Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.124 Netzzugänge in Besprechungs-, Veranstaltungs- und Schulungsräumen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.124 Netzzugänge in Besprechungs-, Veranstaltungs- und Schulungsräumen

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Haustechnik

In Besprechungs-, Veranstaltungs- und Schulungsräumen sind einerseits häufig IT-Systeme wie Beamer oder Schulungsrechner fest installiert, andererseits werden dorthin auch mobile IT-Systeme wie Laptops häufig mitgebracht. Dabei ist oft auch gewünscht, dass diese IT-Systeme miteinander, mit dem Internet oder dem institutionsinternen Intranet vernetzt werden können.

Da fremde IT aber zunächst immer als nicht vertrauenswürdig betrachtet werden sollte, sollte eine unkontrollierte Anbindung von durch Besucher mitgebrachten IT-Systemen an interne LANs unterbunden werden. Es sollte auch möglichst keine direkte Kopplung von mitgebrachten und internen IT-Systemen stattfinden. Hierbei sind zumindest alle Sicherheitsmaßnahmen umzusetzen, die in Baustein B 5.2 Datenträgeraustausch beschrieben sind.

Grundsätzlich können folgende Zugriffsarten gewünscht sein:

Im folgenden wird beschrieben, wie diese verschiedenen Zugriffsarten zu bewerten und abzusichern sind:

Aus Sicherheitssicht die beste und einfachste Lösung ist es, einen Zugriff aus Besprechungs-, Veranstaltungs- und Schulungsräumen auf interne LANs generell zu unterbinden. Im sichersten Fall sollten gar keine entsprechenden Anschlüsse installiert werden, um auszuschließen, dass Institutionsfremde sich mit dem internen Netz verbinden können.

Dies ist allerdings nicht immer möglich. Wenn eigene Mitarbeiter aus Besprechungs-, Veranstaltungs- und Schulungsräumen auf das Intranet zugreifen können sollen, sind mindestens folgende Maßnahmen zu ergreifen (siehe M 5.122 Sicherer Anschluss von Laptops an lokale Netze):

Zunehmend sind in Besprechungs-, Veranstaltungs- und Schulungsräumen aber auch direkte Internet-Zugänge zu finden, z. B. über dedizierte DSL-Zugänge. Die Zugänge werden häufig als Internet-Steckdosen gekennzeichnet. Hierüber können Besucher beispielsweise auf ihr Heimat-Netz zugreifen. Diese Internet-Zugänge dürfen aus Sicherheitsgründen nicht direkt mit dem Intranet verbunden werden, damit der zentrale Sicherheitsgateway nicht umgangen werden kann. Es muss auch ausgeschlossen werden, dass ein Rechner gleichzeitig eine Verbindung zu Intranet und Internet aufbauen kann. In diesem Fall wird die ursprüngliche hardwaremäßige Trennung der beiden Netze aufgehoben. Wenn Besprechungs-, Veranstaltungs- und Schulungsräume mit dem Internet direkt vernetzt werden sollen, sollte der Zugang mit einem Paketfilter abgesichert sein, um die angeschlossenen IT-Systeme Systeme vor Standardangriffen auf Ports zu schützen. Ein einfacher Sicherheitsproxy kann darüber hinaus die angeschlossenen Rechner vor den Gefährdungen durch aktive Inhalte schützen und die Zugriffe auf Web-Seiten im Rahmen der datenschutzrechtlichen Möglichkeiten protokollieren.

Es sollte darauf verzichtet werden, fremden Mitarbeitern einen Zugang zum Internet anzubieten, der das institutionsinterne Netz als Vermittlungsnetz nutzt. Es kann z. B. aufgrund von Konfigurationsfehlern nie ausgeschlossen werden, dass fremde Mitarbeiter sich trotz eingeschränkter Zugriffsmöglichkeiten einen Zugang zu schutzwürdigen Informationen oder Anwendungen verschaffen.

Wenn ein direkter LAN-Zugriff unterbunden ist, kann eigenen Mitarbeiter auch der Zugriff auf das LAN aus Besprechungs-, Veranstaltungs- und Schulungsräumen heraus über ein VPN über das Internet ermöglicht werden (siehe M 5.122 Sicherer Anschluss von Laptops an lokale Netze).

Für den Aufbau von WLANs zur Bereitstellung eines Internetzugangs sollten die entsprechenden Sicherheitsmaßnahmen ergriffen werden.

Ergänzende Kontrollfragen: