M 2.271 Festlegung einer Sicherheitsstrategie für den WWW-Zugang
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Wird der Zugang zum WWW nicht über eigenständige Internet-PCs (siehe Baustein B 3.208 Internet-PC) abgewickelt, sondern direkt über die Arbeitsplatz-Rechner, so muss für diesen Bereich eine eigene Sicherheitsstrategie festgelegt werden.
In der Sicherheitsstrategie für die WWW-Nutzung sollten die folgenden Fragen beantwortet werden:
- Wer erhält WWW-Zugang?
- Unter welchen Bedingungen bzw. zu welchem Zweck darf auf das WWW zugegriffen werden?
- Ist eine Benutzerschulung erforderlich und falls ja, wie wird sie durchgeführt?
- Wie wird technische Hilfestellung für die Benutzer gewährleistet?
Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:
- Die Browser der Benutzer müssen durch den Administrator so vorkonfiguriert sein, dass ohne weiteres Zutun der Benutzer maximale Sicherheit erreicht werden kann (siehe auch M 5.45 Sicherheit von WWW-Browsern).
- Dateien, deren Inhalt Anstoß erregen könnte, dürfen weder auf WWW-Servern eingestellt noch nachgefragt werden. Es muss festgelegt werden, welche Inhalte als anstößig gelten.
- Nach dem Download von Dateien sind diese explizit auf Computer-Viren zu überprüfen.
Alle Regelungen und Bedienungshinweise zur WWW-Nutzung sind schriftlich zu fixieren und sollten den Mitarbeitern jederzeit zur Verfügung stehen. Ein entsprechendes Muster findet sich unter den Hilfsmitteln zum IT-Grundschutz.
Die Benutzer müssen vor der WWW-Nutzung geschult werden, sowohl in der Nutzung ihrer WWW-Browser als auch des Internets, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden.
Ergänzende Kontrollfragen:
- Existiert eine Sicherheitsstrategie für den Betrieb eines WWW-Servers?
- Existiert eine Sicherheitsstrategie für die Nutzung von WWW-Diensten?
- Sind die getroffenen Regelungen ausreichend?