RiLi-Fernzugriff

Aus ISMS-Ratgeber WiKi
Version vom 9. November 2024, 09:22 Uhr von Dirk (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie Ferzugriff und Fernwartung" Diese Richtlinie beschreibt Maßnahmen zur sicheren Nutzung von Remote-Zugängen auf IT-Systeme. Sie umfasst Authentifizierung, Verschlüsselung, Zugriffskontrollen und Überwachungsprotokolle, um den Schutz sensibler Daten und Systeme zu gewährleisten.

Einleitung

Die Sicherheitsrichtlinie für Fernzugriff und Fernwartung dient dazu, klare und verbindliche Regelungen festzulegen, um die Sicherheit, Integrität und Vertraulichkeit der IT-Systeme und Daten unserer Organisation zu gewährleisten. Diese Richtlinie legt die Standards und Verfahren fest, die von allen Mitarbeitern und externen IT-Dienstleistern einzuhalten sind, die auf unsere Systeme zugreifen oder diese warten, unabhängig von ihrem Standort.

Geltungsbereich

Diese Sicherheitsrichtlinie gilt für alle Mitarbeitenden der Organisation sowie für externe IT-Dienstleister, die Zugriff auf unsere IT-Systeme und Daten benötigen, sei es für Fernzugriff oder Fernwartung. Sie ist für alle Standorte und Abteilungen unserer Organisation verbindlich und umfasst alle Arten von IT-Systemen, einschließlich Servern, Netzwerken, Arbeitsstationen und mobilen Geräten.

Zielsetzung

Die Sicherheitsrichtlinie für Fernzugriff und Fernwartung verfolgt mehrere Ziele:

  • Gewährleistung der Sicherheit: Durch die Umsetzung strenger Sicherheitsmaßnahmen sollen Risiken wie unbefugter Zugriff, Datenverlust oder Datenschutzverletzungen minimiert werden.
  • Schutz der Vertraulichkeit: Die Richtlinie zielt darauf ab, sensible Informationen und Daten der Organisation vor unbefugtem Zugriff oder Offenlegung zu schützen.
  • Sicherstellung der Verfügbarkeit: Durch die Festlegung von Prozessen und Verfahren für den sicheren Fernzugriff und die Fernwartung sollen die Verfügbarkeit unserer IT-Systeme und Dienste gewährleistet werden.
  • Einhaltung gesetzlicher Vorgaben: Die Richtlinie trägt dazu bei, die Einhaltung geltender Datenschutz- und Sicherheitsvorschriften, einschließlich der Datenschutz-Grundverordnung (DSGVO), sicherzustellen.
  • Sensibilisierung und Schulung: Durch Sensibilisierungs- und Schulungsmaßnahmen sollen alle Mitarbeitenden und IT-Dienstleister für die Risiken und Best Practices im Zusammenhang mit Fernzugriff und Fernwartung sensibilisiert werden.

Gesetzliche Rahmenbedingungen

Die genaue Anwendbarkeit dieser Gesetze und Standards hängt von der Art des Geschäfts, dem Standort und anderen faktorspezifischen Bedingungen ab. Organisationen sollten ihre spezifischen Compliance-Anforderungen evaluieren und sicherstellen, dass ihre Servermanagementpraktiken diesen Anforderungen entsprechen. Hier einige Beispiele:

Datenschutzgrundverordnung (DSGVO)
  • EU-weite Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
  • Stellt Anforderungen an die Verarbeitung personenbezogener Daten, einschließlich Sicherheitsmaßnahmen.
Bundesdatenschutzgesetz (BDSG)
  • Deutsches Gesetz, das die DSGVO in Deutschland ergänzt und nationale Besonderheiten regelt.
  • Gibt zusätzliche Bestimmungen für den Datenschutz in Deutschland vor.
IT-Sicherheitsgesetz (IT-SiG)
  • In Deutschland regelt das IT-SiG die Sicherheit von informationstechnischen Systemen in sogenannten "kritischen Infrastrukturen".
  • Verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung von angemessenen Sicherheitsmaßnahmen.
Telekommunikationsgesetz (TKG)
  • Regelungen für den Schutz von Telekommunikationsdaten in Deutschland.
  • Enthält Bestimmungen zur Sicherheit von Netzen und Diensten.
Network and Information Systems Directive (EU-NIS-Richtlinie)
  • Europäische Richtlinie zur Gewährleistung der Cybersicherheit.
  • Stellt Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter.
Payment Card Industry Data Security Standard (PCI DSS)
  • Sicherheitsstandard für Unternehmen, die Kreditkartentransaktionen verarbeiten.
  • Legt Sicherheitsanforderungen für den Schutz von Kreditkartendaten fest.

Begriffsbestimmung

ggf. ist es sinnvoll hier weiter zu unterscheiden zwischen fachlichen Fernzugriffen zur Unterstützung auf Anwendungsebene und "Fernadministration" mit adminitrativen/priveligierten Rechten.

Fernzugriff: Der Fernzugriff bezeichnet die Möglichkeit, von einem entfernten Standort aus auf die IT-Systeme und Daten der Organisation zuzugreifen. Dies kann mittels verschiedener Technologien wie VPN (Virtual Private Network) oder Remote-Desktop-Verbindungen erfolgen.

Fernwartung: Die Fernwartung (auch Fernadministration) umfasst die Möglichkeit, IT-Systeme und -Anwendungen aus der Ferne zu überwachen, zu konfigurieren, zu warten oder zu reparieren. Sie ermöglicht es IT-Experten, Probleme zu diagnostizieren und zu beheben, ohne physisch vor Ort sein zu müssen.

IT-Dienstleister: Ein IT-Dienstleister ist ein Unternehmen oder eine Einzelperson, die von der Organisation beauftragt wurde, IT-Services zu erbringen, einschließlich Fernzugriff und Fernwartung. Dies kann die Wartung von Hardware und Software, die Bereitstellung von Support-Diensten oder die Implementierung neuer Technologien umfassen.

Organisation: Die Organisation bezieht sich auf die Organisation, für die diese Sicherheitsrichtlinie für Fernzugriff und Fernwartung erstellt wurde. Dies kann ein Unternehmen, eine Behörde, eine Bildungseinrichtung oder eine andere Art von Organisation sein, die IT-Systeme und Daten verwaltet.

Verantwortliche und Haftung

Das Rollenschema muss der Organisation entsprechend angepasst werden, die Funktion und Berechtigungen der Rollen detaillierter ausformuliert werden.

Im Rahmen von Fernzugriff und Fernwartung gibt es verschiedene Rollen und Verantwortlichkeiten, die sicherstellen, dass diese Aktivitäten sicher und effizient durchgeführt werden. Hier sind die Rollen und ihre Verantwortlichkeiten definiert:

Systemadministrator:

  • Der Systemadministrator ist für die Verwaltung und Konfiguration der IT-Systeme und -Infrastruktur verantwortlich.
  • Zu den Aufgaben gehören die Einrichtung von Benutzerkonten, die Überwachung der Systemleistung, das Einspielen von Updates und Patches sowie die Behebung technischer Probleme.

Netzwerkadministrator:

  • Der Netzwerkadministrator ist spezialisiert auf die Verwaltung und Konfiguration von Netzwerken und Netzwerkgeräten.
  • Zu den Aufgaben gehören die Konfiguration von Firewalls, Routern und Switches, die Überwachung der Netzwerkaktivität und die Fehlerbehebung bei Netzwerkproblemen.

Informationssicherheitsbeuftragter (ISB):

  • Der IT-Sicherheitsbeauftragte ist für die Sicherheit der IT-Systeme und -Daten der Organisation verantwortlich.
  • Zu den Aufgaben gehören die Entwicklung von Sicherheitsrichtlinien und -verfahren, die Überwachung der Einhaltung von Sicherheitsstandards und die Reaktion auf Sicherheitsvorfälle.

IT-Dienstleister:

  • Ein IT-Dienstleister ist ein externes Unternehmen oder eine externe Person, die IT-Services oder Dienstleistungen für die Organisation bereitstellt oder erbringt.
  • Zu den Aufgaben gehören die Erbringung der Diestleistung gemäß den Vereinbarungen mit der Organisation, die Einhaltung von Sicherheitsrichtlinien und -verfahren sowie die Behebung technischer Probleme.

Endbenutzer:

  • Die Endbenutzer sind die Mitarbeiter oder Anwender, die Zugriff auf die IT-Systeme der Organisation benötigen.
  • Zu den Aufgaben gehören die ordnungsgemäße Verwendung von Fernzugriffswerkzeugen gemäß den Anweisungen der IT-Administratoren und die Meldung von Problemen oder Sicherheitsvorfällen an die IT-Abteilung.

Haftung

Die Haftung im Rahmen von Fernzugriff und Fernwartung bezieht sich auf die rechtliche Verantwortung für Schäden oder Verluste während dieser Aktivitäten. Sie betrifft sowohl IT-Dienstleister als auch die Organisation selbst. Verträge und Versicherungen können die Haftung regeln, aber die Einhaltung von Gesetzen und Vorschriften ist entscheidend, um Risiken zu minimieren. Die konkreten Haftungsregelungen müssen in einer Fernzugriffsvereinbarung zwischen allen Beteiligten geregelt werden.

IT-Dienstleister haften grundsätzlich für Schäden oder Verluste, die durch nicht autorisierte Handlungen oder Fahrlässigkeit verursacht werden. Dies gilt jedoch nicht für Schäden, die auf Handlungen oder Unterlassungen der Organisation zurückzuführen sind.

Grundlegende Prizipien

Die grundlegenden Prinzipien bei Fernzugriff und Fernwartung sind:

  • Sicherheit als oberste Priorität: Sicherheit steht an erster Stelle und sollte bei allen Aspekten des Fernzugriffs und der Fernwartung berücksichtigt werden, um die Integrität, Vertraulichkeit und Verfügbarkeit von Systemen und Daten zu gewährleisten.
  • Vertraulichkeit und Datenschutz: Die Vertraulichkeit sensibler Informationen und Daten der Organisation ihrer Kunden und Partner muss gewährleistet sein, um unbefugten Zugriff oder Datenlecks zu verhindern. Datenschutzbestimmungen müssen strikt eingehalten werden.
  • Überwachung und Protokollierung: Aktivitäten im Zusammenhang mit Fernzugriff und Fernwartung müssen überwacht und protokolliert werden, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Dies trägt zur Nachvollziehbarkeit und Forensik bei.

Diese Prinzipien bilden die Grundlage für eine sichere und verantwortungsvolle Durchführung von Fernzugriff und Fernwartung, unabhängig von der spezifischen Technologie oder Plattform.

Allgemeine Sicherheitsanforderungen

Für Fernzugriffe und Fernwartung gelten in der Organisation folgende allgemeine Sicherheitsanforderungen, die darauf abzielen, die Sicherheit und Integrität der Systeme und Daten während dieser Aktivitäten zu gewährleisten:

Authentifizierung und Autorisierung

  • Es ist eine starke Authentifizierung erforderlich, um sicherzustellen, dass nur autorisierte Benutzer auf die Systeme zugreifen können.
  • Die Autorisierung muss genau festlegen, welche Ressourcen und Daten ein Benutzer während des Fernzugriffs oder der Fernwartung nutzen oder ändern kann.
  • Eine Zwei-Faktor-Authentisierung ist mindestens bei Ferwartung mit administrativen Berechtigungen und bei Fernzugriff auf personebezogenen Daten obligatorisch.

Verschlüsselung des Datenverkehrs

  • Alle Daten, die während des Fernzugriffs und der Fernwartung übertragen werden, müssen angemessen verschlüsselt sein, um sie vor unbefugtem Zugriff zu schützen.
  • Die Verwendung von sicheren Protokollen wie SSL/TLS für die Datenübertragung ist unerlässlich.
  • Ggf. Verweis auf Mindestanforderungen bei krypografischen Verfahren / Kryporichtlinie falls vorhanden.

Zugriffssteuerung

  • Es sind in einem Fernzugriffskonzept klare Richtlinien für den Zugriff auf die Systeme und Daten während des Fernzugriffs festzulegen, einschließlich der Verwendung von VPNs und Firewalls zur Kontrolle des Netzwerkzugriffs.
  • Eine Überwachung und Protokollierung von Fernzugriffssitzungen ist wichtig, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

Identitäts- und Zugriffsmanagement

  • Es muss ein robustes Identitäts- und Zugriffsmanagement implementiert werden, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf die Systeme haben.
  • Dies unfasst die Verwendung von Single Sign-On (SSO), Multi-Faktor-Authentifizierung und regelmäßige Überprüfung der Zugriffsrechte.

Sicherheitsbewusstsein und Schulung

  • Alle Mitarbeitenden und IT-Dienstleister, die Fernzugriff oder Fernwartung durchführen, sollten regelmäßig in Sicherheitsbewusstseinstrainings geschult werden, um sie über die Risiken zu informieren und bewährte Sicherheitspraktiken zu vermitteln.

Notfallvorsorge und Incident-Response

  • Es muss ein Notfallplan für den Umgang mit Sicherheitsvorfällen während des Fernzugriffs und der Fernwartung erstellt werden, einschließlich der Definition von Verantwortlichkeiten und der Durchführung von Wiederherstellungsmaßnahmen.
  • Es muss ein gemeinsames oder symcronisiertes Sicherheitsvorfallmanagement mit IT-Dienstleistern vereinbart werden, um im Falle eines Sicherheitsproblems oder -vorfalls schnell zu reagieren und Gegenmaßnahmen ergreifen zu können um so Schäden für die Organisation zu vermeiden oder zu reduzieren.

Datenschutz und Vertraulichkeit

Der Schutz von Daten und die Wahrung der Vertraulichkeit sind für den sicheren Fernzugriff und die Fernwartung von entscheidender Bedeutung. Die folgenden Maßnahmen dienen dazu, den Datenschutz und die Vertraulichkeit von Informationen während dieser Aktivitäten zu gewährleisten:

  • Alle übertragenen oder eingesehenen Daten während des Fernzugriffs oder der Fernwartung sind als vertraulich zu behandeln und dürfen nur für die vorgesehenen Zwecke verwendet werden.
  • Mitarbeiter und IT-Dienstleister, die Fernzugriff oder Fernwartung durchführen, sind verpflichtet, sensible Informationen und Daten streng vertraulich zu behandeln und vor unbefugtem Zugriff zu schützen.
  • Alle Daten, die während des Fernzugriffs übertragen werden, müssen verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen.
  • Die Einhaltung dieser Datenschutz- und Vertraulichkeitsbestimmungen sollte regelmäßig überprüft und überwacht werden, um sicherzustellen, dass alle Beteiligten die Richtlinie korrekt umsetzen und Datenschutzstandards eingehalten werden.
  • Vor Beginn von Fernzugriff oder Fernwartung muss zwischen der Organisation und den beteiligten IT-Dienstleistern eine Vertraulichkeitsvereinbarung unterzeichnet werden, in der die Verpflichtungen zur Wahrung der Vertraulichkeit und zum Schutz der Daten festgelegt sind.
  • Vor der Durchführung von Fernzugriff oder Fernwartung sollten angemessene Maßnahmen zur Sicherung wichtiger Daten und Systeme ergriffen werden, um den Verlust oder die Beschädigung von Daten zu vermeiden.

Genehmigung und Überwachung

Genehmigung von Fernzugriff und Fernwartung

  • Bevor ein IT-Dienstleister Zugriff auf die Systeme oder Daten der Organisation für Fernzugriff oder Fernwartung erhält, ist eine ausdrückliche Genehmigung durch die zuständige Stelle erforderlich. Diese Genehmigung kann schriftlich oder elektronisch erfolgen und sollte die spezifischen Berechtigungen und Zugriffsbedingungen festlegen.
  • Die Genehmigung sollte auf der Grundlage einer Risikobewertung und unter Berücksichtigung der Datenschutz- und Sicherheitsanforderungen der Organisation erfolgen.

Überwachung und Auditierung

  • Die Organisation behält sich das Recht vor, den Fernzugriff und die Fernwartung durch IT-Dienstleister jederzeit zu überprüfen und zu überwachen, um die Einhaltung dieser Richtlinie sicherzustellen.
  • Dies kann durch technische Maßnahmen wie Protokollierung von Zugriffen, Überwachung von Aktivitäten und regelmäßige Sicherheitsaudits erfolgen.
  • Die Überwachung sollte in Übereinstimmung mit geltenden Datenschutzbestimmungen und -richtlinien erfolgen und die Privatsphäre der beteiligten Parteien respektieren.
  • Im Falle von Unregelmäßigkeiten oder Verdachtsmomenten auf Sicherheitsvorfälle ist die Organisation berechtigt, angemessene Maßnahmen zu ergreifen, einschließlich der Aussetzung des Fernzugriffs oder der Fernwartung und der Einleitung von Untersuchungen.

Schulung und Sensibilisierung

  • Alle Mitarbeiter, die Zugriff auf IT-Systeme haben oder mit IT-Dienstleistern zusammenarbeiten, sollten regelmäßig in Sicherheitsbewusstseinstrainings geschult werden.
  • Diese Schulungen sollten die Risiken im Zusammenhang mit Fernzugriff und Fernwartung sowie bewährte Sicherheitspraktiken abdecken.
  • IT-Dienstleister, die Fernzugriff oder Fernwartung durchführen, müssen ebenfalls sensibilisiert werden, um sicherzustellen, dass sie die Sicherheitsanforderungen und -richtlinien der Organisation verstehen und einhalten.

Notfallplanung

Erstellung eines Notfallplans:

  • Die Organisation sollte einen umfassenden Notfallplan für den Umgang mit Sicherheitsvorfällen während des Fernzugriffs und der Fernwartung erstellen.
  • Der Notfallplan sollte die Verfahren und Maßnahmen zur Erkennung, Bewertung, Eskalation und Bewältigung von Sicherheitsvorfällen umfassen.

Vorfallerkennung und -meldung:

  • Der Notfallplan sollte Verfahren zur frühzeitigen Erkennung von Sicherheitsvorfällen während des Fernzugriffs und der Fernwartung enthalten.
  • Mitarbeiter und IT-Dienstleister sollten geschult werden, um verdächtige Aktivitäten zu erkennen und sie gemäß den festgelegten Meldungsverfahren zu melden.

Eskalationsverfahren:

  • Der Notfallplan sollte klare Eskalationsverfahren enthalten, um sicherzustellen, dass Sicherheitsvorfälle angemessen und zeitnah an höhere Instanzen gemeldet werden.
  • Dies kann die Benennung eines Incident Response Teams oder eines Sicherheitsbeauftragten umfassen, das bei schwerwiegenden Vorfällen aktiviert wird.

Wiederherstellungsstrategien:

  • Der Notfallplan sollte Wiederherstellungsstrategien und -verfahren enthalten, um den Betrieb nach einem Sicherheitsvorfall schnellstmöglich wiederherzustellen.
  • Dies umfasst die Sicherung von Daten, die Isolierung und Eindämmung von Bedrohungen, die Bereitstellung von Backups und die Wiederherstellung von Systemen und Daten.

Regelmäßige Überprüfung und Aktualisierung:

  • Der Notfallplan sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass er den aktuellen Bedrohungen und Technologien entspricht.
  • Änderungen in der IT-Infrastruktur oder im Geschäftsumfeld sollten in den Notfallplan integriert werden, und Mitarbeiter sollten regelmäßig auf Änderungen geschult werden.

Dokumentation und Revision

Dokumentation von Fernzugriff und Fernwartung:

  • Alle Aktivitäten im Zusammenhang mit Fernzugriff und Fernwartung müssen sorgfältig dokumentiert werden.
  • Dies umfasst Angaben zu den beteiligten Parteien, den Zeitpunkt des Zugriffs oder der Wartung, die durchgeführten Aktionen sowie etwaige Probleme oder Vorfälle.
  • Ggf. Hinweis auf ein zu verwendendest Dokumentations-(Ticket-)System sofern vorhanden.

Revision der Sicherheitspraktiken und -verfahren:

  • Neben der Richtlinie sollten auch die Sicherheitspraktiken und -verfahren im Zusammenhang mit Fernzugriff und Fernwartung regelmäßig überprüft und überarbeitet werden.
  • Dies kann durch interne Audits, Sicherheitsüberprüfungen oder die Bewertung von Sicherheitsvorfällen erfolgen, um Schwachstellen zu identifizieren und Verbesserungen vorzunehmen.

Sicherheitsdokumentation aufbewahren:

  • Alle Dokumente im Zusammenhang mit Fernzugriff und Fernwartung sowie Sicherheitsberichte, Schulungsnachweise und Protokolle sollten sicher aufbewahrt werden.
  • Die Organisation sollte sicherstellen, dass die Sicherheitsdokumentation den geltenden Datenschutz- und Aufbewahrungsrichtlinien entspricht.

Bewertung und Verbesserung

Eine stetige Bewertung und Verbesserung der Richtlinie Fernzugriff und Fernwartung ist notwendig, um mit sich ändernden Bedrohungslandschaften Schritt zu halten. Hier wird auf regelmäßige Sicherheitsaudits, Feedback-Mechanismen und die Anpassung an neue Herausforderungen eingegangen.

Regelmäßige Sicherheitsaudits und -prüfungen

Regelmäßige Sicherheitsaudits und -prüfungen sind entscheidend, um die Wirksamkeit der Sicherheitsrichtlinien zu überprüfen. Diese Audits sollten Schwachstellen aufdecken und als Grundlage für Verbesserungen dienen.

Feedback-Mechanismen und kontinuierliche Verbesserung

Feedback-Mechanismen von Mitarbeitern und IT-Verantwortlichen sind wichtig, um Schwachstellen zu identifizieren. Eine kontinuierliche Verbesserung der Sicherheitsrichtlinien basierend auf diesem Feedback ist unerlässlich.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Anhänge

Fernzugriffsvereinbarung

Vertraulichkeitserklärung

Auftragsverarbeitungsvertrag (AVV)

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung