G 3.41 Fehlverhalten bei der Nutzung von RAS-Diensten
Ohne geeignete Schulung der Anwender kann es - wie bei jedem anderen IT-System - durch (meist unbewusstes) Fehlverhalten bei der RAS-Nutzung bzw. im Umfeld der RAS-Nutzung zu Sicherheitsproblemen (z. B. Verstoß gegen die IT-Sicherheitsrichtlinien, Fehlkonfiguration) kommen.
Weiterhin werden stationäre und mobile IT-Systeme, auf denen RAS-Client-Software installiert ist, häufig nicht nur zum Zugriff auf ein LAN benutzt. Insbesondere wenn die RAS-Verbindung über das Internet aufgebaut wird, erfolgt oft auch die Nutzung von WWW und E-Mail über diese IT-Systeme. In manchen Fällen wird auch auf fremde Netze zugegriffen, beispielsweise wenn Außendienstmitarbeiter mit mobilen RAS-Clients Verbindungen zu Kundennetzen aufbauen. Dadurch ergeben sich folgende Gefährdungen:
- Durch den Aufbau nicht genehmigter Verbindungen wird das System mindestens unnötig belastet, da jeweils eine Überprüfung auf die Zulässigkeit durchgeführt werden muss. Auf diese Weise werden unnötigerweise Systemressourcen belegt. In Kombination mit Fehlkonfigurationen kann es auch dazu kommen, dass unberechtigte Zugriffe erfolgreich durchgeführt werden.
- RAS-Clients können u. A. für den Internet-Zugang eingesetzt werden. Hier ergibt sich die Gefährdung dadurch, dass bei Verbindungen mit dem Internet ohne besondere Vorkehrungen (z. B. sichere Konfiguration, PC-Firewall) u. U. auch von außen auf den Client-Rechner zugegriffen werden kann. Dadurch ist der Rechner jedoch potentiellen Angriffen ausgesetzt. Ein Angreifer kann so z. B. die Datenverschlüsselung abschalten oder andere RAS-Konfigurationsdaten verändern, so dass eine gesicherte RAS-Kommunikation nicht mehr möglich ist. Ähnliche Probleme (Viren, Trojanische Pferde) ergeben sich durch Software, die aus dem Internet geladen und auf dem RAS-Client abgespeichert wurde.
- Wird ein RAS-Client an ein fremdes LAN angeschlossen (z. B. Kundennetz oder privates Heimnetz), so bestehen in diesem LAN oft weitere Übergänge zu anderen Netzen (Internet, lokale Teilnetze). Je nach Sicherheitsvorgaben der LAN-Verwaltung kann der unkontrollierte Zugriff auf den RAS-Client möglich sein (siehe auch G 5.39 Eindringen in Rechnersysteme über Kommunikationskarten).
Beispiele:
- Auf einer Dienstreise verbindet sich ein Mitarbeiter über Internet mit dem Firmennetz. Vor dem Verbindungsaufbau mit dem RAS-System lädt er eine ausführbare Datei von einem WWW-Server. Die Datei enthält neben der "offiziellen" Funktionalität auch noch einen "bösartigen" Programmteil, der versucht, in der RAS-Konfiguration die Sicherheitsmechanismen zu beeinflussen (z. B. Abschalten der Verschlüsselung) und auf Daten im Firmennetz zuzugreifen, wenn eine bestehende RAS-Verbindung vorgefunden wird.
- Ein Außendienstmitarbeiter verbindet seinen Laptop mit dem Netz eines Kunden. Um Daten mit dem Kunden austauschen zu können, gibt er lokale Verzeichnisse für Zugriffe aus dem Netz frei. Versehentlich wird bei dem Datenaustausch auch die Datei übertragen, in der der Außendienstmitarbeiter seine Authentisierungsdaten abgelegt hat.