung
über die gesamte Dauer mitzuverfolgen.
5. Personenbezogene Daten
Datenverarbeitungssysteme sind
grundsätzlich so zu gestalten, dass bei ihrer Wartung nicht auf
personenbezogene Daten zugegriffen werden kann. Sofern dies nicht gewährleistet
ist, hat die Daten verarbeitende Stelle durch technische und organisatorische
Maßnahmen sicherzustellen, dass nur auf die für die Wartung unbedingt
erforderlichen personenbezogenen Daten zugegriffen werden kann.
6. Benutzerkennung für das
Wartungspersonal
Für das Wartungspersonal ist auf dem
IT-System eine eigene Benutzerkennung einzurichten unter der alle
Wartungsarbeiten durchgeführt werden.
7. Zwangslogout
Wird die Verbindung zur
Fernwartungsstelle unterbrochen, so muss der Zugriff auf das System durch einen
Zwangslogout beendet werden.
8. Abbruch der Fernwartung
Es muss jederzeit die Möglichkeit
geben, die Fernwartung von Seiten der Mitarbeiter der Behörde abzubrechen.
9. Daten oder Programme des
Wartungspersonals
Werden während der Wartung Daten oder
Programme auf dem lokalen IT-System angelegt, so dürfen diese nur unter
besonderer Kennung des Wartungspersonals in einem eigenen Verzeichnis abgelegt
werden.
In Ergänzung zu den vorstehenden Sicherheitsregelungen sind für die Fernwartung vertragliche Regelungen, insbesondere hinsichtlich der Geheimhaltung der Daten sowie der Pflichten und Kompetenzen des externen Wartungspersonals zu treffen sowie auf die vorliegenden Sicherheitsregelungen Bezug zu nehmen. Der Vertrag ist mit den von der Fernwartung betroffenen Ressorts sowie dem Netzbetreiber abzustimmen.