M 2.106 Auswahl geeigneter ISDN-Karten in der Beschaffung
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Beschaffungsstelle
Bei der Beschaffung von ISDN-Karten besteht die Möglichkeit, diese von vornherein so auszuwählen, dass im späteren Betrieb Sicherheitsfunktionalitäten nicht teuer hinzugekauft werden müssen. Erforderliche Sicherheitsfunktionalitäten sollten bereits auf der Karte vorhanden sein oder durch mitgelieferte Kommunikationssoftware und Treiberprogramme realisiert werden können.
Mögliche Kriterien für die Auswahl geeigneter ISDN-Karten sind:
- Fähigkeit zur Durchführung einer Authentisierung über PAP und CHAP (Password Authentikation Protocol und Challenge Handshake Authentication Protocol, RFC 1994),
- Vorhandensein eines Verschlüsselungsverfahrens (symmetrisch/asymmetrisch) in Hard- oder Software,
- Möglichkeit der Auswertung von CLIP-Rufnummern (Calling Line Identification Presentation) zur Authentisierung,
- Möglichkeit des Führens einer Rufnummerntabelle für das Durchführen eines Callbacks,
- Möglichkeit der Protokollierung nicht erfolgreicher Verbindungsaufbauten (Ablehnung aufgrund falscher Rufnummern- oder PAP/CHAP-Authentisierung).
Außerdem sind die ISDN-Karten auf Funktionalitäten hin zu untersuchen, die für einen sicheren Betrieb nicht vorhanden sein dürfen, oder falls sie dennoch vorhanden sind, zumindest durch Konfiguration eine Deaktivierung herbeigeführt werden kann. Hierzu zählt z. B. die "Remote-Control"-Funktionalität, die einen direkten Kommunikationsaufbau zum IT-System aus dem öffentlichen Netz zulässt.
Beachtet werden sollte, dass sowohl im Bereich der IT-Systeme, die mit ISDN-Karten ausgestattet werden sollen, als auch im Bereich der Netzkoppelelemente (z. B. ISDN-Router) ISDN-Karten mit möglichst gleichen Sicherheitsfunktionalitäten eingesetzt werden. Ist dies nicht gewährleistet, entfalten Sicherheitsfunktionalitäten, die auf beiden Seiten erforderlich sind, nicht die gewünschte Wirkung.
Ergänzende Kontrollfragen:
- Sind der Beschaffungsstelle diese ergänzenden Anforderungen an ISDN-Karten bekannt?