M 2.172 Entwicklung eines Konzeptes für die WWW-Nutzung
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Bevor ein Webangebot eingerichtet wird, muss zunächst in einem Konzept dargestellt werden, welche Informationen und Dienste angeboten werden sollen. Das Konzept sollte mindestens einen allgemeinen und einen organisatorischen Teil enthalten:
- Im allgemeinen Teil sollte beschrieben werden,
- welche Ziele die Organisation mit dem Webangebot verfolgt,
- welches die Zielgruppen des Webangebots sind und
- welche Informationen oder Dienstleistungen in dem Webangebot zur Verfügung gestellt werden sollen.
Im organisatorischen Teil sollte eine grobe Übersicht darüber gegeben werden, wer in der Organisation verantwortlich ist für
- die Bereitstellung und Aktualisierung der Informationen und
- die Ausarbeitung und Pflege des optischen Erscheinungsbildes des Webangebots (Webdesign).
Im organisatorischen Teil des WWW-Konzepts sollte auch festgelegt werden, wer für die technischen Aspekte des Betriebs des Webservers verantwortlich ist.
Das Konzept für das Webangebot sollte regelmäßig auf Aktualität überprüft werden. Bei Änderungen in den Zielen oder Strategien der Organisation muss geprüft werden, welche Auswirkungen diese auf das WWW-Konzept haben.
Bei der Entwicklung des Konzeptes sollten folgende Aspekte berücksichtigt werden:
Ein Webangebot kann als rein interner Informationsdienst eingesetzt werden, als Mittelpunkt eines Intranets, oder als öffentliches Angebot im Internet, das verschiedene Dienste anbietet. Je nach Art der geplanten Ausgestaltung unterscheiden sich auch die Sicherheitsanforderungen, die an den Webserver gestellt werden müssen. In einer kleinen Organisation, in der ein Webserver als Intranet-Server ohne kritische Anwendungen betrieben wird, sehen die Anforderungen ganz anders aus als für einen Webserver, der ans Internet angeschlossen werden soll und vielleicht sogar Daten enthält, die nicht jeder abrufen können soll.
Wenn sowohl im Intranet als auch im Internet WWW-Dienste angeboten werden sollen, empfiehlt es sich, hierfür zwei getrennte Systeme einzusetzen: einen Intranet-Webserver und einen Internet-Webserver. Wenn der Internet-Webserver auch mit dem internen Netz verbunden werden soll, muss der Übergang zum internen Netz durch eine Firewall geschützt werden, siehe Baustein B 3.301 Sicherheitsgateway (Firewall). Wenn vorgesehen ist, dass Teile der Inhalte des Webservers aus einer Datenbank kommen sollen, muss auch die Verbindung zur Datenbank in das Firewall-Konzept für den Webserver einbezogen werden. Was bei der Anordnung von Informationsservern zu beachten ist, ist in M 2.77 Integration von Servern in das Sicherheitsgateway beschrieben. Bei der Erarbeitung des Konzepts für das Webangebot sollte zumindest grob festgelegt werden, wie die Anbindung ans Internet geregelt ist und welche Arten von Verbindungen zum internen Netz benötigt werden.
Der Anschluss ans Internet darf erst dann erfolgen, wenn überprüft worden ist, dass mit dem gewählten WWW-Konzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können.
Ein Webserver für die Präsenz einer Organisation im Internet muss nicht zwangsläufig von dieser selbst betrieben werden. Wenn die Betriebskosten oder der Administrationsaufwand zu hoch oder die Restrisiken zu unkalkulierbar erscheinen, können auch die entsprechenden Angebote von Internet Service Providern oder anderen Dienstleistern in Anspruch genommen werden, einen Webserver durch diese betreiben zu lassen. In diesem Fall muss der Baustein B 1.11 Outsourcing berücksichtigt werden.
Ergänzende Kontrollfragen:
- Existiert ein Konzept für das Webangebot?
- Wird das Konzept regelmäßig überprüft und nötigenfalls angepasst?