Sicherer Fernzugriff auf das interne Netz

Sicherer Fernzugriff auf das interne Netz (ISi-Fern)

BSI-Studie zur Internet-Sicherheit (ISi-S)

ISi-Reihe Sicherer Fernzugriff auf das interne Netz (ISi-Fern)

Vervielfältigung und Verbreitung

Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist.

Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen.

Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände finden Sie auf den Internet-Seiten des BSI.

https://www.bsi.bund.de oder http://www.isi-reihe.de

Bundesamt für Sicherheit in der InformationstechnikISi-ProjektgruppePostfach 20 03 6353133 BonnTel. +49 (0) 228 99 9582-0E-Mail: [email protected]: http://www.bsi.bund.de© Bundesamt für Sicherheit in der Informationstechnik 2010

2 Bundesamt für Sicherheit in der Informationstechnik

https://www.bsi.bund.de

mailto:[email protected]

http://www.isi-reihe.de/

http://www.isi-reihe.de/

https://www.bsi.bund.de

Sicherer Fernzugriff auf das interne Netz (ISi-Fern) ISi-Reihe

Vorwort des Präsidenten

Liebe Leserinnen und Leser,

die Notwendigkeit auch von außerhalb auf das Netz eines Unternehmens oder einer Behörde zugrei-fen zu können, wächst ständig. Insbesondere Mitarbeiter, die häufig an unterschiedlichen Stand-orten oder im Außendienst tätig sind, wollen unabhängig von einem bestimmten Ort Zugang zu An-wendungen und Daten haben.

Ein solcher Fernzugriff auf das interne Netz einer Institution ist jedoch mit einigen Gefahren ver-bunden. Daten, die nicht ausreichend verschlüsselt worden sind, können bei der Übertragung abge-hört werden. Oder ein Endgerät wie Laptop oder Smartphone gelangt beim Transport in die Hände eines Unbefugten. Der Dieb hat nicht nur das Gerät in seinem Besitz, sondern kann bei unzurei-chender Absicherung auch Daten auslesen und Zugang zum internen Netz der Institution erhalten. Um sich vor solchen Gefahren zu schützen, müssen entsprechende IT-Sicherheitsmaßnahmen er-griffen werden.

Die BSI-Standards zur Internet-Sicherheit (ISi-Reihe) beschäftigen sich mit einzelnen Aspekten der Internet-Sicherheit. Das Modul „Sicherer Fernzugriff auf das interne Netz“ zeigt mögliche Gefähr-dungen beim Fernzugriff auf und gibt konkrete Empfehlungen für Schutzmaßnahmen.

Bonn, im September 2010

Michael Hange

Präsident des Bundesamtes für Sicherheit in der Informationstechnik

Bundesamt für Sicherheit in der Informationstechnik 3




Inhaltsverzeichnis

1 Einleitung .........................................................................................................................................8

2 Grundlagen........................................................................................................................................9

2.1 Anforderungen beim Fernzugriff ..........................................................................................................9

2.2 Basistechniken.......................................................................................................................................92.2.1 Zugangstechniken/-protokolle........................................................................................................................102.2.2 VPN-Zugangstechniken.................................................................................................................................142.2.3 Übersicht der verschiedenen VPN-Realisierungen........................................................................................162.2.4 Authentisierungsverfahren.............................................................................................................................182.2.5 Anwendungsprotokolle..................................................................................................................................202.2.6 Virtualisierung................................................................................................................................................21

2.3 Komponenten des Fernzugriffs............................................................................................................212.3.1 Endgeräte/Clients...........................................................................................................................................222.3.2 Remote Dial-In-Server...................................................................................................................................232.3.3 Network Operation Center (NOC).................................................................................................................232.3.4 VPN-Gateway................................................................................................................................................232.3.5 Authentisierungsserver/AAA-Server.............................................................................................................232.3.6 Terminal-Server.............................................................................................................................................242.3.7 Proxy-Server...................................................................................................................................................252.3.8 Datei- und/oder Anwendungsserver...............................................................................................................25

3 Sichere Grundarchitektur für den Fernzugriff.................................................................................26

3.1 Benutzer und Endgerät.........................................................................................................................273.1.1 Desktop-PC....................................................................................................................................................283.1.2 Laptop.............................................................................................................................................................283.1.3 Smartphone.....................................................................................................................................................28

3.2 Netzzugang..........................................................................................................................................28

3.3 Transfernetz.........................................................................................................................................29

3.4 Netz der Institution..............................................................................................................................293.4.1 Internet-Anbindung .......................................................................................................................................293.4.2 Sicherheits-Gateway.......................................................................................................................................303.4.3 Fernzugriffszone.............................................................................................................................................303.4.4 Internes Netz..................................................................................................................................................323.4.5 Netzmanagement............................................................................................................................................323.4.6 Ablauf der Kommunikation in der Grundarchitektur.....................................................................................35

3.5 Sperrung des Fernzugriffs und Vorgehen im Verlustfall.....................................................................36

3.6 Anwenderrichtlinie..............................................................................................................................37

3.7 Sichere Grundarchitektur – Proxy-Server (Fernzugriffszone)..............................................................383.7.1 Ablauf der Kommunikation ..........................................................................................................................40

3.8 Sichere Grundarchitektur – Terminal-Server.......................................................................................413.8.1 Ablauf der Kommunikation...........................................................................................................................42

3.9 Überblick zu Proxy- und Terminal-Server...........................................................................................43

3.10 Sichere Grundarchitektur – Mobile E-Mail-Synchronisation.............................................................443.10.1 Einsatz von Middleware mit VPN- und Endgerätemanagement-Funktionen..............................................453.10.2 Synchronisation Markup Language (SyncML)............................................................................................483.10.3 Internet Message Access Protocol der Version 4 (IMAP4 IDLE)...............................................................513.10.4 Vergleich der Lösungen...............................................................................................................................54

4 Komponenten sicher auswählen, konfigurieren und betreiben.......................................................56



4.1 Grundanforderungen an ein sicheres Produkt......................................................................................564.1.1 Anforderungen an alle Endgeräte ..................................................................................................................564.1.2 Ergänzende Anforderungen an mobile Endgeräte..........................................................................................574.1.3 Anforderungen an den Netzzugang................................................................................................................584.1.4 Anforderungen an IT-Systeme der Fernzugriffszone.....................................................................................594.1.5 Anforderungen an das VPN...........................................................................................................................594.1.6 Benutzerfreundlichkeit...................................................................................................................................60

4.2 Sichere Grundkonfiguration der Komponenten...................................................................................61

4.3 Grundvorgaben für einen sicheren Betrieb..........................................................................................63

5 Gefährdungen und Empfehlungen mit Varianten für normalen und hohen Schutzbedarf..............66

5.1 Gefährdungen durch Eindringen/Übernehmen....................................................................................665.1.1 Diebstahl/Verlust ...........................................................................................................................................665.1.2 Kompromittierung der Authentisierung.........................................................................................................685.1.3 Offene Schnittstellen......................................................................................................................................705.1.4 Schadprogramme............................................................................................................................................705.1.5 Angriff auf das interne Netz der Institution...................................................................................................74

5.2 Gefährdungen der Verfügbarkeit.........................................................................................................765.2.1 Überlastung der Internet-Anbindung des Netzes der Institution....................................................................765.2.2 Denial of Service-Angriffe.............................................................................................................................785.2.3 Zu große Verzögerungen beim Fernzugriff ..................................................................................................815.2.4 Überlastung der zentralen Komponenten des Fernzugriffs im internen Netz ...............................................815.2.5 Ausfall von zentralen Komponenten des Fernzugriffs im Netz der Institution.............................................845.2.6 Ausfall des Endgeräts.....................................................................................................................................855.2.7 Datenverlust auf dem Endgerät......................................................................................................................865.2.8 Datenverlust aufgrund von unzureichender Synchronisation .......................................................................865.2.9 Kein Netzzugang für das Endgerät ................................................................................................................875.2.10 Kein Fernzugriff aufgrund NAT-Inkompatibilität.......................................................................................875.2.11 Unerlaubte Mitnutzung des WLAN am Heimarbeitsplatz ..........................................................................885.2.12 Automatische Weiterleitung großer Dateianhänge in E-Mails....................................................................88

5.3 Gefährdungen der Integrität.................................................................................................................895.3.1 Integritätsverletzung nach unbefugtem Zugang zum Endgerät......................................................................895.3.2 Manipulieren der Verbindung zwischen Endgerät und Netz der Institution..................................................91

5.4 Gefährdungen der Vertraulichkeit.......................................................................................................925.4.1 Vertraulichkeitsverletzung nach Diebstahl/Verlust des Endgeräts ...............................................................925.4.2 Vertraulichkeitsverletzung nach Zugang zum Endgerät ...............................................................................935.4.3 Hardwaremanipulation des mobilen Endgeräts..............................................................................................945.4.4 Abhören der Verbindung zwischen Endgerät und Netz der Institution.........................................................955.4.5 Automatischer Bezug unerwünschter E-Mails...............................................................................................99

6 Fazit...............................................................................................................................................101

7 Literaturverzeichnis.......................................................................................................................102

8 Anhang..........................................................................................................................................104

8.1 Abdeckungsmatrix.............................................................................................................................104

8.2 Varianten der Grundarchitektur.........................................................................................................1068.2.1 Kleines Unternehmen...................................................................................................................................1088.2.2 Mittelgroßes Unternehmen...........................................................................................................................1108.2.3 Großes Unternehmen....................................................................................................................................114

9 Glossar...........................................................................................................................................117

10 Stichwort- und Abkürzungsverzeichnis......................................................................................118



1 Einleitung Die BSI-Standards zur Internet-Sicherheit (ISi-Reihe) befassen sich mit der Sicherheit von IP-Net-zen und IP-Diensten. Sie richten sich an alle Personen in Behörden und Unternehmen, die sich mit diesen Themenfeld beschäftigen und bieten ihnen dazu umfassende und aktuelle Informationen. Sie erläutern, mit welchen Gefährdungen zu rechnen ist und geben Empfehlungen zu vorbeugenden Si-cherheitsmaßnahmen, insbesondere unterstützen sie bei Planung und Realisierung von IP-Netzen und IP-Diensten. Als Ausgangspunkt dient dazu eine sichere Grundarchitektur, die sich mittels Va-rianten an die individuellen Gegebenheiten anpassen lässt.

Das Themenfeld lässt sich in verschiedene Bereiche untergliedern. Zu den Bereichen, die in der ISi-Reihe behandelt werden, zählen u. a. Aufbau und Anbindung eines Netzes an das Internet, Nutzung und Bereitstellung von E-Mail- oder Web-Diensten sowie der Fernzugriff auf das interne Netz. Je-der dieser Bereiche wird in einem eigenen Modul behandelt. Jedes Modul besteht aus mehreren Tei-len und wendet sich zielgruppenspezifisch an Entscheidungsträger (mit dem Leitfaden ISi-L) und an diejenigen, die mit der Umsetzung der Sicherheit betraut sind (Studien ISi-S sowie Checklisten ISi-Check).

Die vorliegenden Studie ISi-Fern beschäftigt sich mit dem sicheren Fernzugriff auf das interne Netz einer Institution.

In Verwaltung und Wirtschaft wächst zunehmend die Notwendigkeit auch von außerhalb des Net-zes einer Institution auf Anwendungen und Daten zugreifen zu können. Dieser Fernzugriff wird be-sonders von Mitarbeitern am Heimarbeitsplatz, Mitarbeitern, die häufig an unterschiedlichen Stand-orten der Institution tätig sind und ganz allgemein von mobilen Mitarbeitern, die unabhängig von einem bestimmten Ort auf Anwendungen und Daten der Institution zugreifen können sollen, ge-nutzt. Dafür steht eine Palette von Endgeräten zur Verfügung. Sie reicht von einem herkömmlichen Desktop-PC, über einen Laptop bis hin zu einem Smartphone.

Der Einsatz dieser Endgräte für den Fernzugriff ist mit zahlreichen Risiken verbunden, die die Ver-fügbarkeit, Integrität und Vertraulichkeit der Daten der Benutzer und der Institution, gefährden kön-nen. Die vorliegende Studie zeigt auf, wie der Fernzugriff mit tragbaren Risiken realisiert werden kann. Die Grundlagen des Fernzugriffs werden in Abschnitt 2 beschrieben. Anschließend wird in den Abschnitten 3 und 4 eine Grundarchitektur für den normalen Schutzbedarf vor gestellt. Ab-schnitt 3 beschreibt die Konzeption und die Komponenten der Grundarchitektur während sich Ab-schnitt 4 mit der Auswahl, der Konfiguration und dem Betrieb der Komponenten für den sicheren Fernzugriff beschäftigt. Die dargestellten Eigenschaften der Grundarchitektur sind gegen die unter-schiedlichen Gefährdungen gerichtet, die beim Fernzugriff bestehen. Eine detaillierte Darstellung dieser Gefährdungen des Fernzugriffs und wie ihnen durch die Grundarchitektur begegnet wird, zeigt Abschnitt 5. Darüber hinaus enthält dieser Abschnitt verschiedene Architektur- und Konfigu-rationsvarianten für den normalen und hohen Schutzbedarf.

Durch die Grundarchitektur und ihre Varianten werden Institutionen in die Lage versetzt, einen si-cheren Fernzugriff angepasst an ihre individuellen Erfordernisse gestalten zu können.



2 GrundlagenDieser Abschnitt stellt die grundlegenden Basistechniken und Komponenten vor, die zur Beschrei-bung eines sicheren Fernzugriffs auf das interne Netz einer Institution und den damit einhergehen-den Gefährdungen relevant sind.

2.1 Anforderungen beim Fernzugriff

Der Fernzugriff soll Mitarbeitern den sicheren Zugang zum Netz ihrer Institution ermöglichen, so dass sie - etwa im Außendienst oder von zu Hause - bestimmte Anwendungen auch von außerhalb nutzen können. Benutzer des Fernzugriffs werden im Weiteren einfach als Benutzer bezeichnet. Für den Fernzugriff steht ihnen ein entsprechend ausgestattetes Endgerät zur Verfügung. Es muss in der Lage sein, eine Kommunikationsbeziehung zum Netz der Institution über einen Netzzugang (z. B. DSL, WLAN, WiMax, Mobilfunk) und ein Transfernetz (z. B. Internet) aufzubauen.

Der Fernzugriff dient in der Regel der Erledigung dienstlicher Aufgaben. Dafür gelten folgende An-forderungen:

– Die favorisierte Netzzugangstechnik des Endgeräts muss in der typischen Arbeitsumgebung des Benutzers unterstützt werden. Falls dies in Ausnahmefällen nicht gegeben ist, sollte das Endgerät auch für Ausweichlösungen ausgestattet sein. So kann etwa der Internet-Zugang über Mobilfunk (UMTS) als Ausweichlösung für eine fehlende WLAN-Unterstützung dienen.

– Die Datenübertragungsrate muss ausreichend dimensioniert sein. Die geforderten Leistungswerte (Performance) bemessen sich letztlich am Datenaufkommen, das über den Fernzugriff übertra-gen wird.

– Insbesondere hoch interaktive Anwendungen dürfen nicht durch zu lange Verzögerungen (La-tenz) beeinträchtigt werden.

– Bei Verlust des Endgeräts muss der Schaden begrenzt und überschaubar sein. Mögliche Schäden entstehen durch den Verlust der Verfügbarkeit und Vertraulichkeit der Daten des Endgeräts so-wie durch den möglichen Fernzugriff auf das Netz der Institution durch Unbefugte.

– Sicherheitsfunktionen sollten nur zu geringen Einschränkung des Bedienkomforts führen. An-dernfalls neigen Benutzer dazu, Sicherheitsfunktionen zu umgehen und dadurch die Sicherheit zu gefährden. Notierte Passwörter sind hierfür nur ein Beispiel.

Die genannten Anforderungen begründen eine Grundarchitektur für den sicheren Fernzugriff bei normalem Schutzbedarf, die durch alternative Ergänzungen auch für einen höheren Schutzbedarf ausgelegt werden kann.

2.2 Basistechniken

Die folgenden Basistechniken können für die Einrichtung des Fernzugriffs in das Netz einer Institu-tion zum Einsatz kommen. Sie sind mögliche Bestandteile der Grundarchitektur oder einer ihrer Varianten. Neben der Erklärung der Technik werden Verbreitungsgrad, Parameter, Sicherheits-merkmale und Einsatzszenarien beschrieben.



2.2.1 Zugangstechniken/-protokolle

Für den Fernzugriff muss das Endgerät eine Zugangstechnik zu einem Transfernetz unterstützen, an das auch das Netz der Institution angeschlossen ist. Im Folgenden werden zuerst die verwendeten Techniken und dann die eingesetzten Protokolle kurz erläutert.

ISDN/Analog

Über ein ISDN/Analog-Modem und einen Telefonanschluss kann sich ein Endgerät über das öffent-liche leitungsgebundene Telefonnetz (PSTN, Public Switched Telephone Network) in einen ISDN/Analog-Einwahl-Server einwählen, um eine PPP-Verbindung (Point-to-Point-Protocol) auf-zubauen. Der Server kann entweder direkt von der Institution betrieben werden, in die der Fernzu-griff erfolgt, oder als Internet-Zugang von einem Internet Service Provider.

Bei modernen Endgeräten, wie Desktop-PC und Laptop, gehört ein ISDN/Analog-Modem oft zur vorhandenen Grundausstattung. Entsprechende Treiber für Modems sind für alle gängigen Betriebs-systeme verfügbar. Damit ist der Fernzugriff prinzipiell von jedem analogen bzw. ISDN-Telefonan-schluss aus möglich.

Bei einem Analog-Anschluss schließt ein bestehender Fernzugriff die gleichzeitige telefonische Er-reichbarkeit über den Telefonanschluss aus, da nur ein Kanal zur Verfügung steht. Die Datenüber-tragungsrate beträgt maximal 56 kbit/s.

Ein ISDN-Endkundenanschluss stellt zwei Kanäle mit je maximal 64 kbit/s Datenübertragungsrate zur Verfügung. Wird nur ein Kanal für den Fernzugriff genutzt, ist der Anschluss gleichzeitig tele-fonisch auf dem zweiten Kanal erreichbar. Ein ISDN-Firmenanschluss stellt bis zu 30 Kanäle pro Anschluss zur Verfügung.

Sowohl die Analog- als auch die ISDN-Einwahl unterstützen das Sicherheitsmerkmal „Call-back-Option“. Das heißt: Unmittelbar nach der Einwahl des Endgeräts erfolgt der Rückruf durch den Ein-wahl-Server. Diese Funktion lässt sich zur Zugangskontrolle nutzen, da ein Rückruf nur zu definier-ten Telefonnummern erfolgt. Weitere Sicherheitsmerkmale wie etwa die Einschränkung der Endge-räte, von denen aus eine Einwahl erfolgen kann (Closed User Group) und die Authentisierung des Endgeräts werden nur bei ISDN unterstützt.

Digital Subscriber Line (DSL)

DSL ermöglicht einen Internet-Zugang über den Analog- oder ISDN-Anschluss des vermittelnden Telefonnetzes. Allerdings unterstützt DSL im Vergleich zu Analog/ISDN sehr viele höhere Daten-übertragungsraten.

Die asymmetrische DSL-Ausprägung ADSL (Asymmetric Digital Subscriber Line) stellt eine hohe Datenübertragungsrate in Richtung Benutzer (Downlink-Rate) und eine niedrige Datenübertra-gungsrate in Richtung Internet (Uplink-Rate) zur Verfügung. Typische maximale ADSL-Daten-übertragungsraten sind für Download / Upload (in kbit/s): 1024/128, 2048/192, 6016/384 und 16000/1024.

Die symmetrische DSL-Ausprägung SDSL (Symmetric Digital Subscriber Line) stellt gleich hohe Datenübertragungsraten in Richtung Benutzer und in Richtung Internet zur Verfügung. Typische maximale SDSL-Datenübertragungsraten sind (in kbit/s): 1024, 2048, 4096, 6016, 10000 und 20000.

DSL ermöglicht eine quasi-permanente Verbindung zum Internet. DSL-Verbindungen werden im Allgemeinen in regelmäßigen Zeitintervallen vom Anbieter getrennt, bei Bedarf aber schnell neu



aufgebaut. Dies kann kurzzeitige Leitungsunterbrechungen, gegebenenfalls auch einen Wechsel der IP-Adresse des Endgeräts, zur Folge haben.

Im Gegensatz zum Internet-Zugang über Analog-/ISDN-Modem wird die Nutzung von DSL-Ver-bindungen noch nicht überall angeboten. Der Zugang über DSL setzt eine geografische Nähe von wenigen Kilometern zu einer DSL-Vermittlungsstelle (DSLAM, Digital Subscriber Line Access Multiplexer) voraus, wie sie in Ballungszentren gegeben ist. Im ländlichen Raum ist nicht immer eine Vermittlungsstation in ausreichender Nähe vorhanden.

Um DSL zu nutzen benötigt der Benutzer spezielle Hardware. Sie ist in der Regel nicht auf dem Endgerät integriert und muss zusätzlich zum externen Endgerät betrieben werden. Hierzu zählen DSL-Modem und Splitter.

Aufgrund der erforderlichen zusätzlichen externen Hardware und räumlichen Nähe zu einer DSL-Vermittlungsstelle ist DSL weniger für den mobilen als vielmehr für den stationären Fernzugriff ge-eignet.

Global System for Mobile Communications (GSM)

GSM (ehemals Groupe Spéciale Mobile, heute Global System for Mobile Communications) be-zeichnet den weltweit am meisten verbreiteten Standard für digitale Mobilfunknetze. Als digitaler Nachfolger der analogen A-, B- und C-Netze gilt GSM als Mobilfunkstandard der sogenannten zweiten Generation (2G). In Deutschland erfolgte der GSM-Start 1992 mit dem D-Netz.

GSM besteht aus dem GSM-Netz und den GSM-fähigen Endgeräten, auch MS (Mobile Station) ge-nannt. Zu einer MS gehört immer eine SIM-Karte (Subscriber Identity Module), auf der benutzerbe-zogene Daten und Schlüsselmaterial für Authentisierung und Verschlüsselung gespeichert sind. Die SIM-Karte besitzt neben dem Speicher auch einen eigenen Prozessor.

Zu den GSM-Sicherheitsmerkmalen zählen Authentisierung und Verschlüsselung. Der Benutzer au-thentisiert sich gegenüber der SIM-Karte durch eine PIN. Die SIM-Karte authentisiert sich gegen-über einer Basisstation des Mobilfunknetzes mittels einem Pre-Shared Key und einem Challenge-Response-Verfahren. Eine Authentisierung des Mobilfunknetzes gegenüber der SIM-Karte erfolgt nicht. Das kann bei einem „Man-in-the-Middle“-Angriff ausgenutzt werden, um ein Mobiltelefon abzuhören. Der Angreifer gibt sich gegenüber dem Mobiltelefon als Basisstation und gegenüber der Basisstation als Mobiltelefon aus. Für einen erfolgreichen Angriff muss er sich möglichst nah am abzuhörenden Mobiltelefon befinden, um sich ihm gegenüber als sendestärkste Basisstation auszu-weisen. Andernfalls wählt das Mobiltelefon eine reguläre Basisstation wegen deren besseren Sende-leistung.

Die GSM-Verschlüsselung beschränkt sich auf die Funkstrecke zwischen Endgerät und Basisstation des Mobilfunknetzes und setzt nicht öffentlich zugängliche Verschlüsselungsverfahren ein. Diese Verschlüsselung schützt nicht gegen den beschriebenen „Man-in-the-Middle“-Angriff.

Point-to-Point Protocol (PPP)

PPP [RFC 1661] ist ein Protokoll der Netzzugangsschicht (im TCP/IP-Referenzmodell). Es dient insbesondere dem Aufbau von TCP/IP-Verbindungen über Analog- und ISDN-Wählleitungen.

PPP unterstützt die Authentisierungsverfahren PAP (Password Authentication Protocol, [RFC1334]) und CHAP (Challenge Handshake Authentication Protocol, [RFC 1994]). Bei PAP authenti-siert sich der Benutzer gegenüber dem Einwahl-Server anhand einer Benutzer-Kennung und eines Passworts. Beide werden unverschlüsselt übertragen. Die CHAP-Authentisierung basiert ebenfalls auf Benutzerkennung und Passwort. Allerdings kommt ein Challenge-Response-Verfahren zum



Einsatz, bei dem aus einer Zufallszahl und dem Passwort ein Hashwert errechnet und übertragen wird.

PPP over Ethernet (PPPoE)

PPPoE [RFC 2516] realisiert die Verwendung von PPP über Ethernet. PPPoE kommt beispielswei-se beim Netzzugang über DSL zum Einsatz, da DSL auf der Netzzugangsschicht Ethernet unter-stützt. Bei DSL sind die PPP-Endpunkte auf Benutzerseite ein DSL-Modem und auf Seite des ISP (Internet Service Provider) ein als DSL Access Concentrator (DSL-AC) fungierender Broadband Remote Access Server (BRAS).

Point-to-Point Tunneling Protocol (PPTP)

PPTP (Point-to-Point Tunneling Protocol [RFC 2637]) ist ein Netzprotokoll der Anwendungs-schicht zum Tunneln des Point-to-Point Protocols. Es unterstützt Authentisierungsverfahren und die Verschlüsselung der Kommunikationsverbindung auf Basis von Passwörtern. Die Stärke von Au-thentisierungsverfahren und Verschlüsselung ist durch schwache Passwörter bedroht. Das bedeutet, dass keine leicht zu erratenden Passwörter verwendet werden sollten. Die Passwörter sollten zudem eine ausreichende Länge vorweisen.

PPTP wurde in älteren Microsoft-Betriebssystemen verwendet. In aktuellen Microsoft-Betriebssys-temen wird stattdessen L2TP bzw. L2TP/IPSec eingesetzt.

General Packet Radio Service (GPRS)

GPRS (seit 2001) ist ein paketorientierter Datendienst zur Datenübertragung im GSM-Netz. GPRS unterstützt theoretisch Datenübertragungsraten bis zu 171 kbit/s, realistisch sind Raten von ca. 50 kbit/s.

GPRS vermittelt einzelne Datenpakete und sieht nicht die Schaltung fester Übertragungswege vor. Diese sind für den Benutzer nur dann belegt, wenn Daten über GPRS übertragen werden. Ansons-ten stehen sie, auch bei bestehender GPRS-Verbindung, anderen Benutzern zur Verfügung. Aus diesem Grund beziehen sich GPRS-Abrechnungen in der Regel auf die übertragenen Datenmengen und nicht auf die Verbindungsdauer.

Für die Datenübertragung nutzt GPRS das Internet-Protokoll (IP). Jedes Endgerät erhält eine indivi-duelle IP-Adresse. GPRS ermöglicht es den Nutzern, ständig im Netz eingebucht zu bleiben („al-ways online“).

Moderne Mobiltelefone und Smartphones unterstützen GPRS. Andere Endgeräte, wie Laptops, kön-nen durch ein externes GPRS-Modem für den mobilen Internet-Zugang (als Voraussetzung für den Fernzugriff) ergänzt werden, etwa in Form einer PCMCIA-Karte1. Für die GPRS-Nutzung ist ein Vertrag mit einem Mobilfunk-Netzbetreiber erforderlich. Die zu dem Mobilfunkvertrag gehörende SIM-Karte wird in das GPRS-Modem gesteckt.

Universal Mobile Telecommunications System (UMTS)

UMTS (seit 2004) ist als Nachfolger von GSM/GPRS ein Mobilfunkstandard der dritten Generation (3G). Aufgrund einer leistungsfähigeren Funktechnik unterstützt das System sehr viel höhere Da-tenübertragungsraten als GSM/GPRS. So sind für ein bewegtes Endgerät mit einer Maximalge-

1 Eine PCMCIA-Karte (Personal Computer Memory Card International Association) ist eine etwa Kreditkarten-große wenige Millimeter dicke Erweiterungskarte. Mobile Computer mit PCMCIA-Steckplätzen können damit um zusätz-liche Funktionen erweitert werden.



schwindigkeit von 500 km/h Datenübertragungsraten bis zu 144 kbit/s, für quasi stationäre Endge-räte bis zu 2 Mbit/s möglich. UMTS-Endgeräte unterstützen in der Regel für Sprach- und Datenver-bindungen auch GSM und GPRS.

UMTS unterstützt die Sicherheitsmerkmale von GSM, ergänzend ist die Authentisierung des Mo-bilfunknetzes gegenüber der SIM-Karte des Endgeräts realisiert. Zudem gibt es einen Integritäts-schutz der Funkstrecke zwischen Endgerät und Mobilfunknetz.

Moderne Mobiltelefone und Smartphones sind UMTS-fähig. Andere Endgeräte wie Laptops lassen sich durch ein externes UMTS-Modem, etwa in Form einer PCMCIA-Karte, für den mobilen Inter-net-Zugang (als Voraussetzung für den Fernzugriff) ergänzen. Für die UMTS-Nutzung ist ein Ver-trag mit einem Mobilfunk-Netzbetreiber erforderlich. Die zu dem Mobilfunkvertrag gehörende SIM-Karte wird in das UMTS-Modem oder Mobiltelefon/Endgerät gesteckt.

High Speed Downlink Packet Access (HSDPA)/High Speed Uplink Packet Access (HSUPA)

HSDPA (seit 2006) und HSUPA (seit 2006) sind Übertragungsverfahren des Mobilfunkstandards UMTS für Datendienste und erlauben höhere Datenübertragungsraten. Die Download-Datenüber-tragungsraten von HSDPA reichen bis zu maximal 7,2 Mbit/s (seit 2008). Die entsprechenden Up-load-Datenübertragungsraten von HSUPA reichen von maximal 384 kbit/s (seit 2006) bis zu maxi-mal 3,6 Mbit/s (seit 2008). Gegenüber UMTS zeichnet sich HSDPA auch durch eine niedrigere La-tenzzeit2 aus.

Beide Übertragungsverfahren erfordern HSDPA/HSUPA-fähige Endgeräte bzw. entsprechende ex-terne Modems. Die Verfügbarkeit von HSDPA/HSUPA im Mobilfunknetz ist von Betreiber und Region abhängig. Noch nicht alle Mobilfunkbetreiber bieten HSDPA/HSUPA an. Zudem ist eine Unterstützung in der Regel nicht flächendeckend gegeben, sondern konzentriert sich häufig auf Bal-lungszentren und weniger auf ländliche Gebiete.

Wireless Local Area Network (WLAN)

Mit WLAN werden drahtlose Netze bezeichnet, die auf dem Standard [IEEE 802.11]3 und seinen Erweiterungen basieren. Die WLAN-Spezifikation umfasst einen funkbasierten Übertragungsstan-dard und eine Protokollfamilie auf der Netzzugangsschicht.

Man unterscheidet zwei WLAN-Modi: Den Infrastruktur-Modus und den Ad-hoc-Betriebsmodus. Im Infrastruktur-Modus kommunizieren die WLAN-Endgeräte sternförmig mit einer Basistation, dem sogenannten Access Point (AP). Dieser dient als Vermittler, d.h. wenn Daten an einen anderen Computer oder Netzwerk übertragen werden sollen, werden die Datenpakete vom Sender aus an den Access Point geschickt, welcher dann die Pakete an den Empfänger weiterleitet. Der Ad-hoc-Betriebsmodus ermöglicht eine Datenübertragung zwischen zwei WLAN-Endgeräten ohne Access Point.

WLAN im Infrastruktur-Modus ist eine mögliche Netzzugangstechnik für den Fernzugriff - bei-spielsweise stationär am Heimarbeitsplatz über einen WLAN-Router (Gerät mit Access Point und Router) und einen Internet-Zugang (z. B. DSL) oder mobil an Orten mit öffentlich zugänglichem Access Point. Das können etwa Hotels, Flughäfen, Messen oder Kongressgebäude sein.

Die Reichweite der mobilen WLAN-Nutzung ist durch die im WLAN-Standard festgelegten Sende-leistung für Reichweiten auf eine Größenordnung von 100 Metern beschränkt. WLAN ist daher nur

2 Die Latenzzeit bezeichnet die Verzögerung zwischen dem Initiieren eines Ereignisses, wie dem Aufruf einer Web-Seite, und dem Eintreten des Ereignisses, wie der Darstellung der Web-Seite.

3 Neben IEEE 802.11 gibt es auch noch andere WLAN Spezifikationen, wie z. B. HomeRF oder HiperLAN/2. Diese besitzen jedoch keine praktische Relevanz mehr.



in relativer Nähe von Access Points nutzbar. Eine größere Mobilität und flächendeckende Verbrei-tung bieten Mobilfunk oder WiMax als alternative Netzzugänge.

Als Sicherheitsmerkmale unterstützt WLAN Verschlüsselung, Integritätssicherung und Authentisie-rung auf der Netzzugangsschicht. Die gesamte Kommunikation über WLAN sollte nach Möglich-keit mittels WPA2, übergangsweise auch mit WPA, oder alternativ mittels eines VPN verschlüsselt werden. Es sollte eine gegenseitige Authentisierung zwischen den Clients und der WLAN-Infra-struktur erfolgen (z. B. mittels EAP-TLS), um unberechtigte Mitbenutzung zu verhindern. Die Um-setzung der Sicherheitsmerkmale erfordert eine entsprechende Konfiguration des Access Points. Betreibt der Benutzer den Access Point selbst, ist er für die Anwendung der Sicherheitsmerkmale verantwortlich. Dies ist in der Regel an einem Heimarbeitsplatz gegeben. In einem solchen Fall muss sich der Benutzer durch eine entsprechende Konfiguration vor der unbefugten Mitnutzung des Access Points durch Dritte schützen4.

Moderne Endgeräte des Typs Laptop sind in der Regel WLAN-fähig. Ansonsten lässt sich die erfor-derliche WLAN-Client-Hardware auch nachrüsten, etwa in Form einer PCMCIA-WLAN-Karte oder eines WLAN-USB-Sticks.

Worldwide Interoperability for Microwave Access (WiMAX)

WiMAX ist ein funkbasierter Übertragungsstandard nach IEEE 802.16 für hohe Datenübertra-gungsraten bis zu 20 Mbit/s und bezeichnet eine Protokollfamilie auf der Netzzugangsschicht mit Reichweiten im Kilometerbereich. WiMAX wird meist zum Aufbau von Zugangsnetzen (Access-Bereich) verwendet und stellt damit eine kabellose Alternative zu DSL dar. Einige WiMAX-Vari-anten unterstützen den Wechsel eines Endgeräts zwischen WiMAX-Funkzellen ohne dass eine be-stehende Kommunikationsbeziehung des Endgeräts unterbrochen wird.

Zu den WiMAX-Sicherheitsmerkmalen zählen Authentisierung und Verschlüsselung. WiMAX-Cli-ents authentisieren sich gegenüber einem WiMAX-Netz mittels Zertifikaten, während ein WiMAX-Netz zur Authentisierung gegenüber einem WiMAX-Client ein EAP-Verfahren (Extensible Authen-tication Protocol) nutzt. Die Verschlüsselung der Funkstrecke mittels des Algorithmus AES (Ad-vanced Encryption Standard) beschränkt sich nur auf die Nutzdaten.

Die Verbreitung von WiMAX-Netzen für den privaten und geschäftlichen Gebrauch schreitet im städtischen und ländlichen Raum voran. Eine flächendeckende Verfügbarkeit liegt jedoch noch in weiter Ferne.

Es sind erste Smartphones verfügbar, die neben GSM und UMTS auch WiMAX unterstützen. Die erforderliche WiMAX-Client-Hardware kann aber auch in Form eines externen WiMAX-Modems nachgerüstet werden.

2.2.2 VPN-Zugangstechniken

VPN-Techniken und die zugrunde liegenden Protokolle stellen wesentliche Komponenten des Fern-zugriffs dar. Sie realisieren eine abgesicherte Kommunikationsverbindung und erlauben so den Fernzugriff auch über unsichere Netze bzw. über Netze mit unbekanntem Sicherheitsniveau.

Virtual Private Network (VPN)

Ein VPN wird physisch innerhalb eines anderen Netzes (meist des Internets) betrieben, ist jedoch logisch von diesem Netz getrennt. VPNs können unter Zuhilfenahme kryptografischer Verfahren

4 Detaillierte Sicherheitsempfehlungen für den Einsatz von WLAN bieten [BSI-TR-WLAN 2005] und [ISi-WLAN]



die Integrität und Vertraulichkeit von Daten schützen und die Kommunikationspartner sicher au-thentisieren. Ein kryptografisch gesichertes VPN wird auch als Secure VPN bezeichnet. Im Rahmen dieser Studie werden die Begriffe VPN und Secure VPN synonym verwendet.

Internet Protocol Secure (IPSec)

IPSec, ist ein Sammelbegriff für Sicherheitserweiterungen des Internet-Protokolls (IP) zur krypto-grafischen Absicherung IP-basierter Kommunikation [RFC 4301]. Hierzu zählen die gegenseitige Authentisierung der Kommunikationsendpunkte, die Sicherung der Integrität der übertragenen Da-ten durch digitale Signaturen und die Sicherung der Vertraulichkeit der übertragenen Daten oder des gesamten IP-Datenpakets durch Verschlüsselung. Die Absicherung durch IPSec beschränkt sich auf die Kommunikationsverbindung, die im Fall des Fernzugriffs zwischen einem Endgerät des Be-nutzers und einem VPN-Gateway im Netz der Institution besteht. Mit IPSec lassen sich personenbe-zogene und maschinenbezogene Authentisierungen realisieren.

In IPSec werden drei unterschiedliche Protokolle definiert: Internet Key Exchange (IKE) zum Schlüsselaustausch und Aufbau der Verbindung, Authentication Header (AH) für die Authentisie-rung und Encapsulating Security Payload (ESP) für Datenverschlüsselung und Authentisierung. Detaillierte Informationen hierzu sind in [ISi-VPN] zu finden.

Erfolgt auf der IPSec-gesicherten Kommunikationsverbindung eine Übersetzung von privaten/inter-nen IP-Adressen in öffentliche/externe IP-Adressen (NAT), kann es zu Problemen kommen ([RFC3715]). NAT-Kompatibilität (NAT Traversal) ist ein wichtiges Auswahlkriterium eines geeigneten VPN-Produkts auf Basis von IPSec. Standardisierte Lösungen, die herstellerübergreifend umgesetzt werden, haben sich noch nicht durchgesetzt5.

In Version 4 des Internet-Protokolls (IPv4) kann IPSec optional implementiert werden, in Version 6 (IPv6) ist IPSec Teil des Standards, es muss aber nicht eingesetzt werden.

Layer 2 Tunneling Protocol (L2TP)

L2TP (Layer 2 Tunneling Protocol) ist ein Netzprotokoll der Anwendungsschicht6. In der Version 2 ([RFC 2661]) dient es zum Tunneln des Point-to-Point Protocols (PPP, s. Abschnitt 2.2.1). Die L2TP Version 3 ([RFC 3931]) tunnelt auch andere Netzprotokolle der Netzzugangsschicht7.

Unter Tunneling versteht man eine Methode, bei der in der Regel Daten eines Netzprotokolls A über ein anderes Netzprotokoll B transportiert werden. Dabei bildet das Datenpaket des Protokolls A die Nutzlast (Payload) des Protokolls B, d. h. der Datenteil des Protokolls B enthält das Paket des Protokolls A.

L2TP unterstützt die Authentisierungsverfahren CHAP (Challenge Handshake Authentication Pro-tocol) und PAP (Password Authentication Protocol). Kryptografische Verfahren zum Schutz der Vertraulichkeit oder der Integrität unterstützt L2TP nicht. Diese können durch Netzprotokolle unte-rer Schichten umgesetzt werden, wie bei L2TP/IPSec in [RFC 3193] durch IPSec, auch „L2TP tun-nel security“ genannt. Alternativ lassen sich kryptografische Verfahren auch innerhalb des L2TP-Tunnels realisieren. Dann spricht man von Ende-zu-Ende-Sicherheit. Ein Beispiel hierfür ist das proprietäre Verfahren L2Sec. L2Sec nutzt Verfahren von SSL/TLS zur VPN-Verschlüsselung und zur beidseitigen Authentisierung der VPN-Endpunkte.

5 [VPN-06]: Seit Jahren wird an der Problematik des NAT-Traversals in der IPSec Working Group des IETF gearbei-tet. Die Ergebnisse hierzu sind noch offen. Viele Hersteller von VPN-Software haben daher in ihren Produkten eine oder mehrere Versionen der z. T. untereinander inkompatiblen Lösungsvorschläge implementiert.

6 Anwendungsschicht im TCP/IP-Referenzmodell. Dem entspricht im OSI-Schichtenmodell Schicht 5-7.7 Netzzugangsschicht im TCP/IP-Referenzmodell. Dem entspricht im OSI-Schichtenmodell Schicht 1-2. L2TP tunnelt

Netzprotokolle der OSI-Schicht 2.



Secure Socket Layer (SSL)/Transport Layer Security (TLS)

SSL/TLS ist ein Netzprotokoll, das zwischen der Anwendungsschicht und der Transportschicht des TCP/IP-Referenzmodells angesiedelt ist. SSL (Secure Socket Layer) wurde in den 90er Jahren von der Firma Netscape entwickelt, um HTTP-Verbindungen abzusichern. SSL dient der Authentifizie-rung, der Verschlüsselung und der Integritätssicherung einer Kommunikationsverbindung. Die Serverauthentisierung ist immer zertifikatsbasiert8. Die zertifikatsbasierte Client-Authentisierung ist optional. Aufsetzend auf der SSL Version 3.0 führte die herstellerunabhängige Internet Engineering Task Force (IETF) die Entwicklung von SSL unter der Bezeichnung TLS fort [RFC 5246].

Ein SSL/TLS-basiertes VPN gibt es in unterschiedlichen Realisierungsvarianten. Auf Seite des Endgeräts kann eine SSL/TLS-Verbindung durch einen Standard-Browser aufgebaut werden. Damit ist diese Variante im Prinzip unabhängig vom Endgerät, da abgesehen von dem Browser keine spe-zielle VPN-Client-Software vorhanden sein muss. Eine gewollte technische Abhängigkeit vom Endgerät ließe sich durch eine maschinenbezogene Authentisierung des Endgeräts realisieren.

Alternativ zum Browser ist als spezielle Software auf Seite des Endgeräts auch ein sogenannter SSL-Forwarder einsetzbar. Damit lässt sich über eine virtuelle Netzschnittstelle eine vollständige Integration des Endgeräts in das Netz der Institution realisieren.

OpenVPN

OpenVPN9 ist ein Beispiel einer VPN-Implementierung, die zur kryptografischen Absicherung der Kommunikationsverbindung SSL/TLS einsetzt. Über einen SSL-Forwarder und eine virtuelle Netz-schnittstelle lässt sich eine vollständige Integration des Endgeräts in das Netz der Institution reali-sieren.

Die Open Source VPN Implementierung OpenVPN unterstützt die gängigen Betriebssysteme.

Secure Shell (SSH) (PPP über SSH, tun-based-VPN)

SSH ist ein Programm und eine Protokollspezifikation [RFC 4253] eines Netzprotokolls der An-wendungsschicht für den gesicherten entfernten Zugang zu einem IT-System über ein unsicheres Netz. Es unterstützt zertifikatsbasierte Verfahren zur Authentisierung der Kommunikationspartner sowie zur kryptografischen Sicherung der Vertraulichkeit und Integrität der Kommunikationsver-bindung.

Mit SSH können beliebige TCP/IP-basierter Netzprotokolle getunnelt werden. Mit Hilfe des Layer 2 Tunneling Protocol (L2TP) lässt sich über SSH ein kryptografisch gesichertes VPN realisieren.

SSH-Implementierungen liegen für alle gängigen Betriebssysteme vor und mit OpenSSH10 auch als Open Source-Variante.

2.2.3 Übersicht der verschiedenen VPN-Realisierungen

In der folgenden Tabelle werden die oben beschriebenen VPN-Varianten miteinander verglichen.

8 Ein Zertifikat ist ein Dokument, das die Identifikation des Servers und der Domäne ermöglicht. Die Vertrauenswür-digkeit dieses Dokumentes wird sichergestellt, indem es von einer Zertifizierungsstelle (Certification Authority) si-gniert wird, die selbst wiederum von einer Reihe höherer Stellen zertifiziert ist. Am Ende einer solchen Kette stehen sogenannte Root-Zertifizierungsstellen, deren Zertifikate fix in den Browsern eingetragen sind und denen absolut vertraut wird. Dadurch wird erreicht, dass keine manuelle Überprüfung eines abgeleiteten Zertifikates durchgeführt werden muss, wenn dem Browser die darüber liegende Zertifizierungsstelle bekannt ist.

9 http://www.openvpn.net/10 http://openssh.com/



Merkmal IPSec L2TP over IPSec

SSL/TLS„Clientless“

SSL/TLS-Cli-ent

PPP über SSL/TLS

Transportprotokoll (AH), ESP, UDP1) ESP, UDP1) HTTPS SSL/TCP SSL/TCP

Tun

nel/

Tra

nspo

rt v

on nicht-IP - x - - x

TCP x x - x x

UDP x x - h x

NAT verträglich h h2) x x x

Komprimierung h h2) h h h

LAN-LAN-Kopp-lung möglich x x - - x

Externe Authenti-sierung möglich h h h h h

Tabelle 1: Vergleich der VPN-Varianten (x: vorhanden, -: nicht vorhanden, h: herstellerspezifisch)

Anmerkungen: 1) In der Regel nur mit NAT-Traversal möglich, da hier üblicherweise IPSec im Transport-Modus verwendet wird2) Abhängig von der IPSec-Implementierung

Die folgende Tabelle stellt kurz die Vor- und Nachteile der einzelnen VPN-Realisierungen gegen-über und gibt deren Haupteinsatzgebiet an.

Verfahren Vorteile Nachteile Empfohlenes Einsatzgebiet

IPSec Weit verbreitet, sichere Verfahren zur Authentisierung und Verschlüsselung, hohe Bandbreite

Z. T. aufwändige Konfigura-tion mit vielen Optionen und somit fehleranfällig, NAT nur mit Zusatzmodul NAT Traversal

Vollzugriff (z.B. Telearbeit, mobiles Arbeiten)

L2TP/IPSec(z. B. ISDN)

Kann auch Nicht-IP-Netze über das Internet miteinander verbinden. Sichere Verfahren zur Authentisierung und Verschlüsselung

Komplexe Konfiguration des L2TP-Network-Servers und dadurch fehleranfällig

Vollzugriff: Fernzugriff über Analog oder ISDN (z.B. Te-learbeit, mobiles Arbeiten)

SSLv3/TLS Feingranular einstellbar In manchen Szenarien keine sichere Nutzerauthentisie-rung (z. B. Internet-Café)

Eingeschränkter Zugriff (z.B. Einsatz von Smart-phones)

Tabelle 2: Vor- und Nachteile verschiedener VPN-Realisierungen



2.2.4 Authentisierungsverfahren

Die im vorherigen Abschnitt beschriebenen Zugangstechniken nutzen, um die Identität der beim Fernzugriff beteiligten Kommunikationspartner sicherzustellen, unterschiedliche Authentisierungs-verfahren. So muss sich der Benutzer gegenüber dem Endgerät und dem Netz der Institution und das Endgerät gegenüber dem Netz der Institution authentisieren. Die Authentisierung eines Benut-zers wird als personenbezogene und die eines Endgeräts als maschinenbezogene Authentisierung bezeichnet. Im Folgenden werden verschiedene Authentisierungsverfahren beschrieben.

Statische Schlüssel

Statische Schlüssel sind solche, die über einen langen Zeitraum unverändert eingesetzt werden. Sie werden bei der symmetrischen Verschlüsselung verwendet und müssen hierfür beiden Kommunika-tionspartnern vorliegen. Statische Schlüssel lassen sich auch zur Authentisierung nutzen, indem bei-spielsweise eine Prüfsumme des Schlüssels den Partner authentisiert, so dass der Schlüssel selbst nicht übertragen werden muss. Die Verteilung des Schlüssels muss über einen gesicherten Kanal (z. B. persönliche Übergabe) stattfinden. Werden statische Schlüssel für einen sehr langen Zeitraum verwendet, so steigt die Gefahr, dass er durch Abhören des Datenverkehrs und mittels Kryptoanaly-se ermittelt werden kann. Verwenden mehrere Kommunikationspartner den selben Schlüssel, steigt diese Gefahr ebenfalls. Werden andererseits für jede Verbindung unterschiedliche Schlüssel ver-wendet, steigt der Administrationsaufwand erheblich an.

Eine höhere Sicherheit bietet die Entkopplung der Authentisierungsinformation von der eigentli-chen Verschlüsselung, da die ausgetauschten Authentisierungsdaten relativ klein sind. Zudem bietet sich die Möglichkeit einer dynamischen Schlüsselgenerierung an. Alle in den folgenden Abschnit-ten beschriebenen Verfahren nutzen diese Möglichkeit.

Pre-Shared Keys (PSK, Shared Secret)

Ein Pre-Shared Key (PSK, auch Shared Secret genannt) ist ein geheimer Schlüssel, der beiden Kommunikationspartnern vor Beginn des Authentisierungsverfahrens zur Verfügung stehen muss. PSK werden während der Authentisierung nicht übertragen. Die meisten PSK-Verfahren basieren auf dem Versand von Hashwerten, berechnet aus dem PSK und einem von der Gegenstelle zuge-sandten Nonce (Challenge in Form einer zufällig gewählten Zahlenfolge). Dies verhindert Replay-angriffe, da der Nonce von dem überprüfenden System erzeugt wird und eine Wiederholung seines Wertes unwahrscheinlich ist.

Bei der maschinenbezogenen Authentisierung wird der PSK im Klartext oder verschleiert abgespei-chert. Verschleiert heißt in diesem Zusammenhang, dass sich ohne zusätzliche Informationen die Klartextform aus der abgespeicherten Form des PSK nicht ableiten lässt. Das kann z. B. bedeuten, dass der PSK mit einem in der VPN-Software fest programmierten Schlüssel symmetrisch ver-schlüsselt wurde.

Im Falle der personenbezogenen Authentisierung ist der Schlüssel von der zu authentisierenden Per-son einzugeben. Alternativ befindet er sich verschlüsselt auf einem Speichermedium und kann nur mit dem von der Person eingegebenen Passwort entschlüsselt werden.

Public-Key-Verfahren (Zertifikate)

Mit Public-Key-Verfahren können Authentisierungen sowohl mit Public-Key-Signierung als auch mit Verschlüsselung realisiert werden. Bei der häufiger anzutreffenden Authentisierung mittels Si-gnierung wird der Hashwert des von der Gegenstelle zugesandten Nonce mit Hilfe des privaten



Schlüssels signiert und an die Gegenstelle zurückgeschickt. Die Authentizität kann die Gegenstelle mit dem öffentlichen Schlüssel der zu authentisierenden Instanz überprüfen. Dieses Verfahren ist nicht-abstreitbar. Nicht-Abstreitbarkeit („non-repudiation“) bedeutet, dass sich die ausgetauschten Authentisierungsdaten unwiderlegbar einer Datenquelle zuordnen lassen.

Bei der Authentisierung mittels Public-Key-Verschlüsselung wird der Nonce mit dem öffentlichen Schlüssel der zu authentisierenden Instanz verschlüsselt und an diese versandt. Sie antwortet eben-falls mit einem verschlüsselten Nonce. Nach einer erfolgreichen Entschlüsselung auf beiden Seiten verfügen die Kommunikationsparteien über zwei Nonces, die sich zur Ableitung eines Sitzungs-schlüssels nutzen lassen. Dieses Verfahren ist abstreitbar, d. h. die ausgetauschten Authentisie-rungsdaten lassen sich nicht unwiderlegbar einer Datenquelle zuordnen.

Die Authentisierung kann maschinen- oder personenbezogen erfolgen:

Bei einer maschinenbezogenen Authentisierung wird der private Schlüssel im Klartext oder ver-schleiert abgespeichert oder befindet sich z. B. auf einer SmartCard ohne PIN (Persönliche Identifi-kationsnummer). Eine weitere Möglichkeit ist die Benutzung einer SmartCard mit PIN. Dabei wird die PIN im Klartext oder verschleiert auf dem System abgespeichert.

Im Falle der personenbezogenen Authentisierung befindet sich der private Schlüssel verschlüsselt auf einem Speichermedium und lässt sich mit dem von der Person eingegebenen Passwort ent-schlüsseln, wie z. B. bei einer SmartCard mit einer dem Benutzer bekannten PIN.

Die öffentlichen Schlüssel werden dem Kommunikationspartner meist anhand eines Zertifikats zu-geordnet. Um dessen aktuellen Gültigkeitsstatus festzustellen, ist in der Regel eine Einbettung der VPN-Endpunkte in eine PKI (Public Key Infrastructure) erforderlich.

Einmalpasswörter

Einmalpasswörter („One Time Passwords“) verlieren nach einer Verwendung ihre Gültigkeit. Das gewährleistet, dass ein Abhören einer Authentisierungssitzung einem Angreifer keine Informatio-nen bereitstellt, mit denen er eine spätere Authentisierung vornehmen könnte. Die einfachste Form der Sicherung erfolgt über Einmalpasswortlisten, die vor allem beim Internet-Banking als TANs (Transaktionsnummern) Anwendung finden.

Interessanter für VPN-Anwendungen sind Einmalpasswörter, welche der zu authentisierenden Be-nutzer mit kleinen Kryptogeräten erzeugt. Die Geräte beinhalten einen internen Timer sowie einen PSK in einer nicht auslesbaren Form. Das Einmalpasswort wird aus dem Timer-Wert und dem PSK mit Hilfe eines Hash-Algorithmus generiert und besitzt eine begrenzte Lebensdauer. Bei einigen Geräten werden Einmalpasswörter laufend angezeigt. Eine zweite Variante besitzt ein numerisches Eingabefeld für die Eingabe einer PIN. Nach einer erfolgreichen PIN-Eingabe wird das zu dieser Zeit gültige Einmalpasswort angezeigt.

Der Authentisierungsserver verfügt über eine Kopie des PSK und einen Timer, der synchron mit dem Gerätetimer ist. So kann er das jeweils gültige Passwort errechnen und dies mit der Benut-zereingabe vergleichen. Die in der Praxis verwendeten Timer weisen kleine Gangunterschiede auf. Daher muss ein Mechanismus verwendet werden, der den Servertimer bei jeder Anmeldung mit dem Gerätetimer synchronisiert. Auf dem Server ist für jedes verwaltete Gerät ein individueller Timer zu führen.

Der Authentisierungsserver wird meist als separater Server realisiert. Das Einmalpasswort und der Benutzername werden vom VPN-Gateway an den Authentisierungsserver weitergeleitet. Dieser ant-wortet mit dem Ergebnis der Passwort-Überprüfung. Die Verbindung zwischen dem VPN-Gateway und dem Authentisierungsserver muss bezüglich der Authentizität der Kommunikationspartner und der Integrität sowie der Vertraulichkeit der ausgetauschten Daten abgesichert sein.



Die Einmalpasswort-Authentisierung erfolgt meist nur einseitig, d. h. der Benutzer des VPN-Clients authentisiert sich gegenüber dem VPN-Gateway. Die Authentisierung in die entgegen gesetzte Richtung erfolgt in der Regel mit anderen Methoden, z. B. zertifikatsbasiert.

Challenge-Response-Verfahren

Beim Challenge-Response-Verfahren werden die Schlüssel asynchron aus einem PSK und einem vom Authentisierungsserver zugesandten Nonce erzeugt. Dies hat den Vorteil, dass keine Timer synchronisiert werden müssen. Der Nachteil des Verfahrens besteht darin, dass die Zusendung einer Nonce im Rahmen einiger älterer Anmeldeprotokolle nicht möglich ist.

Wie das Einmalpasswort-Verfahren dient das Challenge-Response-Verfahren lediglich einer einsei-tigen Authentisierung des VPN-Clients am VPN-Gateway. Die Authentisierung in die entgegen ge-setzte Richtung erfolgt meist mit anderen Methoden, z. B. zertifikatsbasiert.

2-Faktor-Authentisierung

Bei der 2-Faktor-Authentisierung werden zur Authentisierung zwei Merkmale angewendet. Typi-sche Ausprägungen sind zum Beispiel:

– Wissen (z. B. PIN, Passwort)

– Besitz (z. B. SmartCard, Token)

– Biometrisches Merkmal (z. B. Fingerabdruck; andere mögliche biometrische Merkmale, wie Au-genhintergrund oder Gesichtsform, sind im Zusammenhang mit Fernzugriff nicht gebräuchlich.)

Eine 2-Faktor-Authentisierung basiert typischerweise auf einen der folgenden Paare:

– Wissen und Besitz,

– Wissen und biometrisches Merkmal,

– Besitz und biometrisches Merkmal.

2.2.5 Anwendungsprotokolle

Anwendungsprotokolle werden beim Fernzugriff eingesetzt, um auf einem Endgerät bestimmte An-wendungen im Netz der Institution zu nutzen. In typischen Szenarien zum Fernzugriff dürften ins-besondere Anwendungsprotokolle zur E-Mail- und zur Web-Nutzung eingesetzt werden.

SMTP

SMTP (Simple Mail Transfer Protocol, [RFC 5321]) ist ein textbasiertes Protokoll zur Übertragung von E-Mails zwischen E-Mail-Servern oder zwischen E-Mail-Client und E-Mail-Server.

IMAP4

IMAPv4 (Internet Message Access Protocol Version 4, [RFC 3501]) ist ein textbasiertes Protokoll für den Zugriff und die Verwaltung von E-Mails. Die E-Mails verbleiben hierbei in der Regel auf dem E-Mail-Server. IMAP unterstützt verschiedene Authentisierungsmethoden sowie SSL/TLS für die sichere Kommunikation zwischen E-Mail-Client und E-Mail-Server.

Bei IMAP4 IDLE ([RFC 2177]) handelt es sich um eine herstellerunabhängige Ergänzung von IMAP4, die sich zur mobilen E-Mail-Synchronisation nutzen lässt. Zwischen Endgerät und Server



besteht eine ständige Verbindung. Um diese Verbindung aufrechtzuerhalten, sendet das Endgerät in regelmäßigen Abständen den Befehl „IDLE“. Auf diese Weise kann der Server eine neue E-Mail unverzüglich an das Endgerät ausliefern, ohne eine neue Verbindung aufbauen zu müssen.

Eine Erweiterung des IMAP-Protokolls nennt sich diconnected IMAP. Diese erlaubt das Zwischen-speichern der E-Mails auf dem lokalen Rechner, wodurch die Bearbeitung der E-Mails auch offline möglich ist.

SyncML

Die SyncML-Protokoll-Familie ist ein herstellerunabhängiger Standard der Open Mobile Alliance11 (OMA) und dient der Synchronisation von Daten und der Verwaltung von Einstellungen von End-geräten (Device Management). Ein mögliches SyncML-Einsatzszenario im Zusammenhang mit dem Fernzugriff ist die mobile E-Mail-Synchronisation zwischen einem mobilen Endgerät wie ei-nem Smartphone und einem E-Mail-Server im Netz einer Institution.

2.2.6 Virtualisierung

Virtualisierung bedeutet, dass auf einem physischen IT-System ein oder mehrere virtuelle IT-Syste-me betrieben werden, auf denen sich im Prinzip beliebige Betriebssysteme nutzen lassen. Hierfür ist eine spezielle Software erforderlich, die sogenannte Virtualisierungsschicht. Diese sorgt in der Re-gel dafür, dass

– sich jedes virtuelle IT-System für die darin ablaufende Software nahezu wie ein eigenständiger physischer Computer darstellt,

– die einzelnen virtuellen IT-Systeme voneinander isoliert werden und nur über festgelegte Wege miteinander kommunizieren können und

– die einzelnen virtuellen IT-Systeme in geordneter Weise auf die Ressourcen der Hardware des physischen IT-Systems zugreifen können.

Eine mögliche Ausprägung der Virtualisierung im Zusammenhang mit dem Fernzugriff ist ein vir-tuelles IT-System in der bestehenden „realen“ Betriebssystemumgebung des Endgeräts. Auf dem virtuellen IT-System läuft ein an den Fernzugriff angepasstes Betriebssystem. Dies hat den Vorteil, dass die unternehmenseigenen Anwendungen und Daten in der virtuellen Maschine gekapselt sind. Außerhalb des virtuellen IT-Systems kann der Benutzer das bestehende Betriebssystem mit den dort installierten Anwendungen nutzen.

Eine Alternative ist der Betrieb mehrerer, individuell konfigurierbarer und voneinander getrennter virtueller IT-Systeme auf einem physischen Endgerät. Zur Betriebssystemumgebung des physi-schen Endgeräts selbst hat der Benutzer keinen Zugang. Jede Anwendung läuft in einem virtuellen IT-System. Die Virtualisierungsschicht kann für alle virtuellen IT-Systeme die gleichen Sicherheits-merkmale durchsetzen, etwa für einen VPN-gesicherten Fernzugriff. Ein Beispiel hierfür ist die „SINA Virtual Workstation“ aus dem SINA-Projekt12 des BSI.

2.3 Komponenten des Fernzugriffs

Dieser Abschnitt stellt die zentralen Komponenten vor, die beim Fernzugriff zum Einsatz kommen.

11 http://www.openmobilealliance.org/tech/affiliates/syncml/syncmlindex.html12 Weitere Informationen zu SINA s. https://www.bsi.bund.de/cln_174/ContentBSI/Themen/SINA/sina.html



2.3.1 Endgeräte/Clients

Der Fernzugriff erfordert auf Seiten des Benutzers ein Endgerät, das je nach Bauform, Ausstat-tungsumfang, Ausgestaltung und Mobilität unterschiedlichen Kategorien zugeordnet werden kann.

Anhand der Bauform lassen sich die Endgeräte in die Typen Desktop-PC, Laptop und Smartphone oder PDA13, nach dem Ausstattungsumfang in Fat- und in Thin-Clients unterteilen. Unter Fat-Client wird im weitesten Sinn ein Client verstanden, bei dem die Anwendungen auf dem Client ausgeführt werden. Auf ihm lassen sich Daten speichern und er ist ohne Netzzugang nutzbar. Der Thin-Client stellt eine Verbindung zu einem Dienst her, der eine gewünschte Anwendung bereitstellt. Der Dienst muss dazu nicht lokal auf dem Thin-Client installiert sein. Auch werden im Normalfall keine Daten auf dem Thin-Client gespeichert. Eine mögliche Ausnahme können Daten spezieller Anwen-dungen wie PIM-Daten (PIM: Personal Information Manager14) darstellen. Das Kriterium Ausge-staltung unterscheidet zwischen physischen und virtuellen15 Endgeräten. Was die Mobilität betrifft, bilden Desktop-PCs mit geringer Mobilität einen Gegensatz zu Endgeräten vom Typ Smartphone. Einen Kompromiss hinsichtlich der Mobilität stellen Laptops dar.

Um jedoch nicht von zukünftigen Entwicklungen im Bereich der Endgeräte (Clients) abhängig zu sein, wird in dieser Studie zwischen zwei unterschiedlichen Möglichkeiten des Zugriffs auf Daten/Dienste des internen Netzes unterschieden: „Vollzugriff“ und „eingeschränkter Zugriff“. Kei-nes der oben beschriebenen Kriterien hat direkt mit der möglichen Unterscheidung des Fernzugriffs in die Typen „Vollzugriff“ und „eingeschränkter Zugriff“ zu tun. „Vollzugriff“ und „eingeschränk-ter Zugriff“ weisen letztlich nur auf den Umfang der Anwendungen und Berechtigungen hin, die ei-nem Benutzer über den Fernzugriff bereitgestellt werden. Vollzugriff auf die Daten des internen Netzes bedeutet, dass der Nutzer mit dem entsprechenden Endgerät die selben Berechtigungen hat, die er als Teil des internen Netzes hat oder hätte. Einschränkungen bei der Nutzung von Applikatio-nen und minimale Beschneidungen der Berechtigungen können aber technisch bedingt notwendig sein. Eingeschränkter Zugriff (z. B. PIM: Personal Information Manager oder andere Dienste) be-deutet, dass der Nutzer Zugang zu seinen E-Mails, Terminen, Kontakten und anderen persönlichen Informationen erhält, die in der Regel von einem unternehmenseigenem E-Mail-Server verwaltet werden.

Eine gewisse Ausnahme bilden Endgeräte wie Smartphones. Die geringe Dimensionierung von Tastatur und Display sowie die vergleichsweise geringe Performance legen den Fernzugriffstyp „eingeschränkter Zugriff“ nahe. Das ist jedoch nicht zwingend der Fall. Die Bildschirmanzeige lässt sich durch Middleware für kleine Displays optimieren. Ein Beispiel hierfür ist WAP zur optimierten Darstellung von Web-Inhalten auf Mobiltelefonen und Smartphones. Performance-Einschränkun-gen lassen sich durch den Einsatz von Terminal-Servern umgehen, die auf dem Endgerät nur den Betrieb eines entsprechenden Clients erfordern. Die Clients der eigentlichen Anwendungen laufen auf dem entsprechend performanten Terminal-Server. Zudem verfügen moderne Smartphones oft über eine vollwertige Tastatur, ohne die die sonst Smartphone-typische Anwendung mobile E-Mail-Synchronisation gar nicht möglich wäre.

13 Im weiteren Verlauf der Studie werden die Begriffe Smartphone und PDA (mit Mobilfunkschnittstelle) synonym verwendet.

14 PIM (Personal Information Management) bezeichnet die Verwaltung persönlicher Daten wie E-Mails, Kalenderein-träge, Kontakte, Memos, Adressen und Aufgaben auf dem mobilen Endgerät. Häufig schließt sie die mobile Syn-chronisation von PIM-Daten und E-Mails mit einem E-Mail-Server in einem internen Netz ein.

15 Ein virtuelles Endgerät ist ein Softwareprodukt, das es erlaubt, auf einem entfernten Rechner (Terminal-Server) so zu arbeiten, als säße man direkt davor.



2.3.2 Remote Dial-In-Server

Remote Dial-In bezeichnet den Fernzugang zum Netz einer Institution über das öffentliche leitungs-gebundene Telefonnetz.

Das Endgerät muss für ein Remote Dial-In über ein ISDN- oder ein Analog-Modem verfügen, wel-ches das Endgerät mit dem Telefonnetz verbindet. Auf Seite des Netzes der Institution ist ein ISDN-/Analog-Einwahl-Server zur Verbindung mit dem Telefonnetz erforderlich. Die maximal möglichen Datenübertragungsraten von Remote Dial-In variieren zwischen 56 kbit/s (Analog), 64 kbit/s (ein ISDN-Kanal) und 128 kbit/s (zwei ISDN-Kanäle).

Aufgrund der gestiegenen Anforderungen an die Datenübertragungsrate und der breiten Verfügbar-keit alternativer Techniken gilt Remote Dial-In nicht mehr als Standardlösung. Als befristete Notlö-sung zählt die Fernadministration und der Internet-unabhängige Fernzugang (s. Variante 5.2.2 B ). Remote Dial-In wird zunehmend durch den Fernzugriff über Internet-Zugänge ersetzt, die eine hohe Datenübertragungsrate unterstützen wie DSL, WiMax oder UMTS.

2.3.3 Network Operation Center (NOC)

Eine weit verbreitete Variante für die mobile E-Mail-Synchronisation ist jene über ein sogenanntes Network Operation Center (NOC). Hierbei handelt es sich um ein Rechenzentrum eines Anbieters, über das jeder Datenaustausch zwischen dem Smartphone und einem Synchronisationsserver gelei-tet wird. Da dieses Rechenzentrum durch den Anbieter selbst betrieben wird, ist bei dieser Lösung zu prüfen, ob die Vertraulichkeit der übertragenen Daten gewährleistet ist.

2.3.4 VPN-Gateway

Ein Endgerät baut für den Fernzugriff auf das Netz einer Institution einen VPN-Tunnel auf, der auf dem VPN-Gateway endet. Das Gateway sorgt mit Hilfe nachgelagerter Authentisierungsserver da-für, dass nur erfolgreich authentisierte Benutzer und/oder Endgeräte VPN-Tunnel aufbauen können.

2.3.5 Authentisierungsserver/AAA-Server

Auf einem Authentisierungsserver läuft ein Dienst zur Authentifizierung von Benutzern und/oder IT-Systemen. Gängige Server wie RADIUS, TACACS+ und DIAMETER unterstützen ergänzend die Funktionen Autorisierung und Abrechnung (Accounting), weshalb sie auch als AAA-Server be-zeichnet werden.

RADIUS

RADIUS (Remote Authentication Dial-in User Service, [RFC 2865]) ist ein Dienst zur Authentisie-rung, Autorisierung und Abrechnung (Accounting) von Client-Zugriffen auf IT-Systeme mittels ei-nes zentralen Servers. Darüber hinaus kann RADIUS einem Client bei der Anmeldung allgemeine Konfigurationsparameter zuteilen. Für den Zugriff sendet der Client seine relevanten Zugangsdaten (z. B. Benutzer-Kennung, Passwort-Hash, Port-Nummer) auf der Anwendungsschicht an einen RA-DIUS-Server. Dieser vergleicht die Angaben mit hinterlegten Zugriffskriterien und fordert gegebe-nenfalls vom Client eine erneute Authentisierung (Challenge-Response-Verfahren). Bei positiver Überprüfung erhält der Client die Zugriffsberechtigung mit den dazu erforderlichen Konfigurations-parametern.



RADIUS-Nachrichten werden grundsätzlich unverschlüsselt übertragen, nur einige Parameter, wie z. B. Benutzer-Passwort oder Tunnel-Passwort, sind verschlüsselt. Für Client-Anfragen (Access Re-quests) bietet das Protokoll weder Authentisierung noch Integritätssicherung, die Antworten des RADIUS-Servers sind jedoch authentisiert und gegen Verfälschung geschützt. Bei schlecht gewähl-ten Client- oder Authentisierungs-Passwörtern besteht die Gefahr sogenannter Wörterbuch-Angrif-fe.

DIAMETER

DIAMETER ist ein Rahmenwerk für Dienste zur Authentisierung, Autorisierung und Abrechnung. Seine Mindestanforderungen werden durch das „Diameter Base Protocol“ in [RFC 3588] spezifi-ziert und durch die gewachsenen Anforderungen an AAA-Dienste begründet, die das RADIUS-Pro-tokoll nicht oder nur unzureichend unterstützt. Hierzu zählt beispielsweise die verschlüsselte Über-tragung von AAA-Nachrichten durch DIAMETER im Gegensatz zu RADIUS. DIAMETER ist nicht abwärtskompatibel zu RADIUS.

TACACS+

TACACS+ [Cisco-95] ist ein proprietäres Protokoll für AAA-Dienste von Cisco, das auf Basis des Protokolls TACACS (Terminal Access Controller Access Control System, [RFC 1492]) entstanden ist. TACACS+ ist nicht abwärtskompatibel zu TACACS. Im Vergleich zu RADIUS [Cisco-08] geht TACACS+ stärker auf gewachsene Anforderungen an AAA-Dienste ein. So unterstützt TACACS+, wie DIAMETER, im Gegensatz zu RADIUS die verschlüsselte Übertragung von AAA-Nachrich-ten.

2.3.6 Terminal-Server

Beim Einsatz eines Terminal-Servers werden Anwendungsprogramme nicht auf einem Endgerät ausgeführt, sondern in emulierten Client-Umgebungen (Terminals) auf dem Terminal-Server. Nur die grafischen und akustischen Informationen des Anwendungsprogramms werden noch mit Hilfe eines speziellen Protokolls vom Terminal-Server zum Endgerät übertragen. Diesen Zugriff bezeich-net man als „Remote-Desktop“. Umgekehrt sendet eine Client-Komponente auf dem Endgerät die Tastatureingaben und Mausbewegungen des Anwenders am Endgerät über eines der im Folgenden erläuterten Protokoll zum Terminal-Server. Läuft ein Anwendungsprogramm auf einem Terminal-Server, werden die zugehörigen Daten nicht mehr auf dem Endgerät, sondern auf dem Terminal-Server oder nachgelagerten IT-Systemen gespeichert und verarbeitet.

RDP - Remote Desktop Protocol

RDP (Remote Desktop Protocol16) ist ein proprietäres Netzprotokoll von Microsoft zur Realisierung von Terminal-Server-Anwendungen. RDP-Clients gibt es für alle gängigen Betriebssysteme, RDP-Server erfordern ein Windows-Betriebssystem.

Ein Sicherheitsmerkmal von RDP ist die uni- oder bidirektionale Verschlüsselung der RDP-Verbin-dung. Ergänzend unterstützt RDP den Einsatz von SSL/TLS, etwa zur beidseitigen Authentisierung von RDP-Client und RDP-Server.

16 http://msdn.microsoft.com/en-us/library/aa383015.aspx



VNC - Virtual Network Computing

VNC (Virtual Network Computing) ist eine Remote-Desktop-PC - Lösung zur Fernbedienung eines IT-Systems und basiert auf dem Remote Framebuffer Protocol (RFP). Die Bildschirminhalte des entfernten IT-Systems (VNC-Server) werden zum Client (VNC-Viewer) und die Tastatur- und Mausbefehle vom Client zum Server übertragen. VNC-Implementierungen gibt es für alle gängigen Betriebssysteme, auch in Open Source-Varianten. VNC-Server und VNC-Viewer können auf unter-schiedlichen Betriebssystemen betrieben werden, was etwa einen Fernzugriff von einem Linux-ba-sierten Client auf einen Windows-Server erlaubt.

X11 – X Windows System

Bei einem X11 Window Systems werden die Programmausführung und die Darstellung einer An-wendung separiert. Das Projekt LTSP (Linux Terminal-Server Project17) nutzt beispielsweise diese Eigenschaft, um die Programmausführung auf einen Terminal-Server und die Anzeige auf einen Terminal-Server-Client durchzuführen. Der Client dient dabei zur Bildschirmausgabe und der Ent-gegennahme von Tastatur- und Mausbefehlen.

FreeNX/NX – NoMachine

FreeNX/NX ist ein Protokoll deren zentrale Komponenten unter der GNU GPL veröffentlicht wer-den. Das X11-Protokoll wurde um einige Funktionen erweitert und wird zur Kommunikation zwi-schen der Anwendung auf dem Server und dem Client eingesetzt. Auf dem Client ist die Installation eines X-Servers notwendig. Sowohl beim Client als auch beim Server wird jeweils ein Proxy vorge-schaltet, der die Komprimierung/Dekomprimierung sowie ein Caching vornimmt. Dadurch wird eine erhebliche Beschleunigung der Datenverbindung, im Gegensatz zur alleinigen Nutzung des X11 Protokolls, erreicht.

2.3.7 Proxy-Server

Ein Proxy-Server ist eine Art Stellvertreter für Dienste auf einem anderen Server. Der Proxy-Serv-er, z. B. ein Web-Proxy, nimmt Daten an seinem Eingang entgegen und leitet sie nach einer Prü-fung an den eigentlichen Dienst weiter. Mittels eines Proxy-Servers lassen sich Datenströme auf der Anwendungsschicht verwerfen, modifizieren oder gezielt weiterleiten.

2.3.8 Datei- und/oder Anwendungsserver

Ein Datei-Server unterstützt die zentrale Speicherung von Dateien im Netz einer Institution. Im Prinzip können alle Anwender im Netz der Institution auf die Dateien eines Datei-Servers zugrei-fen.

Auf einem Anwendungsserver werden Serverkomponenten von Anwendungen betrieben. Dadurch stehen diese Anwendungen prinzipiell allen Anwendern im Netz der Institution zur Verfügung.

17 http://ltsp.org/



3 Sichere Grundarchitektur für den FernzugriffDie Konzeption einer sicheren Grundarchitektur für den Fernzugriff geht von den in Abschnitt 2 be-schriebenen Grundlagen aus. Sie wird durch die Anforderungen an die Funktionsfähigkeit und das Sicherheitsniveau für den Fernzugriff auf das Netz einer Institution begründet.

Die folgende Abbildung zeigt die Teilnetze und IT-Systeme zum Fernzugriff in der Grundarchitek-tur.

Damit ein Fernzugriff überhaupt möglich ist, benötigt der Benutzer ein Endgerät, das einen statio-nären oder mobilen Netzzugang hat. Dieser muss über ein Transfernetz mit dem Netz der Institution verbunden sein. In der Grundarchitektur übernimmt diese Aufgabe das Internet.

In der Regel liegen der Netzzugang und das Transfernetz außerhalb der Kontrolle des Benutzers und der Institution. Deshalb kann die Grundarchitektur keine Anforderungen an deren Sicherheits-niveau stellen. Um dennoch die Vertraulichkeit und Integrität der übertragenen Daten zu gewähr-leisten, erfolgt der Fernzugriff über ein kryptografisch abgesichertes VPN. Dessen Endpunkte sind zum einen das Endgerät des Benutzers und zum anderen ein VPN-Gateway im Netz der Institution. Diese Form des VPN wird auch als Client-to-Site-VPN bezeichnet.

Die Institution muss die Möglichkeit haben, den Fernzugriff auf befugte Benutzer einzuschränken und festzulegen, auf welche IT-Systeme und Anwendungen sie zugreifen dürfen. Die hierfür erfor-derliche Authentifizierung und Autorisierung der Benutzer erfolgt durch einen AAA-Server.

Das VPN-Gateway, der AAA-Server und andere unterstützende IT-Systeme für den Fernzugriff werden in der Fernzugriffszone betrieben. Hierbei handelt es sich um einen Bereich des Netzes der Institution, der über Paketfilter von anderen Netzbereichen separiert ist. Zur Fernzugriffzone kön-


Abbildung 3.1: Sichere Grundarchitektur – Fernzugriff allgemein


nen auch Proxy- und Terminal-Server gehören, durch die sich spezielle Sicherheits- und Qualitäts-merkmale für den Fernzugriff durchsetzen lassen. Siehe hierzu Abschnitt 3.7 und Abschnitt 3.8.

Eine besondere Form des Fernzugriffs ist die mobile E-Mail-Kommunikation sowie die Synchroni-sation des Endgeräts mit dem E-Mail-Postfach im Netz der Institution, kurz mobile E-Mail-Syn-chronisation. Hierfür ist ein Endgerät vom Typ Smartphone aufgrund seiner Mobilität besonders ge-eignet. Diese Form des Fernzugriffs wird separat in Abschnitt 3.10 beschrieben.

Die folgenden Ausführungen erläutern die Grundarchitektur anhand ihrer Komponenten, Sicher-heitsmerkmale und Kommunikationsabläufe.

3.1 Benutzer und Endgerät

Der Fernzugriff auf das Netz einer Institution ist sowohl mit einem stationären als auch einem mo-bilen Endgerät möglich – also typischerweise mit einem Desktop-PC, einem Laptop oder einem Smartphone.

Zum Endgerät gehört auch die zusätzliche separate Hardware, die eine mögliche 2-Faktor-Authenti-sierung des Benutzers gegenüber dem Endgerät und/oder dem Netz der Institution unterstützt. Das kann zum Beispiel ein SmartCard-Lesegerät oder ein Einmalpasswortgenerator-Token sein. Das Endgerät muss Eigentum der Institution sein und seine Hardware und Software unter ihrer adminis-trativen Kontrolle stehen. Außerdem ist es erforderlich, dass die Institution das Endgerät explizit für den Fernzugriff auf ihr Netz freigegeben hat.

Ein Zugang vom Endgerät zu den Internet-Diensten (z. B. Web-Inhalten) darf nur über das Netz der Institution erfolgen. Hierbei sind die gleichen Sicherheitsmaßnahmen wie für einen Internet-Zugang aus dem internen Netz der Institution heraus durchzusetzen.

Soll kein institutionseigenes Gerät als Endgerät eingesetzt werden, so besteht die Möglichkeit den Fernzugriff auf einen Terminal-Server mittels einer Live-CD zu realisieren. Diese Lösung birgt je-doch einige Risiken (s.Variante 5.1.4 B).

Virenschutz des Endgeräts

Unabhängig vom Fernzugriff sollte die Institution bereits über einen ausreichenden Virenschutz verfügen. Für den Fernzugriff ist er so zu ergänzen, dass Dateien wie Betriebssystemkomponenten, Anwendungsprogramme und Korrekturprogramme (Patches) auf Schadprogramme überprüft18 wer-den, bevor sie auf dem Endgerät aufgespielt werden.

Ein Virenschutz auf dem Endgerät ist immer erforderlich, insbesondere wenn ein direkter Datenim-port zugelassen wird. Der Datenimport ist über folgende Verfahren möglich:

– mobile Datenträger

– Funkschnittstellen

– Zugriff auf Internet-Inhalte

– einen Netzzugang (z. B. Ethernet-Anschluss an das Netz einer anderen Institution mit Zugang zu deren Datei-Server)

– Mobilfunknetz und MMS (Multimedia Message Service-Nachrichten sind ein mögliches Über-tragungsmedium für Handy-Viren.)

18 Durch den Virenschutz werden die Dateien nicht geschützt, sondern nur verifiziert, dass sie virenfrei sind.



In den genannten Fällen gelangen Daten auf das Endgerät, ohne dass der Virenschutz des Netzes der Institution greifen könnte. Wenn die Daten anschließend von dort in das Netz der Institution oder auf andere IT-Systeme übertragen werden können, stellt das Endgerät einen möglichen Infekti-onspfad für Schadprogramme dar. Der Virenschutz auf dem Endgerät muss zeitnah auf den neues-ten Stand gebracht werden.

3.1.1 Desktop-PC

Ein Desktop-PC, wird als stationäres Endgerät für den Fernzugriff immer am gleichen Ort, etwa ei-nem Heimarbeitsplatz oder einem Arbeitsplatz in einer anderen Institution, eingesetzt. Mit einem Desktop-PC als Endgerät sind beide Fernzugriffstypen „Vollzugriff“ und „eingeschränkter Zugriff“ möglich.Im Fall des „Vollzugriffs“ sind das alle Anwendungen, die der Benutzer auch im internen Netz der Institution nutzen kann. Im Fall des „eingeschränkten Zugriffs“ ist dies eine anderweitig einge-schränkte Auswahl von Anwendungen. Die Beschränkung des Fernzugriffs auf die zulässigen An-wendungen sollte durch die Konfiguration der entsprechenden Komponenten der Grundarchitektur durchgesetzt werden.

3.1.2 Laptop

Ein Laptop unterstützt den mobilen, ortsunabhängigen Fernzugriff an beliebigen wechselnden Orten wie beispielsweise Heimarbeitsplätze, Hotels, Flughäfen oder andere Institutionen. Der Fachbegriff „Laptop“ umfasst als Oberbegriff auch die Geräteklassen des Typs Notebook, Subnotebook, Mini-notebook und Netbook. Mit einem Laptop sind beide Fernzugriffstypen „Vollzugriff“ und „einge-schränkter Zugriff“ möglich.

3.1.3 Smartphone

Im Zusammenhang mit dem Fernzugriff dient ein Smartphone als Endgerät für die mobile E-Mail- und PIM-Synchronisation. Es wird aufgrund der Dimensionierung von Tastatur und Bildschirm so-wie der beschränkten Performance bevorzugt für den „eingeschränkten Zugriff“ eingesetzt. Prinzi-piell lässt sich aber auch der „Vollzugriff“ über ein Smartphone realisieren, etwa über einen Ter-minal-Server-Client auf dem Smartphone.

Die WLAN-Unterstützung sollte aufgrund des hohen Gefährdungspotenzials für das Smartphone deaktiviert werden. Dadurch wird der Netzzugang in der Regel nicht eingeschränkt, weil Smart-phones über Mobilfunk arbeiten und moderne Smartphones auch Mobilfunktechniken mit hoher Datenübertragungsrate unterstützen.

3.2 Netzzugang

Der Netzzugang eines Endgeräts kann über kabelgebundene und kabellose Techniken erfolgen. In der Grundarchitektur zählen DSL und Ethernet zu den kabelgebundenen Techniken und WLAN, WiMax und Mobilfunk (z. B. GSM, UMTS) zu den kabellosen.



Am Heimarbeitsplatz ist DSL ein verbreiteter Netzzugang, auf den das Endgerät z. B. über WLAN zugreift. Eine Alternative zum kabelgebundenen DSL stellen zunehmend das kabellose WiMax und der Mobilfunk (z. B. UMTS) dar.

Die Grundarchitektur des Fernzugriffs setzt voraus, dass keine Anforderungen an das Sicherheitsni-veau des Netzzugangs gestellt werden. Mit dem Netzzugang sind Gefährdungen des Endgeräts ver-bunden, die auch von der Technik des Netzzugangs abhängen. Diese werden in Abschnitt 5 ausführ-lich beschrieben.

WLAN ist eine Möglichkeit des Netzzugangs für den mobilen und den stationären Fernzugriff (am Heimarbeitsplatz oft in Verbindung mit DSL). Er ist mit speziellen Gefährdungen des Endgeräts verbunden, die aus einer möglichen unzureichenden Sicherung des Access Points und des Endgeräts (WLAN-Client) resultieren.

Die Konfiguration des Access Points fällt nicht immer in die Zuständigkeit des Fernzugriffsbenut-zers oder dessen Institution sondern obliegt dem Betreiber des WLAN-Netzzugangs. Eine Ausnah-me bildet der WLAN-Netzzugang am Heimarbeitsplatz. In diesem Fall muss der Benutzer selbst Maßnahmen zur Sicherung des Netzzugangs durch entsprechende Konfiguration des Access Points umsetzen.

Für mobile Endgeräte des Typs Smartphone sollte der WLAN-Netzzugang gänzlich unterbunden werden. Auch für Laptops beim mobilen Einsatz empfiehlt sich der Netzzugang über Mobilfunk, WLAN sollte beim mobilen Einsatz nur in Ausnahmefällen eingesetzt werden.

Detaillierte Sicherheitsempfehlungen für den Einsatz von WLAN bieten [TR-S-WLAN] und [ISi-WLAN].

3.3 Transfernetz

In der Grundarchitektur erfolgt der Fernzugriff auf das Netz einer Institution über das Internet. Die Grundarchitektur deckt den normalen Schutzbedarf ab. Im Fall eines höheren Schutzbedarfs stellen ein Internet-unabhängiges IP-Netz eines Netzbetreibers (s. Variante 5.2.2 A) oder das öffentliche Telefonnetz Alternativen dar (s. Variante 5.2.2 B).

3.4 Netz der Institution

Die Internet-Anbindung, das Sicherheits-Gateway, die Fernzugriffszone, das interne Netz und das Management-Netz zählen zu den Komponenten des Netzes der Institution, die Bedeutung für den Fernzugriff haben. Sie werden im Folgenden vorgestellt.

3.4.1 Internet-Anbindung

Die Internet-Anbindung des Netzes der Institution ist gemäß den Empfehlungen der Studie „Sichere Anbindung von lokalen Netzen an das Internet” [ISi-LANA] zu gestalten. Zusätzlich sollte sie für den Fernzugriff über bestimmte Qualitätsmerkmale verfügen. Hierzu zählen:

– Garantierte Datenübertragungsraten, ggf. differenziert nach Upload- und Download-Raten

– Prozentsatz der Datenübertragungsrate der Internet-Anbindung, die für den Fernzugriff im Be-darfsfall mindestens garantiert wird



– Verfügbarkeit und Reaktionszeiten des Service Managements

– Aktive Störerkennung, Störungsannahme, Überwachung der Netzauslastung sowie regelmäßige Reports

– Managed Security Services, insbesondere mit Bezug zur Erkennung und Reaktion auf DDoS-Angriffe

Die Institution sollte diese Qualitätsmerkmale mit dem Internet Service Provider vereinbaren.

Bei hohen Verfügbarkeitsansprüchen bezüglich der Internet-Kommunikation muss die Internet-An-bindung redundant ausgeführt werden. Hierzu sind Varianten in [ISi-LANA] zu finden.

Die Datenübertragungsrate ist ein besonders wichtiges Qualitätsmerkmal des Fernzugriffs. Zu ihrer Bestimmung sollten die folgenden Gesichtspunkte Berücksichtigung finden:

– Erforderliche durchschnittliche Datenübertragungsrate pro Fernzugriff. Zu den bestimmenden Faktoren zählen:

• Anwendungen, die per Fernzugriff genutzt werden.

• Bei Fernzugriff auf Anwendungen über den Terminal-Server: Hier gelten die Anforderungen des Terminal-Servers an die Datenübertragungsrate und nicht die Anforderungen der Anwen-dungen, auf die über den Terminal-Server zugegriffen wird.

• Bei Fernzugriff auf E-Mail und PIM-Dienste über Synchronisationsserver: Diese können pro-prietäre Techniken einsetzen, die eine Bandbreiten-schonende Übertragung unterstützen, ins-besondere in Bezug auf E-Mail-Anhänge.

– Anzahl gleichzeitiger Fernzugriffe.

– Durchschnittliche Datenübertragungsrate anderer Anwendungen, die zeitgleich zum Fernzugriff über den selben Internet-Zugang genutzt werden.

– Latenzzeiten

– Absehbare Veränderungen im Hinblick auf obige Gesichtspunkte.

3.4.2 Sicherheits-Gateway

Jeder Netzverkehr zwischen dem Netz der Institution und dem Internet erfolgt über das Sicherheits-Gateway. Es besteht aus einer Kombination aus Paketfilter (PF1), Application Level Gateway (ALG) und Paketfilter (PF2). Bei einem Fernzugriff wird der Netzverkehr von Paketfilter PF119 zum VPN-Gateway in der Fernzugriffszone weitergeleitet. Das VPN-Gateway, der Paketfilter PF12 und der optionale Proxy in der Fernzugriffszone realisieren analoge Funktionen wie das Sicher-heits-Gateway.

3.4.3 Fernzugriffszone

Die Fernzugriffszone ist der Teil des Netzes der Institution, der exklusiv für den Fernzugriff betrie-ben wird. Sie ist durch die Paketfilter PF12 und PF6 vom internen Netz der Institution separiert.

Ist die Verfügbarkeit des Fernzugriffs von besonderer Wichtigkeit, muss eine Hochverfügbarkeits-Variante gewählt werden (z.B. Variante 5.2.2 A)

19 Zur eindeutigen Identifizierbarkeit werden die Paketfilter in den ISi-Fern-Abbildungen nummeriert. Hierbei werden die Nummerierung der Paketfilter aus [ISi-LANA] übernommen bzw. fortgesetzt.



VPN-Gateway

Das VPN-Gateway und der VPN-Client auf dem Endgerät bilden die Endpunkte eines VPN-Tun-nels. Dieser sichert die Integrität und die Vertraulichkeit der Datenübertragung des Fernzugriffs mit kryptografischen Mitteln ab. Deshalb müssen in dieser Hinsicht keine Anforderungen an das Si-cherheitsniveau des Netzzugangs und des Transfernetzes gestellt werden.

Ergänzend zur kryptografischen Sicherung der Datenübertragung verlegt das VPN-Gateway die Authentifizierung von Benutzer und/oder Endgerät auf einen nachgelagerten AAA-Server.

Das VPN-Gateway kann in der Regel bestimmte Formen der Zugriffsbeschränkung durchsetzen, etwa den Abbruch eines Fernzugriffs nach einer definierten Anzahl fehlerhafter Authentifizierungen oder nach einer definierten Dauer der Inaktivität.

Möchte eine Gruppe von Institutionen, die ein hinreichendes Vertrauensverhältnis zueinander ha-ben, einen gemeinsamen Fernzugriff realisieren, könnte eine Kombination aus einem Client-to-Site- und einem Site-to-Site-VPN in Erwägung gezogen werden (s. Variante 5.4.4 B).

Der Einsatz eines Trusted VPN stellt nur unter bestimmten Voraussetzungen eine mögliche Alterna-tive dar, da die übertragenen Daten nicht verschlüsselt, sondern lediglich durch eine logische oder physikalische Leitungstrennung geschützt werden (s. Variante 5.4.4 A).

Bei der mobilen E-Mail-Synchronisation übernimmt typischerweise ein Middleware-Gateway mit VPN- und Managementfunktionalität die Aufgaben des VPN-Gateways.

AAA-Server

Zu den Aufgaben eines AAA-Servers zählen die Authentifizierung des Benutzers, die Verwaltung und Bereitstellung möglicher Daten zu Beschränkungen des Fernzugriffs (Autorisierung) und das Erfassen definierter Daten zum Fernzugriff (Accounting). Der AAA-Server stellt auch benutzerbe-zogene Infrastrukturinformationen zum Netz der Institution bereit, die einem Endgerät bei Fernzu-griff über das VPN-Gateway übermittelt werden. Hierzu zählen die IP-Tunnel-Adresse, eine Sub-netzmaske, die IP-Adresse eines DNS-Servers oder die IP-Adresse eines Web-Proxys.

Typischerweise verwendet ein AAA-Server Protokolle wie RADIUS, DIAMETER und TACACS+. Im Gegensatz zu RADIUS erfüllen die aktuelleren Protokolle DIAMETER und TACACS+ die ge-wachsenen Anforderungen an AAA-Dienste, z. B. eine verschlüsselte Übertragung von AAA-Nach-richten. Je nach Produkt, können AAA-Server alternativ zur lokalen Datenhaltung auf Datenbestän-de eines Verzeichnisdienstes wie LDAP zugreifen.

AAA-Funktionen können produktabhängig auch durch das VPN-Gateway selbst wahrgenommen werden anstatt durch einen dedizierten AAA-Server. Dies kann vorteilhaft sein, wenn der Aufwand für eine dedizierte AAA-Infrastruktur zu hoch ist. Zu den möglichen Risiken zählen eine mangelnde Skalierbarkeit mit wachsender Anzahl von Benutzern und die Tatsache, dass es sich um eine pro-prietäre Lösung handeln kann. Zu den Vorteilen der Variante eines dedizierten AAA-Servers mit ei-nem etablierten Protokoll zählen die Möglichkeit der feingranularen benutzerindividuellen Autori-sierung, die bessere Skalierbarkeit mit zunehmender Anzahl von Benutzern und die zentrale Admi-nistrierbarkeit.

Paketfilter

Mit den Paketfiltern PF12 und PF6 lässt sich durchsetzen, dass ein bestimmter Benutzer über den Fernzugriff nur auf zuvor festgelegte IT-Systeme im Netz der Institution zugreifen kann. Dazu wer-den eine entsprechend konfigurierte Zugriffsliste (Access Control List, ACL) des Paketfilters und passend vergebene IP-Tunnel-Adressen herangezogen.



Die Konfiguration der IP-Tunnel-Adresse im AAA-Server, die an ein Endgerät eines bestimmten Benutzers im Verlauf des VPN-Tunnelaufbaus vergeben werden soll, orientiert sich an den beste-henden Zugriffsbeschränkungen der Paketfilter PF12 und/oder PF6.

Proxy-Server

Der Fernzugriff auf Anwendungen im Netz einer Institution kann über einen Proxy-Server erfolgen (siehe Abschnitt 3.7).

Terminal-Server

Eine andere mögliche Ausprägung des Fernzugriffs auf Anwendungen im Netz einer Institution ist der über einen Terminal-Server (siehe Abschnitt 3.8).

Datei- u./o. Anwendungsserver

Datei- und Anwendungsserver lassen sich in der Grundarchitektur in der Fernzugriffszone betrei-ben, wenn die entsprechenden Anwendungen nur über Fernzugriff genutzt werden (und z. B. nicht auch im internen Netz der Institution benötigt werden).

Bei hohem Schutzbedarf kann es sich bei den Datei- und Anwendungsservern in der Fernzugriffs-zone alternativ auch um sogenannte Spiegel-Server handeln (s. Variante 5.1.5 A).



3.4.4 Internes Netz

Das interne Netz umfasst ein Client- und ein Server-Segment mit den grundlegenden Diensten für den LAN-Betrieb. Zum internen Netz zählen auch die Daten- und Anwendungsserver für die lokale Nutzung und den Fernzugriff. Von der Fernzugriffszone ist das interne Netz durch Paketfilter sepa-riert. Dadurch lässt sich der Fernzugriff auf die zulässigen IT-Systeme des internen Netzes ein-schränken.

3.4.5 Netzmanagement

Das Netzmanagement setzt auf das Netzmanagement der Grundarchitektur von [ISi-LANA] auf. Für den Fernzugriff sollte es über eine Management-Station verfügen, auf der Dienste zur Protokol-lierung und zum Monitoring der IT-Systeme der Fernzugriffszone laufen.

Der Dienst zur Protokollierung sorgt für die zentrale Speicherung und Auswertung von Protokollda-ten des Fernzugriffs. Die Überwachung der für den Fernzugriff notwendigen Komponenten erfolgt durch Monitoringkomponenten in der Management-Zone. Ein Management-Client mit einer Admi-nistratorkonsole dient der zentralen Verwaltung der Komponenten des Fernzugriffs.

32 Bundesamt für Sicherheit in der InformationstechnikAbbildung 3.2: Grundarchitektur mit Management- und Überwachungsmodul


Die Nutzung des Fernzugriffs sollte protokolliert werden. Dabei sind die Unterstützung der Präven-tion und die Analyse möglicher Sicherheitsvorfälle vorrangige Ziele. Die Protokollierung kann auch eingesetzt werden, um drohende Performance-Einschränkungen des Fernzugriffs aufgrund einer wachsenden Auslastung frühzeitig zu erkennen. Die im Rahmen der Protokollierung gesammelten Informationen sollten regelmäßig durch einen Administrator mit Hilfe entsprechender Software ausgewertet werden.

Bei der Protokollierung, Speicherung und Auswertung der Protokolldaten sind alle geltenden Be-stimmungen, nicht nur die des Datenschutzes, zu beachten. Das schließt die Informationspflicht und die Einverständniserklärung jedes Benutzers des Fernzugriffs ein, der von der Protokollierung be-troffen ist.

Übersicht der Komponenten der Grundarchitektur

Komponente Ausprägung

Endgerät Stationäres Endgerät: Desktop-PC für den stationären Fernzu-griff.

Als mobiles Endgerät kommen Laptop oder Smartphone zum Einsatz. Beide eignen sich für den ortsunabhängigen Fernzu-griff.

Netzzugang DSL, insbesondere beim Fernzugriff vom Heimarbeitsplatz.

Kabelgebundenes LAN (Ethernet), insbesondere beim Fernzu-griff von einer anderen Institution aus

Funknetz: WLAN oder WiMax für den kabellosen Fernzugriff.WiMax unterstützt einen ortsunabhängigen Fernzugriff im Radi-us weniger Kilometer. WLAN dient dem ortsunabhängigen Fernzugriff nur innerhalb eines Radius von etwa 100 Metern um einen Access Point.

Mobilfunknetz: GPRS, EDGE, UMTS oder HSPA für den orts-unabhängigen Fernzugriff.

Transfernetz Internet

Netz der Institution- Fernzugriffszone

VPN-Gateway als Endpunkt des kryptografisch abgesicherten VPN im Netz der Institution.

AAA-Server zur Authentisierung, Autorisierung und Abrech-nung.

Proxy-Server oder Terminal-Server, insbesondere zur Durchset-zung von Sicherheitsmerkmalen des Fernzugriffs.

Datei- und Anwendungsserver für Daten und Anwendungen, die nur über Fernzugriff genutzt werden.

Paketfilter (PF12) zur Einschränkung der möglichen Kommuni-kationsbeziehungen des Endgeräts in die Fernzugriffszone und das interne Netz.

Netz der Institution Datei- und Anwendungsserver auf die der Fernzugriff erfolgt.



Komponente Ausprägung

- Internes Netz Paketfilter (PF6) zur Einschränkung der möglichen Kommuni-kationsbeziehungen des Endgeräts in das interne Netz der Insti-tution.

Netz der Institution- Managementzone

Unterstützende Komponenten: Protokolldatenserver/Log-Daten-Server, Monitoring-Komponenten und Administratorkonsole.

Tabelle 3: Übersicht der Komponenten aus der Grundarchitektur

3.4.6 Ablauf der Kommunikation in der Grundarchitektur

Die folgende Abbildung und Schrittfolge erläutern, wie der Fernzugriff eines Endgeräts auf das Netz einer Institution abläuft.

Schrittfolge des Fernzugriffs:

– Schritt 0: Benutzer-Authentisierung gegenüber dem Endgerät

– Schritt 1: Verbindung mit dem Zugangsnetz

Das Endgerät stellt automatisch oder manuell durch den Benutzer initiiert eine Verbindung zum Zugangsnetz her. Dabei wird der Verbindung eine IP-Adresse vom Zugangsnetz zugewiesen.

– Schritt 2: kryptografisch abgesicherter VPN-Tunnelaufbau: Authentisierung der VPN-Endpunkte

Das Endgerät initiiert den VPN-Tunnelaufbau.


Abbildung 3.3: Ablauf der Kommunikation zu: Sichere Grundarchitektur – Fernzugriff allgemein


Es werden Daten zwischen Endgerät und VPN-Gateway zur beidseitigen Authentisierung ausge-tauscht. Die Authentisierung kann etwa zertifikatsbasiert oder auf Basis eines PSK (Pre Shared Key) erfolgen. Ist sie fehlgeschlagen, wird der Vorgang des VPN-Tunnelaufbaus abgebrochen.

Endgerät und VPN-Gateway tauschen in Schritt 2 oder in Schritt 3 Schlüsselmaterial für die VPN-Verschlüsselung aus. Im Anschluss daran erfolgt die weitere Kommunikation zwischen Endgerät und VPN-Gateway verschlüsselt.

– Schritt 3: VPN-Tunnelaufbau: Authentisierung des Benutzers gegenüber dem Netz der Instituti-on

Das Endgerät leitet die Authentisierungsdaten des Benutzers an das VPN-Gateway.

Der VPN-Tunnel darf nur nach einer erfolgreichen Authentisierung des Benutzers gegenüber dem Netz der Institution aufgebaut werden.

Die Authentisierung des Benutzers muss durch ein 2-Faktor-Verfahren erfolgen. Authentisie-rungsmittel wie Schlüssel, Zertifikat oder Einmalpasswort müssen auf einer vom Endgerät ge-trennten Hardware gespeichert werden, wie beispielsweise einer SmartCard, ein USB-Stick oder ein Token zur Erzeugung von Einmalpasswörtern.

Insbesondere im Fall der mobilen E-Mail-Synchronisation ist es bei Smartphones möglich, dass eine Authentisierung des Benutzers gegenüber dem Netz der Institution nicht unterstützt wird. Dann muss alternativ zumindest eine Authentisierung des Smartphones gegenüber dem Netz der Institution erfolgen.

– Schritt 4: VPN-Tunnelaufbau: Authentifizierung des Benutzers durch den AAA-Server

Das VPN-Gateway leitet die Authentisierungsdaten des Benutzers an den AAA-Server weiter, der die Authentifizierung des Benutzers durchführt und das Ergebnis an das VPN-Gateway zu-rückgibt.

Bei einer fehlgeschlagenen Authentifizierung wird erneut Schritt 3 durchgeführt. Ist die maximal zulässige Anzahl von Fehlversuchen erreicht, bricht das VPN-Gateway den VPN-Tunnelaufbau ab und sperrt den Fernzugriff für den entsprechenden Benutzer. Ein erneuter Anmeldeversuch sollte erst nach einer manuellen Freischaltung durch einen Administrator oder nach Ablauf einer definierten zeitlichen Verzögerung möglich sein.

Der Fernzugriff durch einen Benutzer muss zeitnah gesperrt werden können, wenn der Verdacht der Kompromittierung seiner Authentisierungsmittel oder seines Endgeräts besteht.

– Schritt 5: Abschluss des VPN-Tunnelaufbaus

Bei einer erfolgreichen Authentifizierung beinhaltet die Antwort des AAA-Servers an das VPN-Gateway auch Infrastrukturinformationen, die das VPN-Gateway an das Endgerät weiterleitet. Hierzu gehört insbesondere die IP-Tunnel-Adresse, mit der das Endgerät in das Netz der Institu-tion anschließend eingebunden sein wird. Weitere Infrastrukturinformationen sind beispielsweise eine Subnetzmaske sowie die IP-Adresse des Standard-Gateways und eines DNS-Servers des Netzes der Institution.

– Schritt 6: Zugriff auf IT-Systeme im Netz der Institution

Das Endgerät greift auf IT-Systeme im Netz der Institution zu, wobei sich Zugriffsbeschränkun-gen durch die Paketfilter PF12 und PF6 durchsetzen lassen. Auf diesen lässt sich über entspre-chende Access-Control-List-Einträge (ACL) verfügen, dass ein Endgerät nur bestimmte IT-Sys-teme kontaktieren kann - etwa nur einen Proxy-Server in der Fernzugriffszone oder nur bestimm-te Anwendungsserver im internen Netz der Institution. Bei diesen internen Diensten wird gege-benenfalls eine weitere Authentisierung (z. B. am E-Mail-Server) notwendig.



3.5 Sperrung des Fernzugriffs und Vorgehen im Verlustfall

Es muss der Institution möglich sein, den Fernzugriff mindestens für eine bestimmte Benutzeriden-tität zu sperren. Erweitert kann sich eine solche Sperrung auch auf ein bestimmtes Endgerät bezie-hen oder die Aktivierung spezieller Endgerätefunktionen für den Verlustfall beinhalten. Hierzu ge-hören etwa das Neusetzen eines Authentisierungspassworts und die Sperrung des Zugangs zum Endgerät oder das Löschen von Daten (für den hohen Schutzbedarf s. Variante 5.1.1 C). Diese Möglichkeit zur Fernadministration ist typischerweise bei Endgeräten des Typs Smartphone bei der mobilen E-Mail-Synchronisation gegeben.

Zu den möglichen Sachverhalten, die eine Sperrung des Fernzugriffs notwendig machen, zählen:

– Verdacht, dass Authentisierungsmittel kompromittiert worden sind

– Verdacht, dass ein Endgerät kompromittiert worden ist

– Verlust oder Diebstahl eines Endgeräts

Die Institution muss in der Lage sein, die Meldung dieser Sachverhalte entgegenzunehmen und eine Sperrung zeitnah durchzusetzen (für hohen Schutzbedarf s. Variante 5.1.1 A). In der Grundarchitek-tur sollte die Verfügbarkeit hierzu den Arbeitszeiten der Benutzer des Fernzugriffs gleichen. Zu be-rücksichtigen ist, dass die Arbeitszeit der Anwender des Fernzugriffs aufgrund einer anderen Zeit-zone auch von der lokalen Arbeitszeit abweichen kann. Das Restrisiko, auf einen gemeldeten Ver-lust nur während der vielleicht eingeschränkten Erreichbarkeit eines Mitarbeiters reagieren zu kön-nen, muss von der Institution getragen werden.

Zudem ist sicherzustellen, dass die Meldegeber hinreichend sicher identifiziert werden können, um missbräuchliche oder irrtümliche Sperrungen zu verhindern.

Damit die Kontaktinformationen und Verfahrensweisen für eine Meldung geläufig sind, sollten sie in der Anwenderrichtlinie für den Fernzugriff dokumentiert sein.

3.6 Anwenderrichtlinie

Der Benutzer des Fernzugriffs muss zur Beachtung einer Anwenderrichtlinie verpflichtet werden, die benutzerrelevante Aspekte des Fernzugriff regelt. Sie sensibilisiert für die Gefahrensituationen beim Fernzugriff und für die zu ergreifenden Gegenmaßnahmen.

Dazu gehören insbesondere:

– Für alle Endgeräte

• Sensibilisierung für den angemessenen Umgang mit dem Endgerät und dessen angemessene Aufbewahrung.

• Sensibilisierung für den angemessenen Umgang mit den Authentisierungsmitteln wie PIN und SmartCard. So dürfen geheime Daten zur Authentisierung, etwa PIN oder Passwort, nicht leicht zugänglich notiert und Authentisierungsmittel vom Typ Besitz nicht unmittelbar zusam-men mit dem Endgerät aufbewahrt werden.

• Regelung, welche Endgeräte für den Fernzugriff erlaubt sind und welche nicht.

• Verbot des Zugangs zu Web-Inhalten bzw. zu anderen Internet-Diensten, wenn diese nicht über das Netz der Institution erfolgen.



• Verbot des Downloads erkennbar illegaler Internet-Inhalte, etwa aufgrund der damit verbun-denen Verletzung von Lizenzbestimmungen oder sonstiger Straftatbestände.

• Handlungsvorgaben und Kontaktdaten der Institution für den Fall des Verlusts oder der Kom-promittierung von Endgerät oder Authentisierungsmitteln.

• Falls eine automatische Synchronisation erfolgt (mit Daten auf anderen Endgeräten oder IT-Systemen im Netz der Institution): Hinweise darauf, wie sich ungewollte Datenverluste ver-meiden lassen.

• Der Fernzugriff kann nur zu den von der Institution festgelegten Zeiten genutzt werden.

• Die Institution informiert betroffene Anwender darüber, welche Gefahrensituationen, insbe-sondere bei der Einreise in andere Länder, drohen und welche Gegenmaßnahmen ergriffen werden sollten.

– Speziell für mobile Endgeräte

• Hinweise auf wahrscheinliche Gefahrensituationen und Handlungsempfehlungen, wie Unter-suchung und/oder Beschlagnahme des Endgeräts durch Zollbehörden.

• Die Institution informiert den Mobilfunk-Teilnehmer über nicht transparente und ggf. uner-wartet hohe Roaming-Gebühren im Nicht-EU-Ausland.

– Speziell für Endgeräte des Typs Smartphone

• Keine WLAN-Nutzung. Der für Smartphones geeignete Netzzugang ist das Mobilfunknetz, um die mit der WLAN-Nutzung verbundenen Gefährdungen der Integrität des Smartphones zu vermeiden. Wenn sich die WLAN-Nutzung technisch nicht hinreichend unterbinden lässt, sollte dem Benutzer die WLAN-Nutzung explizit untersagt werden.

Besteht ein hoher Schutzbedarf hinsichtlich mindestens eines Sicherheitsgrundwertes, muss die An-wenderrichtlinie entsprechend angepasst werden.

3.7 Sichere Grundarchitektur – Proxy-Server (Fernzugriffszone)

Der Fernzugriff auf Anwendungen im Netz einer Institution kann über einen Proxy-Server erfolgen. Dadurch lässt sich der Fernzugriff auf diejenigen Anwendungen beschränken, die vom Proxy-Serv-er unterstützt und auf Netzebene kontaktiert werden können. Die Einschränkung des Fernzugriffs auf den Proxy-Server und des anschließenden Proxy-Server-Zugriffs auf die Anwendungsserver im internen Netz lässt sich durch entsprechend konfigurierte Paketfilter durchsetzen (PF12 und PF6 in der folgenden Abbildung).



Zu den Vorteilen des Fernzugriffs über Proxy-Server zählen:

– Kein direkter Zugriff auf IT-Systeme im internen Netz durch das Endgerät. Der Fernzugriff auf eine Anwendung wird durch den Proxy unterbrochen. So lassen sich unzulässige Zugriffe unter-binden.

– Die Anwendungs-Clients laufen auf dem Endgerät (im Gegensatz zum Fernzugriff über Termin-al-Server). Eine Offline-Bearbeitung der Daten ist prinzipiell möglich, wenn sie lokal auf dem Endgerät vorliegen und die Anwendung keine Server-Komponente im Netz der Institution erfor-dert.

Zu den Nachteilen des Fernzugriffs über Proxy-Server zählen:

– Es ist notwendig, die auf dem Endgerät verarbeiteten Daten mit denen im Netz der Institution zu synchronisieren. Werden die Daten nicht oder in zu langen zeitlichen Abständen synchronisiert, droht mit dem Verlust eines Endgeräts auch der Verlust der Daten. Um dieser Gefährdung zu be-gegnen ist die regelmäßigen Datensicherung des Endgeräts notwendig.

– Bei Verlust des Endgeräts drohen Vertraulichkeitsverletzungen der Daten auf dem Endgerät. Ge-gen diese Gefährdung ist in der Grundarchitektur das Sicherheitsmerkmal der Datenverschlüsse-lung des Endgeräts gerichtet.

– Durch den Proxy-Server kommt eine weitere Komponente hinzu, die ausfallen kann und damit Einfluss auf die Gesamtverfügbarkeit hat.


Abbildung 3.4: Sichere Grundarchitektur – Fernzugriff über Proxy-Server


Durch die Beschränkung der Auswahl der Anwendungen, die über einen Proxy-Server genutzt wer-den können, kann der Fernzugriffstyp „eingeschränkter Zugriff“ durchgesetzt werden.

3.7.1 Ablauf der Kommunikation

Die folgende Abbildung 3.5 und die Schrittfolge erläutern, wie der Fernzugriff eines Endgeräts in das Netz einer Institution über einen Proxy-Server abläuft.

Die Schritte 0 bis 5 sind unabhängig vom Einsatz des Proxy-Servers. Sie wurden bereits in Ab-schnitt 3.4.6 beschrieben und werden daher hier nur verkürzt wieder gegeben.

– Schritt 0: Authentisierung gegenüber dem Endgerät

– Schritt 1: Verbindung mit dem Zugangsnetz

– Schritt 2: Kryptografisch abgesicherter VPN-Tunnelaufbau: Authentisierung der VPN-Endpunk-te

– Schritt 3: VPN-Tunnelaufbau: Authentisierung des Benutzers gegenüber dem Netz der Instituti-on

– Schritt 4: VPN-Tunnelaufbau: Authentifizierung des Benutzers durch AAA-Server

– Schritt 5: Abschluss VPN-Tunnelaufbau

– Schritt 6: Zugriff auf den Proxy-Server


Abbildung 3.5: Ablauf der Kommunikation zu: Sichere Grundarchitektur – Fernzugriff über Proxy-Server


Der Benutzer des Endgeräts hat durch den Proxy-Server Zugang zu ausgewählten Anwendungen im Netz der Institution. Durch den Paketfilter PF12 kann der Zugang des Endgeräts auf den Proxy-Server beschränkt werden.

– Schritt 7: Zugriff auf Anwendungen und/oder Daten durch den Proxy-Server

Durch Paketfilterregeln lässt sich auf dem Paketfilter PF6 durchsetzen, dass der Proxy-Server nur zu ausgewählten Datei- und Anwendungsservern Zugang hat.

3.8 Sichere Grundarchitektur – Terminal-Server

Der Fernzugriff auf Anwendungen im Netz einer Institution kann über einen Terminal-Server erfol-gen. Das schränkt den Fernzugriff auf die Anwendungen ein, die vom Terminal-Server unterstützt werden und auf Netzebene kontaktiert werden können.

Zu den Vorteilen des Fernzugriffs über Terminal-Server zählen:

– Kein direkter Zugriff auf IT-Systeme im internen Netz durch das Endgerät.

– Bei Verlust des Endgeräts drohen keinen Vertraulichkeitsverletzungen durch Daten auf dem Endgerät.

– Daten, auf die vom Endgerät aus über den Terminal-Server-Client zugegriffen wird, liegen nur im Netz der Institution und nicht auf dem Endgerät vor. Die Notwendigkeit der Synchronisation von Daten zwischen Endgerät und Netz der Institution entfällt.


Abbildung 3.6: Sichere Grundarchitektur – Fernzugriff über Terminal-Server


– Reduktion der Aufwände für die Administration der Endgeräte.

– Geringe Anforderungen an die Performance der Endgeräte. Sie muss nur den geringen Anforde-rungen des Terminal-Server-Clients genügen und nicht den in der Regel höheren Anforderungen der Clients der genutzten Anwendungen, denn diese laufen auf dem Terminal-Server.

– Schneller Zugriff auf große Datenmengen auch bei geringer Datenübertragungsrate für den Fern-zugriff, da die Daten nicht über den Fernzugriff übertragen werden müssen.

Zu den Nachteilen des Fernzugriffs über Terminal-Server zählen:

– Anwendungen können über Terminal-Server-Zugang nur bei bestehendem Fernzugriff genutzt werden. Ein Offline-Arbeiten ist in der Regel nicht möglich (es gibt Terminal-Server, die den Datenexport auf das Endgerät unterstützen, was jedoch die oben genannten Vorteile einschränkt). Dies ist mit der zunehmenden flächendeckenden Verbreitung auch ortsunabhängi-ger breitbandiger Internet-Zugänge jedoch von abnehmender Bedeutung.

– Nicht alle Dienste können genutzt werden (z. B. Datenbankdienste)

Durch die Beschränkung der Auswahl der Anwendungen, die über einen Terminal-Server genutzt werden können, kann der Fernzugriffstyp „eingeschränkter Zugriff“ durchgesetzt werden.

3.8.1 Ablauf der Kommunikation

Die folgende Abbildung 3.7 und die Schrittfolge erläutern, wie der Fernzugriff eines Endgeräts in das Netz einer Institution über einen Terminal-Server abläuft.


Abbildung 3.7: Ablauf der Kommunikation zu: Sichere Grundarchitektur – Fernzugriff über Terminal-Server


Die Schritte 0 bis 5 sind unabhängig vom Terminal-Server. Sie wurden bereits in Abschnitt 3.4.6 beschrieben und werden daher hier nur verkürzt wiedergegeben.

– Schritt 0: Authentisierung gegenüber dem Endgerät

– Schritt 1: Verbindung mit Zugangsnetz

– Schritt 2: Kryptografisch abgesicherter VPN-Tunnelaufbau, Authentisierung der VPN-Endpunk-te

– Schritt 3: VPN-Tunnelaufbau, Authentisierung des Benutzers gegenüber Netz der Institution

– Schritt 4: VPN-Tunnelaufbau, Authentifizierung des Benutzers durch AAA-Server

– Schritt 5: Abschluss VPN-Tunnelaufbau

– Schritt 6: Zugriff auf den Terminal-Server

Der Benutzer des Endgeräts hat über den Terminal-Server Zugang zu ausgewählten Daten im Netz der Institution. Durch den Paketfilter PF12 lässt sich durchsetzen, dass das Endgerät nur den Terminal-Server kontaktieren kann.

– Schritt 7: Zugriff auf Daten durch den Terminal-Server

Durch den Paketfilter PF6 und die Auswahl der Anwendungs-Clients auf dem Terminal-Server lässt sich durchsetzen, dass bei Fernzugriff über den Terminal-Server nur ausgewählte Anwen-dungen nutzbar sind20.

3.9 Überblick zu Proxy- und Terminal-Server

In den vorangegangenen Abschnitten wurden die Komponenten Proxy-Server und Terminal-Server als mögliche Elemente der Grundarchitektur vorgestellt. Die folgende Tabelle gibt einen Überblick über deren Verwendung sowie deren Vor- und Nachteile.

Technik Verwendung Vorteile Nachteile

Proxy-Server Durchsetzung von Sicherheits- und Qualitätsmerkmalen beim Fernzugriff

Unterstützt prinzipi-ell Fernzugriffstyp „Vollzugriff“ und „eingeschränkter Zugriff“

Kein direkter Zugriff auf IT-Sys-teme im internen Netz

Netzverkehr wird unterbrochen und kann gefiltert werden

Offline Bearbeitung von Daten auf Endgerät prinzipiell möglich

Drohende Vertraulich-keitsverluste bei End-geräteverlust

Notwendigkeit der Da-tensynchronisation zwi-schen Endgerät und Netz der Institution

Terminal-Server Durchsetzung von Sicherheits- und Qualitätsmerkmalen beim Fernzugriff

Unterstützt prinzipi-ell Fernzugriffstyp

Kein direkter Zugriff auf IT-Sys-teme im internen Netz

Keine drohenden Vertraulich-keitsverluste bei Endgerätever-lust

In der Regel kein Offli-ne-Arbeiten

20 Bei dem Fernzugriff auf eine Anwendung über einen Terminal-Server läuft auf dem Endgerät nur noch der Termin-al-Server-Client und nicht die Client-Komponente der Anwendung. Diese läuft auf dem Terminal-Server.



Technik Verwendung Vorteile Nachteile

„Vollzugriff“ und „eingeschränkter Zugriff“

Keine Notwendigkeit der Daten-synchronisation zwischen End-gerät und Netz der Institution

Reduzierte Aufwände der Admi-nistration der Endgeräte

Geringere Anforderungen an die Performance der Endgeräte

Schneller Zugriff auf große Da-tenmengen auch bei niedriger Datenübertragungsrate

Tabelle 4: Überblick zu Proxy- und Terminal-Server

3.10 Sichere Grundarchitektur – Mobile E-Mail-Synchronisation

Die mobile E-Mail-Synchronisation ist eine besondere Form des Fernzugriffs. Sie erlaubt die E-Mail-Kommunikation auf mobilen Endgeräten über den E-Mail-Server im Netz der Institution und die Synchronisation mit dem entsprechenden E-Mail-Postfach auf dem Server. In der Regel schließt dies auch die mobile Synchronisation von PIM-Daten (Personal Information Management) ein, die persönliche Daten zu Kalender, Adressbuch und Aufgabenplanung umfassen.

Bei den mobilen Endgeräten handelt es sich meistens um Smartphones. Deren Akkulaufzeit erlaubt es, dass die Smartphones ständig eingeschaltet sein können. So lassen sich eingehende E-Mails un-mittelbar automatisch vom E-Mail-Server an das Gerät weiterleiten. Die automatische Weiterlei-tung neuer E-Mails und ggf. PIM-Daten wird auch als Push-Verfahren bezeichnet. Im Gegensatz dazu kontaktiert bei einem Polling-Verfahren das Smartphone den E-Mail-Server, um mögliche neue E-Mails und PIM-Daten zu beziehen.

Für die mobile E-Mail-Synchronisation sind neben dem Endgerät und dem E-Mail-Server in der Regel weitere spezielle Komponenten erforderlich. Diese dienen insbesondere der gesicherten Kommunikation mit dem Smartphone über ein kryptografisch abgesichertes VPN, der Synchronisa-tion selbst, sowie unterstützenden Funktionen wie dem Verbindungsmanagement zwischen dem Endgerät und dem Netz der Institution.

Die Kommunikation zwischen Smartphone und dem Netz der Institution wird durch Mechanismen des Verbindungsmanagements gewährleistet. Dieses bezieht sich zum einen auf das VPN zwischen dem Smartphone und dem Netz der Institution (Netzebene), zum anderen auf die Kommunikation zwischen Smartphone und den Komponenten zur Synchronisation im Netz der Institution (Anwen-dungsebene). Auf der Netzebene sind prinzipiell zwei Verbindungsmodi möglich.

• Das Smartphone etabliert dauerhaft eine kryptografisch abgesicherte VPN-Verbindung. Das Verbindungsmanagement muss möglichen Verbindungsabbrüchen (z. B. bei Inaktivität) vor-beugen, etwa durch regelmäßiges Senden von ICMP-Nachrichten, und/oder muss erfolgten Verbindungsabbrüche mit dem Neuaufbau einer Verbindung begegnen.

• Das Smartphone etabliert nur eine VPN-Verbindung, wenn eine Synchronisation durchgeführt werden soll. Eine spezielle Komponente im Netz der Institution initiiert den Verbindungsauf-bau durch das Smartphone, etwa durch eine spezielle SMS an das mobile Endgerät.



Das Verbindungsmanagement stellt sicher, dass eine Synchronisation nur dann erfolgt, wenn eine Verbindung vom Netz der Institution zum Smartphone besteht.

Die genannten Komponenten werden von einigen Herstellern als proprietäre Lösung angeboten, die durch herstellerspezifische Endgeräte und Protokolle gekennzeichnet sein können. Daneben gibt es auch nicht proprietäre Lösungen zur mobilen E-Mail-Synchronisation mit herstellerunabhängigen Protokollen, die daher im Prinzip nicht an bestimmte Endgeräte und E-Mail-Server gebunden sind.

Nachfolgend werden drei mögliche Lösungen zur mobilen E-Mail-Synchronisation vorgestellt.

3.10.1 Einsatz von Middleware mit VPN- und Endgerätemanagement-Funktionen

Diese Lösungsvariante zur mobilen E-Mail-Synchronisation nutzt proprietäre Komponenten:

– Smartphone-Betriebssystem, Client-Komponenten zur Synchronisation, IPSec-VPN und Verbin-dungsmanagement. Prinzipiell lässt sich für diese Lösungsvariante jedes Smartphone einsetzen, welches das Smartphone-Betriebssystem unterstützt.

– Middleware-Gateway mit Server-Komponenten zur Realisierung eines VPN und Funktionen zum Endgerätemanagement

– E-Mail-Server, mit integrierten Funktionen zu Synchronisation und Verbindungsmanagement

Die folgende Abbildung 3.8 zeigt die Komponenten dieser proprietären Lösungsvariante der mobi-len E-Mail-Synchronisation, eingebettet in die Grundarchitektur des Fernzugriffs.



In dieser Lösungsvariante muss für die Synchronisation zwischen Smartphone und dem Middle-ware-Gateway eine dauerhafte kryptografisch abgesicherte VPN-Verbindung bestehen. Abbildung 3.9 und die folgende Beschreibung erläutern den Synchronisationsablauf einer Kommunikation, die durch den E-Mail-Server mit Sync. Funktionalität initiiert wird.


Abbildung 3.8: Mobile E-Mail Synchronisation, Einsatz von Middleware mit VPN- und Endgerätemanagement-Funk-tionen


Schrittfolge des Kommunikationsablaufs

– Schritt 0: Authentisierung gegenüber dem Smartphone

Der Benutzer authentisiert sich gegenüber dem Smartphone im Verlauf des Einschaltevorgangs des Smartphones.

– Schritt 1: Verbindung mit Mobilfunknetz

Das Smartphone authentisiert sich gegenüber dem Mobilfunknetz und stellt eine Verbindung mit diesem her.

– Schritt 2: Kryptografisch abgesicherter VPN-Tunnelaufbau durch Smartphone

Das Smartphone initiiert den Aufbau des VPN-Tunnels zwischen Smartphone und Middleware-Gateway. Dabei erfolgt die beidseitige Authentisierung von Smartphone und Middleware-Gate-way und der Austausch von Daten zur Schlüsselbildung für die nachfolgende Verschlüsselung zwischen Smartphone und Middleware-Gateway.

– Schritt 3: Smartphone signalisiert Bereitschaft zur Synchronisation

Das Smartphone signalisiert dem E-Mail-Server, neu eingegangene E-Mails an das Smartphone weiterzuleiten, und wiederholt diese Signalisierung in definierten Zeitabständen.

– Schritt 4: E-Mail-Server antwortet Smartphone


Abbildung 3.9: Mobile E-Mail-Synchronisation, Einsatz von Middleware mit VPN- und Endgerätemanagement-Funk-tionen, Kommunikationsablauf


Wenn innerhalb einer definierten Zeitspanne neue E-Mails vorliegen und das Smartphone seine Bereitschaft zur Synchronisation erklärt hat (Schritt 3), leitet der E-Mail-Server die neuen E-Mails an das Smartphone weiter.

Liegen innerhalb einer definierten Zeitspanne keine neue E-Mails vor und hat das Smartphone seine Bereitschaft zur Synchronisation erklärt, sendet der E-Mail-Server eine Status-Nachricht an das Smartphone. Damit wird dem Smartphone signalisiert, dass eine funktionierende Verbindung zum E-Mail-Server besteht (und bisher keine neuen E-Mails eingetroffen sind).

3.10.2 Synchronisation Markup Language (SyncML)

Ein zentrales Element der mobilen E-Mail Synchronisation ist die automatische Weiterleitung neuer E-Mails durch den E-Mail-Server an das Smartphone. Zu den herstellerunabhängigen Techniken, die hierzu eingesetzt werden können, zählt SyncML.

SyncML21 ist ein herstellerunabhängiges Protokoll der Open Mobile Alliance zur Synchronisation von Daten zwischen IT-Systemen. Im Fall der mobilen E-Mail Synchronisation können dies ein Smartphone und ein E-Mail-Server sein.

Die Lösungsvariante zur mobilen E-Mail Synchronisation mit SyncML erfordert folgende SyncML-Komponenten:

– Smartphone mit einem SyncML-Client. Prinzipiell gibt es keine Einschränkung hinsichtlich der Geräte und Betriebssysteme bestimmter Hersteller.

– SyncML-Server, der den eingesetzten E-Mail-Server unterstützt, wobei es prinzipiell keine Ein-schränkung auf bestimmte Hersteller gibt. Die Notwendigkeit eines eigenständigen SyncML-Servers entfällt, wenn der E-Mail-Server selbst das Protokoll SyncML nutzen kann.

Für eine vollwertige Lösung für die mobile E-Mail-Synchronisation muss SyncML um die Kompo-nente VPN und ein Verbindungsmanagement ergänzt werden. Das Verbindungsmanagement stellt sicher, dass eine Synchronisation nur dann erfolgt, wenn eine Verbindung vom Netz der Institution zum Smartphone besteht. Das Verbindungsmanagement muss möglichen Verbindungsabbrüchen vorbeugen, etwa durch regelmäßiges Aufbauen einer neuen Verbindung, und/oder muss erfolgten Verbindungsabbrüche mit einem Neuaufbau einer Verbindung begegnen.

Abbildung 3.10 zeigt die Komponenten dieser Lösungsvariante der mobilen E-Mail-Synchronisati-on, eingebettet in die Grundarchitektur des Fernzugriffs.

21 http://www.openmobilealliance.org/tech/affiliates/syncml/syncmlindex.html



In dieser Lösungsvariante muss zwischen Smartphone und SyncML-Server nicht zwingend eine dauerhafte kryptografisch abgesicherte VPN-Verbindung bestehen. Diese könnte erst dann aufge-baut werden, wenn der SyncML-Server eine Synchronisation initiiert. Das Verbindungsmanage-ment auf Netzebene ist nicht Bestandteil der SyncML-Spezifikation. Seine Ausgestaltung hängt von dem Produkt der jeweiligen SyncML-Implementierung ab.

Den Ablauf der Kommunikation einer Synchronisation, die hier durch den SyncML-Server initiiert wird, geben die folgende Schrittfolge und Abbildung 3.11 wieder.


Abbildung 3.10: Mobile E-Mail-Synchronisation mit SyncML



– Schritt 0: Benutzer-Authentisierung gegenüber dem Smartphone


Das Smartphone stellt automatisch eine Verbindung zu dem Mobilfunknetz her und authentisiert sich vorher gegenüber dem Mobilfunknetz.

– Schritt 2: E-Mail-Server signalisiert SyncML-Server Eingang neuer E-Mails

– Schritt 3: SyncML-Server sendet ein „Sync Alert“ an den SyncML-Cient auf dem Smartphone

Der SyncML-Server veranlasst den SyncML-Client durch ein „Sync Alert“ zur Synchronisation mit dem SyncML-Server.

Das „Sync Alert“ kann über eine bereits bestehende VPN-Verbindung an das Smartphone gesen-det werden (oder alternativ per SMS).


Das Smartphone initiiert den Aufbau des VPN-Tunnels zwischen Smartphone und VPN-Gate-way (sofern dies nicht bereits erfolgt ist). Dabei erfolgt die beidseitige Authentisierung von Smartphone und VPN-Gateway über den AAA-Server und der Austausch von Schlüsselmaterial für die nachfolgende Verschlüsselung zwischen Smartphone und VPN-Gateway.

– Schritt 5: SyncML-Client und SyncML-Server führen eine „Sync Initialization“ durch


Abbildung 3.11: Mobile E-Mail-Synchronisation mit SyncML, Ablauf der Kommunikation


Dies beinhaltet eine beidseitige Authentisierung von SyncML-Client und SyncML-Server, eine Identifikation der zu synchronisierenden Datenbestände sowie den Austausch sonstiger Informa-tionen zur nachfolgenden Synchronisation.

– Schritt 6: Bezug neuer E-Mails durch den SyncML-Server

Der SyncML-Server bezieht die neu eingegangenen E-Mails vom E-Mail-Server.

– Schritt 7: Weiterleitung neuer E-Mails an den SyncML-ClientDer SyncML-Server leitet die E-Mails an den SyncML-Client auf dem Smartphone weiter.

3.10.3 Internet Message Access Protocol der Version 4 (IMAP4 IDLE)

IMAP4 IDLE ist eine herstellerunabhängige Ergänzung des Internet Message Access Protocols der Version 4 (IMAP4, [RFC 3501]), die in [RFC 2177] spezifiziert ist. IMAP4 IDLE erfordert eine dauerhafte TCP/IP-Verbindung des Smartphones zum E-Mail-Server, über die der E-Mail-Server das Smartphone über neu eingegangene E-Mails informiert. Den anschließenden Bezug der E-Mails muss das Smartphone initiieren.

Die Lösungsvariante zur mobilen E-Mail-Synchronisation mit IMAP4 IDLE erfordert folgende Komponenten:

– Smartphone, mit einem IMAP4-E-Mail-Client. Prinzipiell gibt es keine Einschränkung auf Smartphones und Smartphone-Betriebssysteme bestimmter Hersteller.

– E-Mail-Server, der IMAP4 und IMAP4 IDLE unterstützt. Prinzipiell gibt es keine Einschrän-kung auf E-Mail-Server bestimmter Hersteller.

Zu einer vollwertigen Lösung für die mobile E-Mail-Synchronisation muss diese Lösungsvariante um die Komponente VPN und ein Verbindungsmanagement der Netzebene ergänzt werden.

Die folgende Abbildung zeigt die Komponenten dieser Lösungsvariante der mobilen E-Mail-Syn-chronisation, eingebettet in die Grundarchitektur des Fernzugriffs.

Bei dieser Alternative besteht das Problem, dass von der Fernzugriffszone direkt auf das interne Netz und auf den E-Mail Server zugegriffen wird. Eine Lösung könnte die zusätzliche Installation eines IMAP4 Proxy-Servers in der Fernzugriffszone sein, der die E-Mails von dem E-Mail-Server aus dem internen Netz erhält. Dadurch wird ein Verbindungsaufbau von der Fernzugriffszone in das interne Netz unterbunden.



In dieser Lösungsvariante muss zwischen Smartphone und dem Netz der Institution eine dauerhafte kryptografisch abgesicherte VPN-Verbindung bestehen, über die eine Synchronisation erfolgen kann. Um diese Verbindung aufrechtzuerhalten, sendet das Smartphone in regelmäßigen Abständen den Befehl „IDLE“. Auf diese Weise kann der Server eine neue E-Mail an das Endgerät ausliefern, ohne eine neue Verbindung aufbauen zu müssen.

Die folgende Abbildung und Schrittfolge zeigen, wie die Kommunikation einer Synchronisation, die hier durch den IMAP4-E-Mail-Server initiiert wird, abläuft.


Abbildung 3.12: Mobile E-Mail-Synchronisation mit IMAP4 IDLE



– Schritt 0: Authentisierung gegenüber dem Smartphone

Der Benutzer authentisiert sich gegenüber dem Smartphone beim Einschalten des Geräts.


Nach der Authentisierung des Smartphones gegenüber dem Mobilfunknetz stellt das Smartphone automatisch eine Verbindung zu dem Mobilfunknetz her.


Das Smartphone initiiert den Aufbau des VPN-Tunnels zwischen Smartphone und VPN-Gate-way. Dazu gehört die beidseitige Authentisierung von Smartphone und VPN-Gateway und der Austausch von Schlüsselmaterial für die nachfolgende Verschlüsselung zwischen Smartphone und VPN-Gateway.

– Schritt 3: E-Mail-Client sendet IMAP4-Anfrage an E-Mail-Server

Der Benutzer wählt den Postfachordner INBOX aus. Der E-Mail-Client sendet ein SELECT IN-BOX zum E-Mail-Server.

– Schritt 4: E-Mail-Server antwortet auf IMAP4-Anfrage des E-Mail-Clients

Die Antwort auf SELECT INBOX informiert über den aktuellen Status der INBOX.

– Schritt 5: E-Mail-Client sendet IMAP4-Anfrage IDLE an E-Mail-Server

– Schritt 6: E-Mail-Server bestätigt die IMAP4-Anfrage IDLE


Abbildung 3.13: Mobile E-Mail-Synchronisation mit IMAP4 IDLE, Ablauf der Kommunikation


Der E-Mail-Server bestätigt die IMAP4-Anfrage IDLE durch Senden der Antwort „+ idling“ (continuation request response).

Damit bleibt die IMAP4 IDLE Anfrage so lange aktiv, bis der E-Mail-Client seinerseits darauf antwortet, indem er die IMAP4 IDLE Anfrage mit einem DONE beendet. Während dieser Zeit informiert der E-Mail-Server den E-Mail-Client über Statusänderungen der INBOX.

– Schritt 7: E-Mail-Server informiert E-Mail-Client über Statusänderungen der INBOX

Im vorliegenden Fall bestehen diese in neu eingegangenen E-Mails.

– Schritt 8: E-Mail-Client bezieht neue E-Mails

Der Benutzer wählt am E-Mail-Client die neuen E-Mails aus und initiiert deren Bezug durch den E-Mail-Client.

3.10.4 Vergleich der Lösungen

Lösungsvariante Vorteile Nachteile

Einsatz von Middleware mit VPN- und Endgerätemanage-ment-Funktionen

Komplettlösung mit aufeinan-der abgestimmten Komponen-ten

Beschränkt auf ein Smart-phone-Betriebssystem und E-Mail-Server des Herstellers

Dauerhafte Verbindung zwi-schen Smartphone und Netz der Institution für Push-Variante erforderlich. Sonst Polling-Va-riante.

SyncML Herstellerunabhängiges Proto-koll. Keine prinzipielle Ein-schränkung auf bestimme E-Mail-Server und Smartphones

Protokoll optimiert auf die Syn-chronisation

Basistechnik zur Synchronisati-on. Unterstützende Komponen-ten wie VPN und Verbindungs-management fehlen.

IMAP4 IDLE Herstellerunabhängiges Proto-koll. Keine prinzipielle Ein-schränkung auf bestimme E-Mail-Server und Smartphones.

Basistechnik, die zur Synchro-nisation eingesetzt werden kann. Unterstützende Kompo-nenten wie VPN und Verbin-dungsmanagement fehlen.

Techniken zur optimierten Übertragung großer Datenmen-gen und Techniken zur opti-mierten Wiedergabe auf einem Smartphone fehlen.

Nur E-Mail Synchronisation. Keine PIM-Daten Synchronisa-tion.



Lösungsvariante Vorteile Nachteile

Dauerhafte Verbindung zwi-schen Smartphone und Netz der Institution für Push-Variante erforderlich. Sonst Pull-Varian-te.

Tabelle 5: Vergleich der Lösungen zur mobilen E-Mail-Synchronisation



4 Komponenten sicher auswählen, konfigurieren und betreiben

Dieser Abschnitt geht auf die Anforderungen zur sicheren Auswahl, Konfiguration und zum siche-ren Betrieb ein und vervollständigt die Darstellung der Grundarchitektur aus dem vorangegangenen Abschnitt. Alle Anforderungen, die im folgenden Abschnitt beschrieben werden, beziehen sich auf einen normalen Schutzbedarf.

4.1 Grundanforderungen an ein sicheres Produkt

Der Abschnitt Grundanforderungen an ein sicheres Produkt führt die notwendigen Eigenschaften der Komponenten der Grundarchitektur für einen sicheren Fernzugriff auf, damit sie bei der Be-schaffung der Komponenten berücksichtigt werden können.

4.1.1 Anforderungen an alle Endgeräte

Die folgenden Anforderungen müssen von allen Endgeräten für den Fernzugriff erfüllt werden. Dies gilt unabhängig davon, ob es sich bei dem Endgerät um Desktop-PC, Laptop oder Smartphone handelt.

Authentisierung gegenüber dem Endgerät

Der Zugang zum Endgerät darf nur nach einer erfolgreichen Authentisierung des Benutzers gegen-über dem Endgerät erfolgen, wobei mindestens eine 1-Faktor-Authentisierung, basierend auf Wis-sen, anzuwenden ist. Nach einer definierten Anzahl fehlerhafter Anmeldeversuche muss der Zugang zum Endgerät gesperrt werden können. Wenn der Benutzer ein Authentisierungsmittel wie PIN oder Passwort neu setzt, müssen Qualitätsmerkmale durchsetzbar sein, um triviale Werte zu vermei-den.

Unterschiedliche Rollen

Das Endgerät muss unterschiedlich privilegierte Rollen (mindestens Standardbenutzer und Admi-nistrator) unterscheiden können. Wenn das Betriebssystem dies nicht leistet, wie z. B. bei einigen Smartphones, dann sollte die Rolle des Standardbenutzer durch zusätzliche Administrations-Tools stark eingeschränkt werden.

Es empfiehlt sich, Standardbenutzern für die Nutzung von Anwendungen nur eingeschränkten Zu-gang zum Endgerät zu gewähren. Sie sollten keine Software auf dem Endgerät installieren und kei-ne sicherheitsrelevanten Einstellungen konfigurieren können.

Ein Administrator hingegen muss vollen Zugang zum Endgerät haben, um alle Installations- und Konfigurationstätigkeiten vornehmen zu können.

Die unterschiedlichen Rollen unterstützen den Schutz des Endgeräts vor Integritätsverletzungen. Als erweiterte Maßnahmen bietet sich der Einsatz einer virtuellen Desktop-PC Instanz (s. Variante5.3.1 A) an und für den hohen Schutzbedarf der Einsatz von Endgeräten, deren Betriebssystem einen speziellen Integritätsschutz aufweist (s. Variante 5.3.1 B).



Virenschutzprogramm

Das Endgerät muss über einen eigenen Virenschutz verfügen, wenn ein direkter Datenimport auf das Endgerät nicht ausgeschlossen werden soll oder kann. Ein Datenimport ist über mobile Daten-träger, Funkschnittstellen, Zugriff auf Internet-Inhalte, einen Netzzugang (z. B. einen Ethernet-An-schluss an das Netz einer anderen Institution mit Zugang zu deren Datei-Server) sowie über Mobil-funknetz und MMS (Multimedia Message Service, MMS-Nachrichten sind ein Übertragungsmedi-um für Handy-Viren) möglich.

Automatische Sperrung des Endgeräts

Der Zugang zum Endgerät muss nach einer festlegbaren Zeitspanne, in der es nicht genutzt wird, automatisch gesperrt werden. Die weitere Nutzung des Endgeräts darf nur nach einer erneuten er-folgreichen Benutzer-Authentisierung gegenüber dem Endgerät möglich sein. Diese Funktion darf vom Benutzer nicht deaktiviert werden können, er darf allerdings innerhalb vorgegebener Grenzen die Zeitspanne festlegen, nach deren Ablauf die automatische Sperrung ausgelöst werden soll.

Datenverschlüsselung des Endgeräts

Auf dem Endgerät muss eine Datenverschlüsselung vorhanden sein. Bei hohem Schutzbedarf muss das eingesetzte Produkt zur Datenverschlüsselung über eine, dem Sicherheitsniveau angemessene Stufe der Zertifizierung verfügen (s. Variante 5.4.1 A). Eine weitere Option für den hohen Schutz-bedarf ist die Verschlüsselung auf Datei- und Verzeichnisebene auch bei eingeschaltetem Endgerät (s. Variante 5.4.2 A). Im Fall eines hohen Schutzbedarfs kann einer Vertraulichkeitsverletzung auch durch das definierte Überschreiben der Daten des Anwenders begegnet werden (s. Variante 5.4.1B).

Personal Firewall

Das Endgerät muss über eine Personal Firewall verfügen. Diese sollte erkennen, in welcher Netz-umgebung sich das Endgerät befindet und davon abhängig die Firewall-Regeln durchsetzen, die für die entsprechende Netzumgebung konfiguriert worden sind. Die Netzumgebung wird typischerwei-se über die Erreichbarkeit bzw. nicht Erreichbarkeit bestimmter IT-Systeme erkannt.

Robustheit im Fall widriger Einsatzumgebungen

Das Endgerät muss hinreichend gut gegen mögliche schädigende Umwelteinflüsse der voraussicht-lichen Einsatzumgebung geschützt sein. Zu den typischen Umwelteinflüssen insbesondere mobiler Endgeräte zählen Temperatur, Luftfeuchtigkeit, Feuchtigkeit, Staub, Vibration und Stoßeinwirkung. Auch der Fernzugriff in industriellen Umgebungen (z. B. Lagerhallen oder Produktionsstraßen) oder im Außeneinsatz unter widrigen Witterungsbedingungen erfordert entsprechend robuste End-geräte.

4.1.2 Ergänzende Anforderungen an mobile Endgeräte

Ergänzend zu den Anforderungen an alle Endgeräte sind die folgenden Anforderungen von allen mobilen Endgeräten des Typs Laptop und Smartphone, für den Fernzugriff zu erfüllen.



Fernadministration mobiler Endgeräte

Es empfiehlt sich, dem Administrator die Möglichkeit der Fernadministration des mobilen Endge-räts zu geben, wenn dieses eine Verbindung zum Netz der Institution aufgebaut hat. Die Fernadmi-nistration sollte folgende Funktionen unterstützen:

– Sperren des Zugangs zum mobilen Endgerät,

– Neusetzen von Passwörtern zur Authentisierung gegenüber dem mobilen Endgerät und

– Löschen von temporären oder persistenten Daten auf dem mobilen Endgerät.

4.1.3 Anforderungen an den Netzzugang

Der Fernzugriff erfordert den Netzzugang durch das Endgerät und kann durch unterschiedliche Techniken realisiert werden. Hierzu zählen kabelgebundene Techniken wie Ethernet und DSL und kabellose Techniken wie WLAN, WiMax und Mobilfunk.

Kriterien zur Auswahl einer Netzzugangstechnik

Bei der Auswahl einer geeigneten Netzzugangstechnik sollten die folgenden Anforderungen erfüllt werden:

– Unterstützung des Netzzugangs durch das Endgerät, ggf. in Verbindung mit zusätzlicher Soft-ware/Hardware wie einem Modem. Für mobile Endgeräte bietet sich zusätzlich die Unterstüt-zung alternativer Techniken für den Netzzugang an (s. Variante 5.2.9 A).

– Verfügbarkeit des Netzzugangs an den voraussichtlichen Orten des Fernzugriffs.

– Ausreichend hohe Datenübertragungsrate (gemessen an den Anforderungen der über Fernzugriff zu nutzenden Anwendungen). Die Anforderungen an die Datenübertragungsrate lassen sich redu-zieren, wenn der Fernzugriff auf die Anwendungen über einen Terminal-Server erfolgt (s. Vari-ante 5.2.1 A).

– Bekannte und tragbare Einschränkungen der Internet-Schicht in Übertragungsnetzen (etwa Ein-schränkung auf bestimmte Protokolle oder NAT) dürfen den Fernzugriff durch die gewählte Netzzugangstechnik nicht beeinträchtigen.

– Ausreichend niedrige Latenzzeit (gemessen an den Anforderungen hoch interaktiver, über den Fernzugriff zu nutzender Anwendungen).

– Akzeptable Kostenstruktur an den voraussichtlichen Orten und Zeiten des Fernzugriffs, insbe-sondere im Fall des Netzzugangs über ein Mobilfunknetz.

Berücksichtigung der Kostenstrukturen von Mobilfunkbetreibern

Der Fernzugriff über Mobilfunknetze setzt einen Vertrag mit einem Mobilfunkbetreiber voraus. Bei der Auswahl eines geeigneten Mobilfunkbetreibers ist dessen Kostenstruktur zur Nutzung von Da-tendiensten ein wichtiges Kriterium, weil die Datendienste für den Zugang zum Internet oder dem IP-Netz eines Festnetzbetreibers genutzt werden. Sie sind eine notwendige Voraussetzung für den Fernzugriff. Besondere Beachtung muss den sogenannten Roaming22-Gebühren für die Länder gel-ten, in denen ein Fernzugriff auf das Netz der Institution erfolgen soll. Ein Fernzugriff über Mobil-

22 Unter „Roaming“ versteht man die automatische Nutzung eines fremden Mobilfunknetzes, mit dem man keinen Vertrag geschlossen hat. Voraussetzung ist, dass zwischen den beteiligten Mobilfunknetzbetreibern ein Roaming-Abkommen geschlossen worden ist.



funk empfiehlt sich nur dann, wenn die damit verbundenen Kosten transparent und tragbar sind. Das wiederum hängt auch davon ab, ob der Fernzugriff über Mobilfunk die Regel oder nur eine zeitlich befristete Ausweichlösung sein soll.

Eine besondere Form des Fernzugriffs ist die mobile E-Mail-Synchronisation. In der Ausführung als Push-Variante werden neue E-Mails sofort auf das mobile Endgerät, meist ein Smartphone, wei-tergeleitet. Dies setzt in einigen Lösungsvarianten voraus, dass das Smartphone über Mobilfunk ständig eine Datenverbindung zum Netz der Institution unterhält. Bei der Auswahl eines geeigneten Mobilfunktarifs für Datendienste sollte das berücksichtigt werden.

4.1.4 Anforderungen an IT-Systeme der Fernzugriffszone

Die IT-Systeme der Fernzugriffszone müssen die Grundanforderungen erfüllen, die in [ISi-LANA] für alle Komponenten vorgegeben werden.

Zudem sind sie ausreichend performant auszustatten, um die Leistungswerte des Fernzugriffs unter-stützen zu können. Zu diesen zählen insbesondere die Anzahl der Benutzer des Fernzugriffs, die Anzahl gleichzeitiger Fernzugriffe, die unterstützten Anwendungen, die Obergrenzen für Verzöge-rungen und die zu übertragenden Datenvolumen.

Im Fall eines hohen Schutzbedarfs bzgl. der Verfügbarkeit kann die leichte Skalierbarkeit (s. Vari-ante 5.2.4 A) oder überdimensionierte Leistungswerte (s. Variante 5.2.4 B) ein Auswahlkriterium sein.

4.1.5 Anforderungen an das VPN

Eine Schlüsselkomponente der Grundarchitektur ist das kryptografisch gesicherte VPN zwischen dem Endgerät und dem Netz der Institution, für das folgende Anforderungen gelten:

– die Kompatibilität zu NAT, wenn NAT im Netzzugangsbereich oder im Transfernetz unterstützt werden soll

– die unterstützten Betriebssysteme auf Seite des Endgeräts

– die Unterstützung der favorisierten Form der gegenseitigen Authentisierung zwischen einem Be-nutzers und/oder Endgeräts und dem Netz der Institution

– die Unterstützung bereits vorhandener AAA-Server

– die Empfehlung auf Interoperabilität mit VPN-Produkten anderer Hersteller23 zu achten, wenn nicht andere Sicherheitsgründe dagegen sprechen (z. B. bei hohen Ansprüchen an die Vertrau-lichkeit: Einsatz von VS-Produkten, die eventuell nicht mehr interoperabel sind, weil Schwach-stellen von VPN-Produkten beseitigt worden sind.)

– den Einsatz eines VPN-Produkts für den hohen Schutzbedarf, das nachweislich definierte Sicher-heitskriterien erfüllt (s.Variante 5.4.4 C und Variante 5.4.4 D)

23 Dies erhöht die Investitionssicherheit, da bspw. im Fall notwendiger Erweiterungen oder Ersetzungen defekter IT-Systeme eine größere Palette möglicher Produkte bereitsteht, ohne dass die VPN-Lösung komplett aus getauscht werden müsste. Ferner kann von der Interoperabilität der VPN-Produkte unterschiedlicher Hersteller auf einehohe Konformität dieser Produkte mit etablierten Standards geschlossen werden. Die Interoperabilität der VPN-Produkte unterschiedlicher Hersteller ist ein Arbeitsinhalt des VPNC (Virtual Private Network Consortium) einem VPN In-dustriekonsortium, http://www.vpnc.org/.



– den Einsatz eines Produktes für den hohen Schutzbedarf, das in Verbindung mit dem VPN einenFernzugriff nur nach einer erfolgreichen Konformitätsprüfung des Endgeräts zulässt (s. Variante5.1.4 A)

Anforderungen an die Verfügbarkeit

Eine VPN-Lösung für den Fernzugriff muss so gestaltet sein, dass sie den Verfügbarkeitsanforde-rungen der Institution an den Fernzugriff genügt. Diese lassen sich anhand der folgenden Kriterien ausdrücken:

– die Anzahl gleichzeitiger VPN-Tunnel des VPN-Gateways

– die unterstützte Datenübertragungsrate der Netzschnittstellen des VPN-Gateways

– der Durchsatz der Kryptofunktionen des VPN-Gateways

– die maximale Verzögerung (Latenzzeit) des VPN-Gateways

– die Möglichkeit der Lastverteilung des VPN-Gateways

Anforderungen an die Kryptofunktionen

Die Kryptofunktionen des VPN realisieren den Schutz der Vertraulichkeit und der Integrität der über den VPN-Tunnel übertragenen Daten. Hierzu muss die VPN-Lösung anerkannte Algorithmen und hinreichend große Schlüssel unterstützen24. Empfehlungen zu Kryptoverfahren und Schlüssel-längen gibt eine technische Richtlinie des BSI [BSI TR-02102].

Abhängigkeit vom Endgerät

Die VPN-Lösung sollte eine maschinenbezogene Authentisierung des Endgeräts unterstützen. Im Fall eines hohen Schutzbedarfs kann dies zertifikatsbasiert (s. Variante 5.1.2 A) oder mittels eines Trusted Platform Modules (TPM, s. Variante 5.1.2 B) erfolgen.

Dies gilt insbesondere dann, wenn die VPN-Lösung keine spezielle Hard- und Software auf Seite des Endgeräts für den Fernzugriff erfordert, was auch als Clientless bezeichnet wird. Ein Beispiel für ein Clientless VPN ist ein SSL-VPN, das auf Seite des Endgeräts nur einen Browser voraussetzt. Der VPN-Benutzer könnte in diesem Fall auch nicht gewünschte, unsichere Endgeräte für den Fern-zugriff einsetzen.

Um dem Einsatz beliebiger Endgeräte (z. B. „Clientless“ SSL-VPN) entgegen zu wirken, kann man für die VPN-Lösung spezielle Hardware und/oder Software auf Seiten des Endgerät fordern. Dies kann als ausreichender Schutz für den Fernzugriff erachtet werden.

4.1.6 Benutzerfreundlichkeit

Für den Anwender des Fernzugriffs ist eine Authentisierung in der Regel mit einer Beeinträchti-gung der Benutzerfreundlichkeit (usability) verbunden. Deren Akzeptanz ist jedoch maßgeblich für den sachgemäßen Umgang mit den Authentisierungsmitteln.

24 Die Bundesnetzagentur (www.bundesnetzagentur.de) veröffentlicht regelmäßig auf Basis der Angaben des BSI im Bundesanzeiger eine Übersicht über Kryptoalgorithmen, die zur Erzeugung von Signaturschlüsseln, zum Hashen von Daten und zur Prüfung und Erzeugung von digitalen Signaturen als geeignet angesehen werden. Entsprechende aktuelle Informationen sind auch unter http://www.bsi.bund.de/Algorithmenkatalog zu finden.



Die Benutzerfreundlichkeit sollte bei der Auswahl und Gestaltung der Authentisierungsmittel ein wichtiges Kriterium sein und zum Beispiel einfließen, wenn bei der Gestaltung des Fernzugriffs zwischen mehreren Authentisierungsverfahren und den sie realisierenden Produkten gewählt wer-den muss.

4.2 Sichere Grundkonfiguration der Komponenten

Die sichere Grundkonfiguration bezieht sich allgemein auf die Komponenten der Grundarchitektur zum Fernzugriff oder speziell auf ausgewählte Eigenschaften dieser Komponenten. Sie ist ein not-wendiges Element der Grundarchitektur.

Die Konfiguration jeder Komponente muss vor ihrem Einsatz für den Fernzugriff ausgiebig getestet werden.

Minimalkonfiguration

Alle Komponenten des Fernzugriffs, insbesondere die aus dem Internet erreichbaren, sind minimal zu konfigurieren. Überflüssige Software muss entfernt werden, unnötige Dienste sind zu deaktivie-ren. Weitere Informationen zur Einrichtung eines Minimalsystems sind in [ISi-Client] zu finden.

Auf dem Endgerät dürfen nur die Programme der Anwendungen installiert werden, die über den Fernzugriff genutzt werden dürfen. Außerdem sind nicht für den Fernzugriff benötigte Kommuni-kationsschnittstellen des Endgeräts, wie z. B. Bluetooth oder Infrarot, zu deaktivieren.

Beschränkung des Fernzugriffs auf erlaubte Anwendungen

Ein Benutzer sollte den Fernzugriff nur für die Anwendungen nutzen können, für die er befugt ist (technische Durchsetzung organisatorischer Befugnisse mittels technischer Berechtigungen bzw. Beschränkungen). Im Fall des „Vollzugriffs“ sind das alle Anwendungen, die der Benutzer auch im internen Netz der Institution nutzen kann. Im Fall des „eingeschränkten Zugriffs“ ist dies eine an-derweitig eingeschränkte Auswahl von Anwendungen. Die Beschränkung des Fernzugriffs auf die zulässigen Anwendungen sollte durch die Konfiguration der entsprechenden Komponenten der Grundarchitektur durchgesetzt werden. Zu diesen zählen Paketfilter PF12 und AAA-Server sowie ggf. Terminal-Server und/oder Proxy-Server.

Personal Firewall des Endgeräts

Für den Fernzugriff sollte die Personal Firewall des Endgeräts ausgehende Verbindungsaufbauten ausschließlich an das VPN-Gateway des Netzes der Institution zulassen. Der Aufbau der Verbin-dung zum Endgerät ist zu blockieren, wobei eine Verbindung zu Administrationszwecken eine Aus-nahme bilden kann.

Der Administrator muss die automatische Erkennung der Netzumgebung durch die Personal Fire-wall konfigurieren, wenn diese Möglichkeit unterstützt wird.

Datenverschlüsselung des mobilen Endgeräts

Die Datenverschlüsselung soll gegen mögliche Vertraulichkeitsverletzungen schützen, wenn Unbe-fugte Zugang zum Endgerät erlangen. Idealerweise umfasst die Datenverschlüsselung alle perma-nenten Speicherbereiche des Endgeräts (solche in denen die Daten auch erhalten bleiben, wenn das Endgerät ausgeschaltet ist, z. B. eine Festplatte oder eine Solid State Disk). Ist dies nicht möglich,



dann ist die Datenverschlüsselung so zu konfigurieren, dass sie mindestens die Anwenderdaten des Benutzers umfasst. Zu den Anwenderdaten zählen, etwa im Fall eines Endgeräts für die mobile E-Mail-Synchronisation, E-Mails und PIM-Daten des Benutzers.

WLAN-Deaktivierung bei Smartphones

Um die Gefährdungen durch WLAN-Nutzung generell auszuschließen, sollte WLAN bei Smart-phones deaktiviert werden.

Konfiguration sicherer Parameter

Bei der Konfiguration von Sicherheitsfunktionen des Endgeräts, des VPN-Gateways und anderer Komponenten des Fernzugriffs müssen sichere Parameter gewählt werden. Die folgende Tabelle nennt hierzu Kriterien.

Sicherheitsfunktion Parameter Kriterien

Benutzer-Authentisierung gegenüber End-gerät

Passwort Ausreichende Länge und Kom-plexität

Administrator-Authentisierung gegenüber Endgerät und anderen Komponenten des Fernzugriffs

Passwort Ausreichende Länge und Kom-plexität

Kryptofunktionen des Endgeräts wie Fest-platten- oder Dateiverschlüsselung

Passwort, sofern nicht automatisch ab-geleitet aus den Au-thentisierungsge-heimnissen

Ausreichende Länge und Kom-plexität

VPN-Kryptofunktionen Algorithmus und ggf. Modus

Anerkannt sichere Verfahren

Schlüssellänge Anerkannt ausreichende Länge, abhängig vom Verfahren

Aktivierung einer Zugangssperre zum Endgerät

Anzahl fehlerhafter Anmeldeversuche

Abwägung Benutzerfreundlich-keit und Sicherheitsniveau

Automatische Löschung von Benutzerda-ten des Endgeräts

Anzahl fehlerhafter Anmeldeversuche


Automatische Beendigung einer Fernzu-griffsverbindung

Zeitdauer der Inakti-vität und/oder Zeit-dauer der Verbindung


Tabelle 6: Sicherheitsfunktionen, Parameter und Kriterien

Empfehlungen zu Kryptoverfahren und Schlüssellängen werden regelmäßig von der Bundesnetz-agentur25 veröffentlicht.

25 Die Bundesnetzagentur (www.bundesnetzagentur.de) veröffentlicht regelmäßig auf Basis der Angaben des BSI im Bundesanzeiger eine Übersicht über Kryptoalgorithmen, die zur Erzeugung von Signaturschlüsseln, zum Hashen von Daten und zur Prüfung und Erzeugung von digitalen Signaturen als geeignet angesehen werden. Entsprechende aktuelle Informationen sind auch unter https://www.bsi.bund.de/Algorithmenkatalog zu finden.



Einschränkung der Kommunikationsbeziehungen im Netz der Institution

Der Fernzugriff erfordert bestimmte Kommunikationsbeziehungen zwischen den Komponenten der Grundarchitektur. Durch die Konfiguration der entsprechenden Paketfilter im Netz der Institution werden dabei die möglichen Kommunikationsbeziehungen auf die notwendigen eingeschränkt.

– Einschränkung der Kommunikationsbeziehungen zum VPN-Gateway durch Paketfilter PF1

• Verbindungsaufbauten nur zum Aufbau eines VPN-Tunnels. PF1 erkennt die Kommunikati-onsbeziehungen anhand der IP-Adresse und der benutzten Ports.

– Einschränkung der Kommunikationsbeziehungen innerhalb der Fernzugriffszone durch Paketfil-ter PF12

• Verbindungsaufbauten zum AAA-Server nur durch das VPN-Gateway

• Mögliche Zugangsbeschränkungen des Endgeräts zu IT-Systemen in der Fernzugriffszone wie Proxy-Server, Terminal-Server oder IT-Systeme zur mobilen E-Mail-Synchronisation

– Einschränkung der Kommunikationsbeziehungen von der Fernzugriffszone zum internen Netz durch Paketfilter PF12

• Mögliche Zugangsbeschränkungen des Endgeräts zu IT-Systemen im internen Netz wie E-Mail-Server

• Mögliche Zugangsbeschränkungen von IT-Systemen der Fernzugriffszone zu IT-Systemen im internen Netz wie Terminal-Server zu Datei-Server

Hierfür könnte auch der Paketfilter PF6 eingesetzt werden. Die Reduktion der Angriffsfläche von PF6 und die vereinfachte Administration der einzelnen Paketfilter begründen den Einsatz des Paketfilters PF12.

In kleinen, wenig exponierten IT-Netzen mit normalem Schutzbedarf lässt sich durch das Zusam-menlegen von Filter-Komponenten Hardware einsparen. Die daraus resultierenden zusätzlichen Ge-fährdungspotenziale können in unkritischen Anwendungsszenarien oft akzeptiert werden.

Im Fall eines hohen Schutzbedarfs ist der Verbindungsaufbau von der Fernzugriffszone in das inter-ne Netz der Institution nicht zulässig. In diesem Fall bietet sich der Einsatz eines Spiegel-Servers an (s. Variante 5.1.5 A).

Die Grundarchitektur sieht keine Beschränkung für die Dauer einer bestehenden Fernzugriffsver-bindung vor. Es ist jedoch zu überlegen, ob man sie nach einer definierten Dauer der Inaktivität be-endet. Dies lässt sich in der Regel durch eine entsprechende Konfiguration des AAA-Servers und/oder des VPN-Gateways durchsetzen.

4.3 Grundvorgaben für einen sicheren Betrieb

Das abschließende Element der Grundarchitektur sind die Vorgaben für den Betrieb des Fernzu-griffs. Anders als für die Auswahl und Konfiguration von Komponenten betreffen sie hier auch die Benutzer des Fernzugriffs und beinhalten fortlaufende Aktivitäten.

Anwenderrichtlinie

Der Benutzer des Fernzugriffs muss verpflichtet werden, einer Anwenderrichtlinie zu folgen, die zu benutzerrelevanten Aspekten des Fernzugriffs informiert und diese regelt.



Möglichkeit der Sperrung des Fernzugriffs

Es muss der Institution möglich sein, den Fernzugriff mindestens für eine bestimmte Benutzeriden-tität, erweitert sogar für ein bestimmtes Endgerät zu sperren, wenn dies technisch durchsetzbar ist.

Ein denkbarer Auslöser für eine Sperrung ist etwa der Verlust eines Endgeräts. Die Institution muss entsprechende Meldungen zeitnah entgegennehmen und zeitnah darauf reagieren können.

Eine weitere Möglichkeit ist die begrenzte Sperrung einer Fernzugriffs-Verbindung bei misslunge-nen Anmeldeversuchen. Eine Fernzugriffsverbindung wird nach Überschreiten einer definierten Anzahl an misslungenen Anmeldeversuchen nicht vollständig, sondern nur für ein begrenztes Zeit-intervall gesperrt. Je nach Variante können diese Zeitintervalle immer länger werden (Teergrube). Dies verhindert, dass ein Angreifer mit Hilfe von Denial-of-Service-Angriffen beliebige Benutzer-konten dauerhaft sperren kann.

Die Maßnahme verhindert jedoch nicht eine mögliche Kompromittierung des Netzes der Institution während einer bestehenden Verbindung.

Regelmäßige Datensicherung des Endgeräts

Damit der Verlust eines Endgeräts nicht den Verlust der Anwenderdaten nach sich zieht, empfiehlt sich die regelmäßige Sicherung der Anwenderdaten des Endgeräts auf Systeme im Netz der Institu-tion. Je nach Ausgestaltung des Fernzugriffs werden Anwenderdaten auch ausschließlich im Netz der Institution gehalten, etwa beim Fernzugriff über einen Terminal-Server und zentraler Datenver-arbeitung. In diesem Fall sind die Benutzerdaten innerhalb des Netzes der Institution zu sichern.

Notfallmanagement

Um sicherzustellen, dass wichtige Geschäftsprozesse einer Institution selbst in kritischen Situatio-nen nicht oder nur temporär unterbrochen werden, ist ein gut funktionierendes Notfallmanagement unerlässlich. Zu den Maßnahmen im Bereich des Notfallmanagements gehören Wartungsverträge mit entsprechend definierten Ausfall- und Wiederherstellungszeiten oder auch das Bereithalten be-reits vorkonfigurierte Geräte. Ausführliche Informationen zur Erstellung eines Notfallkonzept sind im BSI-Standard 100-4 zu finden.

Test- und Freigabeverfahren für neue Software

Neue Software darf nicht die Funktionsfähigkeit der Komponenten des Fernzugriffs beeinträchtigen und muss frei von Schadprogrammen sein. Bevor neue Software auf Endgeräte oder andere Kom-ponenten des Fernzugriffs eingespielt wird, sollten Test- und Freigabeverfahren erfolgreich in einer eigens eingerichteten Testumgebung durchgeführt worden sein.

Zeitnahes Einspielen sicherheitsrelevanter Patches

Sicherheitsrelevante Patches (Korrektursoftware) sind zeitnah auf den betroffenen Komponenten des Fernzugriffs einzuspielen.

Zeitnahe Virenschutz-Updates

Aktuelle Virenschutz-Signaturen, aktuelle Virenschutz-Heuristiken sowie das aktuelle Virenschutz-Programm selbst müssen zeitnah eingespielt werden. Dies betrifft mögliche Virenschutzprogramme auf den Endgeräten und Virenschutzprogramme auf IT-Systemen im Netz der Institution, auf denen Dateien vor dem Einspielen auf Endgeräte auf Schadprogramme getestet werden.



Monitoring des laufenden Betriebs

Es empfiehlt sich, die Komponenten des Fernzugriffs in der Fernzugriffszone kontinuierlich zu überwachen. Abweichungen vom Regelbetrieb, etwa ein Ausfall, sollten zeitnah erkannt werden können, was durch den Einsatz entsprechender Monitoring-Tools möglich ist.

Erfassung und Auswertung von Protokolldaten

Die Nutzung des Fernzugriffs sollte protokolliert werden, wobei die Unterstützung der Prävention und Analyse möglicher Sicherheitsvorfälle das vorrangige Ziel ist. Die Protokollierung lässt sich auch einsetzen, um drohende Performance-Einschränkungen des Fernzugriffs aufgrund einer wach-senden Auslastung frühzeitig zu erkennen.

Die im Rahmen der Protokollierung gesammelten Informationen sollten regelmäßig durch einen Administrator ausgewertet werden, der dabei nach Möglichkeit durch eine Software zur Auswer-tung von Protokollierungsdaten unterstützt wird.

Bei der Protokollierung, der Speicherung und Auswertung der Daten sind alle geltenden Bestim-mungen, nicht nur die des Datenschutzes, zu beachten. Dazu gehören u.a. die Informationspflicht und die Einverständniserklärung der von der Protokollierung betroffenen Benutzer des Fernzugriffs.



5 Gefährdungen und Empfehlungen mit Varianten für normalen und hohen Schutzbedarf

In diesem Abschnitt werden die Gefährdungen analysiert, denen die Grundarchitektur bei der Nut-zung des Fernzugriffs ausgesetzt ist. Es werden Bedrohungen vorgestellt und eine oder mehrere Schwachstellen aufgeführt, die das Eintreten des jeweiligen Ereignisses begünstigen. Gegen diese Schwachstellen sind die Sicherheitsmerkmale der Grundarchitektur für den normalen Schutzbedarf gerichtet. Für nahezu jedes dieser Merkmale gibt es mögliche Varianten. Diese stellen verschiedene Architekturen und Konfigurationsmöglichkeiten für den normalen Schutzbedarf vor, andererseits bieten die Varianten auch ergänzende Maßnahmen für den hohen Schutzbedarf.

Hierzu ist zu beachten, dass höhere Sicherheitsansprüche in der Regel auch mit Mehrkosten verbun-den sind, entweder aufgrund der Beschaffungskosten für zusätzliche Sicherheitskomponenten oder durch einen erhöhten Aufwand für die Einrichtung und den Betrieb einer solchen Lösung. Empfeh-lungen für Schutzmaßnahmen über die Grundarchitektur hinaus richten sich daher an Anwender mit hohem Schutzbedarf, die besonderen Schutz der Verfügbarkeit, Integrität und Vertraulichkeit benö-tigen.

5.1 Gefährdungen durch Eindringen/Übernehmen

Gelingt es einem Angreifer bestehende Schwachstellen auszunutzen, kann er in das Endgerät und im schlimmsten Fall in das interne Netz eindringen. Sobald ein System, z. B. das VPN-Gateway, kompromittiert wurde, befindet sich der Angreifer in der Fernzugriffszone und kann von hier aus weitere Clients und Server attackieren.

Durch das Eindringen in einzelne Systeme ergeben sich daher zahlreiche Folgegefährdungen in den Kategorien Verfügbarkeit, Vertraulichkeit und Integrität. Die Angriffsmöglichkeiten, die speziell über den Fernzugriff genutzt werden können, um in geschützte Systeme einzudringen, werden im folgenden Abschnitt beschrieben.

5.1.1 Diebstahl/Verlust

Bedrohung: Das Endgerät gelangt in den Besitz einer unbefugten Person

Schwachstelle: Nachlässigkeit beim Transport oder der Aufbewahrung;

Unzureichende physische Sicherheit am Heimarbeitsplatz

Durch Nachlässigkeit beim Transport des mobilen Endgeräts (z. B. liegen lassen im Taxi) oder bei der Aufbewahrung (z. B. offen zugänglich im Hotelzimmer) kann es zum Verlust oder zum Diebstahl des Endgeräts kommen.

Die Gefährdung, die sich aus der unbefugten Inbesitznahme des Endgeräts ergibt, bezieht sich sowohl auf stationäre Endgeräte am Heimarbeitsplatz (wie Desktop-PC) als auch auf mobile Endgeräte für den mobilen ortsunabhängigen Fernzugriff wie Smartphone oder Laptop. Die Inbesitznahme des Endgeräts kann missbraucht werden, um unbefugten Zugang zum Endgerät und dessen Daten zu erlangen. Im Erfolgsfall droht auch ein unbefugter Zugang zum internen Netz.



Gegenmaßnahmen in der Grundarchitektur:

– Anwenderrichtlinie für den Fernzugriff

– Möglichkeit der Sperrung des Fernzugriffs

Restrisiko: Missachtung der Anwenderrichtlinie aufgrund der damit ver-bundenen Einschränkung der Benutzerfreundlichkeit (usability) des Fernzugriffs.

Verzögerte Kenntnisnahme und Reaktion auf Verlustmeldungen des Anwenders, wenn diese außerhalb der zeitlich begrenzten Verfügbarkeit des zuständigen Personals der Institution erfolgt.

Variante 5.1.1 A für hohen Schutzbedarf: Zeitnahe Aufnahme von Sperraufforderungen des Fernzugriffs und ihre Durchsetzung

Anwendungsbereich: hoher Schutzbedarf bezüglich Integrität oder Vertraulichkeit

Phase im Ablaufplan: Betrieb

Die Verfügbarkeit des Personals der Institution zur Entgegennahme von Sperrauf-forderungen und ihrer Durchsetzung wird erhöht. Bei einer maximalen 24x7-Ver-fügbarkeit kann immer unmittelbar auf eine Verlustmeldung reagiert werden.

Restrisiko: Diese Maßnahme verringert nicht die Wahrscheinlichkeit des Verlusts eines Endgeräts, unterstützt aber wesentlich die Reduk-tion möglicher Folgeschäden für das interne Netz.

Umsetzungsaufwand:

– hoch, wenn hierfür extra zusätzliches Personal bereitgestellt werden muss

– mittel, wenn hierfür bereits vorhandenes Personal eingesetzt werden kann

Variante 5.1.1 B für hohen Schutzbedarf: Aufspüren des Gerätes über GPS

Anwendungsbereich: hoher Schutzbedarf bezüglich Integrität oder Vertraulichkeit

Phase im Ablaufplan: Realisierung

Das Endgerät wird, wenn nicht bereits vorhanden, mit einem GPS-Empfänger aus-gestattet. Das Endgerät übermittelt regelmäßig, z. B. übers Internet, seine Standort-informationen an einen Überwachungsserver. Wird das Gerät gestohlen, kann es, so-fern der GPS-Empfänger nicht deaktiviert wurde, über den Empfänger geortet wer-den.

Restrisiko: Diese Maßnahme verringert nicht die Wahrscheinlichkeit des Verlusts eines Endgeräts, unterstützt aber das Wiederauffinden des Endgeräts. Vor der Anwendung dieser Maßnahme müssen jedoch die juristisch/rechtliche Bestimmungen geprüft werden, da der Arbeitgeber kontrollieren kann, wo sich das Endgerät bzw. der Arbeitnehmer aufhält.

Umsetzungsaufwand: mittel, da das Endgerät, wenn nicht bereits vorhanden, mit einem GPS-Empfänger ausgestattet und ein Überwa-chungsserver beschafft und betrieben werden muss.



Variante 5.1.1 C für hohen Schutzbedarf: Fernlöschung der Daten

Anwendungsbereich: hoher Schutzbedarf bezüglich Vertraulichkeit

Phase im Ablaufplan: Konzeption

Mit Hilfe von zusätzlicher Hard- und Software ist es möglich Daten auf verlorenen oder gestohlenen Laptops oder Smartphones aus der Ferne zu löschen. Hierzu ist es jedoch erforderlich, dass der Laptop oder das Smartphone eine Verbindung zum In-ternet oder Mobilfunknetz aufbaut.

Restrisiko: Diese Maßnahme verringert nicht die Wahrscheinlichkeit des Verlusts eines Endgeräts. Hat das Gerät keine Verbindung zum Internet oder Mobilfunknetz können die Daten nicht gelöscht werden. Ein zusätzliches Risiko besteht darin, dass bei einer Software-Lösung, Angreifer sich eventuell vorhandene Soft-ware-Fehler zunutze machen und auf diesem Wege die Daten auf dem Endgerät löschen.

Umsetzungsaufwand: mittel, da zusätzliche Beschaffungungskosten anfallen.

5.1.2 Kompromittierung der Authentisierung

Bedrohung: Unbefugter Zugriff auf IT-Systeme oder Daten der Institution

Schwachstelle: Keine Beschränkung des Fernzugriffs auf authentisierte Benut-zer und zulässige Endgeräte

Nachlässiger Umgang mit Authentisierungsmitteln

Keine automatische Sperrung des Zugangs zum Endgerät nach andauernder Inaktivität

Keine oder nur unzureichende Einschränkung der Kommunika-tionsbeziehungen im Netz der Institution

Eine unbefugte Person, die in den Besitz eines Endgeräts und der erforderlichen Authentisie-rungsmittel kommt, ist befähigt und technisch berechtigt, einen Fernzugriff auf das Netz der Institution durchzuführen. Das Netz der Institution kann diese Person nicht von einem befug-ten Anwender unterscheiden. Die Gefährdung betrifft nicht nur das Endgerät und die IT-Sys-teme im Netz der Institution, zu denen über den Fernzugriff direkte Kommunikationsbezie-hungen bestehen. Gelingt es einem Angreifer, diese IT-Systeme erfolgreich zu kompromittie-ren (z. B. mit Hilfe eines Schadprogramms), kann er sie als Sprungbrett für den Angriff auf nachgelagerte IT-Systeme im Netz der Institution nutzen.

Diese Gefährdung ist auch eine mögliche Folge von:

– der Gefährdung Diebstahl/Verlust des Endgeräts (s. Abschnitt 5.1.1)


– Möglichkeit der Sperrung des Fernzugriffs bei wiederholten nicht erfolgreichen Verbindungsauf-bauten zum Netz der Institution

– Automatische Sperrung des mobilen Endgeräts nach Inaktivität



– Benutzerfreundliche Authentisierungsverfahren

– Beschränkung der Kommunikationsbeziehungen auf die Notwendigen

– Anwenderrichtlinie für den Fernzugriff, Sensibilisierung für den angemessenen Umgang mit den Authentisierungsmitteln

– Möglichkeit der Sperrung des Fernzugriffs bei Verlust der Authentisierungsmittel

Restrisiko: Das Restrisiko ist zum größten Teil abhängig vom Sicherheits-bewusstsein der Benutzer und der Einhaltung der organisatori-schen Richtlinien.

Variante 5.1.2 A für hohen Schutzbedarf: Zertifikat zur Authentisierung des Endgeräts

Anwendungsbereich: hoher Schutzbedarf bzgl. der Integrität oder der Vertraulichkeit des Netzes der Institution


Das Endgerät muss sich gegenüber dem Netz der Institution authentisieren. Hierfür setzt es ein Zertifikat (auch: Computerzertifikat oder Softwarezertifikat) ein. Zusätz-lich kann das Zertifikat an bestimmte hinreichend eindeutige Merkmale des Endge-rätes gekoppelt werden.

Restrisiko: Rein Software-basierte Authentisierungsmerkmale können im Prinzip auf ein anderes Endgerät übertragen und dann von die-sem zur Authentisierung genutzt werden.

Umsetzungsaufwand: mittel, durch erhöhte Beschaffungskosten für VPN-Produkt, das Zertifikate zur Endgeräte-Authentisierung unterstützt.

Variante 5.1.2 B für hohen Schutzbedarf: Endgerät-Authentisierung mittels Trusted Platform Module (TPM)

Anwendungsbereich: hoher Schutzbedarf bzgl. der Integrität und der Vertraulichkeit des Netzes der Institution


Es wird ein Endgerät mit TPM eingesetzt. TPM ist ein Sicherheitschip, der durch die Trusted Computing Group (TCG) spezifiziert worden ist. Vereinfacht lässt sich ein TPM wie eine auf die Hauptplatine des Endgeräts verlötete SmartCard vorstel-len. Das TPM speichert gesichert kryptografische Geheimnisse und führt geschützt kryptografische Operationen aus, etwa zur Endgeräte-Authentisierung. In Verbin-dung mit der entsprechenden Software kann ein TPM auch als Vertrauensanker ein-gesetzt werden, um die Integrität ausgewählter Betriebssystemkomponenten nachzu-weisen (Integrity Check).

Restrisiko: Durch diese Maßnahme wird der Gefährdung auch bei hohem Schutzbedarf ausreichend begegnet.

Umsetzungsaufwand: hoch, durch erhöhte Beschaffungskosten für Endgeräte mit TPM (sofern das Endgerät nicht bereits über ein TPM verfügt) und ein VPN-Produkt, das TPM zur Endgeräte-Authentisierung unterstützt.



5.1.3 Offene Schnittstellen

Bedrohung: Unbefugter Zugang zum Endgerät

Schwachstelle: Das Endgerät unterstützt Kommunikationsschnittstellen, die für den Fernzugriff nicht erforderlich sind.

Das Endgerät ist im Netzzugangsbereich auf der Internet-Schicht erreichbar.

Die Gefährdung besteht darin, dass eine Person unter Ausnutzung offener Schnittstellen (z. B. Bluetooth oder Firewire) volle oder eingeschränkte Kontrolle über das Endgerät erlangt. Das Endgerät muss sich hierzu nicht im physischen Besitz der Person befinden. Zu den möglichen Ursachen zählen beispielsweise auch ein unverschlüsseltes WLAN. Das Endgerät kann miss-braucht werden, um beispielsweise unbefugten Zugriff auf die Daten des Endgeräts zu erlan-gen. Beispiele hierfür sind das Auslesen des Speichers über die Firewire-Schnittstelle um an Authentisierungsmittel zu gelangen oder das Abhören von Gesprächen über Bluetooth.


– Deaktivierung nicht erforderlicher Kommunikationsschnittstellen

– Einsatz einer Personal Firewall auf dem Endgerät zur Einschränkung der möglichen auf die not-wendigen Kommunikationsbeziehungen

– Minimalkonfiguration aller Systemkomponenten des Fernzugriffs

Varianten zur Grundarchitektur:

Variante 5.3.1 B für hohen Schutzbedarf: Endgeräte mit erweitertem Integritätsschutz

Restrisiko: Die Deaktivierung von Schnittstellen kann unvollständig sein.

5.1.4 Schadprogramme

Bedrohung: Unbefugter Zugang zum Endgerät

Schwachstelle: Öffnen von Schadprogrammen durch den Benutzer

Das Endgerät unterstützt einen Datenimport, der nicht unter den Virenschutz des Netzes der Institution fällt, etwa über mobile Datenträger oder über Mobilfunk und MMS (Multimedia Mes-sage Service).

Das Endgerät lässt direkte Verbindungen zu Internet-Inhalten zu.

Die Test- und Freigabeverfahren für neue Software für das End-gerät beinhalten keine ausreichende und/oder aktuelle Prüfung auf Schadprogramme.

Unter Schadprogrammen versteht man allgemein Programme, die eine Schadfunktion aufwei-sen. Oft verbreiten sie sich, unbeabsichtigt vom Benutzer, selbstständig weiter. Die Gefähr-dung besteht darin, dass der Benutzer beim Herunterladen und Öffnen der infizierten Dateien das eigene Endgerät und durch den Fernzugriff u. U. auch das interne Netz der Institution infi-



ziert. Dadurch können nicht kontrollierbare Manipulationen an Programmen oder Systembe-reichen vorgenommen werden, Daten ausspioniert oder die infizierten Endgeräte für kriminel-le Handlungen missbraucht werden.

Einen guten Schutz vor Schadprogrammen bietet ein Patch-Management-Prozess, der nach der Veröffentlichung von Sicherheits-Updates das rasche Testen und Einspielen der Patches ermöglicht.


– Patch-Management gemäß [ISi-E]

– Alle Dateien werden sowohl am ALG als auch am Endgerät auf Schadprogramme untersucht.

– Zugang zu Internet-Inhalten ausschließlich über das Netz der Institution

– Minimalkonfiguration aller Systemkomponenten des Fernzugriffs



Restrisiko: Ein Restrisiko besteht durch Angriffe, die Schwachstellen oder Sicherheitslücken ausnutzen, die noch nicht allgemein bekannt sind und/oder für deren Schließung noch keine Lösung vom Hersteller vorhanden ist.

Als grundsätzliche Maßnahme muss definiert werden, wie schnell ein Patch nach Veröffentlichung eingespielt werden soll. Je kürzer dieser Zeitraum ist, desto weniger Zeit verbleibt, um die Auswirkungen des Patches zu testen. Je länger dieser Zeit-raum ist, desto länger sind die Systeme angreifbar. Diese Ent-scheidung muss bei der Ausarbeitung des Patch-Management-Prozesses getroffen werden.

Variante 5.1.4 A für hohen Schutzbedarf: Network Admission Control (NAC)

Anwendungsbereich: hoher Schutzbedarf bzgl. der Integrität oder der Vertraulichkeit des Netzes der Institution

Phase im Ablaufplan: Betrieb

Der Fernzugriff ist erst möglich, wenn das Endgerät definierte Konformitätskriterien erfüllt. Dazu können etwa der Patch-Stand des Betriebssystems oder die Viren-schutz-Signaturen des Virenschutzprogramms auf dem Endgerät zählen. Sind diese nicht aktuell, dann gelten die Konformitätskriterien durch das Endgerät als nicht er-füllt. Das VPN-Gateway unterbindet daraufhin den Fernzugriff durch das Endgerät und ermöglicht alternativ den Fernzugriff auf einen Quarantänebereich im Netz der Institution, um die Patches und Signatur-Dateien des Endgeräts zu aktualisieren. Nach erfolgreicher Aktualisierung lässt das VPN-Gateway den Fernzugriff des End-geräts auf das Netz der Institution zu. Die geschilderte Konformitätsüberprüfung und -durchsetzung wird durch spezielle Produkte realisiert. Diese Technik wird auch als Network Admission Control (NAC) bezeichnet.

Aus Sicht des Fernzugriff-Anwenders kann diese Variante die Verfügbarkeit des Fernzugriffs einschränken. Ein Endgerät, das über einen längeren Zeitraum nicht ak-



tualisiert worden ist, erfüllt möglicherweise die Konformitätskriterien nicht. In der Folge ist kein Fernzugriff möglich oder wird erst unterstützt, nachdem das Endgerät automatisch die notwendigen Software-Aktualisierungen aus dem Quarantänebe-reich des Netzes der Institution bezogen und installiert hat.

Aus Sicht der Institution kann ein unterbundener oder verzögerter Fernzugriff auf-grund nicht erfüllter Konformitätskriterien zum Schutz des Netzes gewollt sein. Die Institution kann die Dauer der Verzögerung minimieren, indem sie den Fernzugriff so gestalten, dass dieser eine entsprechend dimensionierte Datenübertragungsrate zwischen Endgerät und Netz der Institution unterstützt, damit das Update schneller geht.

Restrisiko: Eine Konformitätsprüfung lässt sich produktabhängig nur für die Endgeräte durchführen, deren Betriebssysteme von dem ent-sprechenden Produkt zur Durchsetzung der Konformitätsüber-prüfung unterstützt werden. Eine Konformitätsüberprüfung und -durchsetzung gewährleistet nicht die Sicherheit des Netzes der Institution vor einer möglichen Kompromittierung durch das Endgerät, senkt jedoch das Risiko einer Kompromittierung. Dies hängt jedoch wesentlich von der inhaltlichen Gestaltung der Konformitätsüberprüfung ab.

Umsetzungsaufwand: hoch, aufgrund der Beschaffungs- und möglicher laufender Lizenzkostenkosten für ein Produkt zur Durchsetzung der Kon-formitätsüberprüfung.

Variante 5.1.4 B für normalen Schutzbedarf: Fernzugriff über eine Live-CD

Anwendungsbereich: normaler Schutzbedarf bzgl. der Integrität oder der Vertraulichkeit des Netzes der Institution


Der Fernzugriff erfolgt von einem Endgerät aus, das nicht Eigentum der Institution ist und nicht unter ihrer administrativen Kontrolle steht. Das Endgerät kann auch ein pri-vat genutztes Endgerät sein. Für den Fernzugriff stellt die Institution dem befugten Benutzer Folgendes zur Verfügung:

– Eine speziell eingerichtete Live-CD1

Eine Live-CD dient zum Start eines IT-Systems mit dem Betriebssystem und den Anwendungen. Für den erfolgreichen Start einer Live-CD muss die Boot-Reihen-folge so eingestellt werden, dass die Live-CD das erste Medium ist, von dem aus ein Betriebssystem gebootet werden soll.

– Eine Hardware für die Authentisierung wie SmartCard-Leser oder Einmalpass-wortgenerator-Token.

Zu den Merkmalen dieses Ansatzes zählen:

– Der Benutzer bootet sein Endgerät von der Live-CD, auf der ein minimalisiertes Betriebssystem installiert ist.

– Dieses Betriebssystem ist so konfiguriert, dass nach dem Booten keine Werkzeuge für den Zugriff auf Datenträger des Endgeräts vorhanden sind.



– Die Programme, die ein Benutzer während des Fernzugriffs anwendet, laufen auf dem Terminal-Server und auf nachgelagerten IT-Systemen im Netz der Institution. Benutzerspezifische Einstellungen werden nur auf IT-Systemen im Netz der Insti-tution gespeichert. Daher reichen als verfügbare Programme für den Benutzer auf der Live-CD ein VPN-Client, mit dem er sich mit dem VPN-Gateway seiner Insti-tution verbindet und ein Terminal-Client aus.

– Um auf das Netz der Institution zuzugreifen, wird ein Authentisierungsmerkmal (z. B. ein Zertifikat) benötigt. Dieses Merkmal befindet sich nur auf der Live-CD. Dort sollte es geschützt hinterlegt sein. Dadurch wird verhindert, dass über das darunter liegende Betriebssystem auf die Authentisierungsmerkmale und damit auf das interne Netz der Institution zugegriffen werden kann.

– Bei laufendem Betriebssystem der Live-CD1 ist zudem ein Verbindungsaufbau aus dem Internet auf das Endgerät per lokalem Paketfilter blockiert. Ebenso wer-den Verbindungsaufbauten vom Endgerät zu Adressen im Internet reglementiert. Nur die VPN-Gateway-Adressen dürfen vom Endgerät aus angesprochen werden.

– Nach dem Aufbau des VPN-Tunnels startet auf dem Endgerät ein Terminal-Serv-er-Client.

– DasVPN-Gateway fragt sowohl das auf der Live-CD gespeicherte Authentisie-rungsmerkmal als auch die 2-Faktor-Authentisierung des Benutzers ab und prüft diese. Nach erfolgreicher Anmeldung wird der VPN-Tunnel auf einen Terminal-Server geleitet. Dort kommt es zur Deaktivierung evtl. vorhandener Mechanismen wie Kopieren & Einfügen mit dem Client-Betriebssystem auf dem Endgerät sowie weitergeleiteter Datei- und Drucker-Freigaben.

– Auf dem Terminal-Server erfolgt nach einer definierten Zeit der Inaktivität des Benutzers ein automatischer Logout bzw. eine Sperrung des Terminal-Server-Cli-ents.

Zu den Vorteilen dieses Ansatzes zählen:

– Das Endgerät stellt keinen Schadprogramm-Infektionspfad für das Netz der Insti-tution dar, weil kein Datenimport über das Endgerät möglich ist (abgesehen von den Tastatureingaben des Benutzers).

– Geht das Endgerät verloren, drohen keine Vertraulichkeitsverluste, da auf ihm kei-ne Daten des Fernzugriffs gespeichert werden.

Restrisiko:

– Der Einsatz der Live-CD ist in bestimmten Umgebungen (z. B. Internet-Café) ungeeignet, da Gefährdungen, wie Shoulder Surfing26 nicht ausgeschlossen werden können.

– Der Einsatz der Live-CD bietet keinen Schutz, wenn diese CD auf einem Endgerät benutzt wird, dass z. B. durch einen Hardware-Keylogger kompromittiert worden ist.

– Wenn die Live-CD nicht verschlüsselt ist, besteht bei Verlust oder Diebstahl sowie beim Kopie-ren der Live-CD die Gefahr, dass, nach Erraten des Passwortes, auf die Daten des internen Net-zes zugegriffen werden kann.

26 Shoulder Surfing bedeutet, dass ein Unbefugter dem Benutzer bei der Eingabe vertraulicher Daten zusieht. Oft steht der Unbefugte unbemerkt hinter dem Benutzer und kann so über dessen Schulter blickend die Eingaben des Benut-zers mit verfolgen



– Eine Aktualisierung von Software-Komponenten des Endgeräts für den Fernzugriff ist nur über eine aktualisierte Live-CD realisierbar. Diese muss erneut an alle Anwender des Fernzugriffs verteilt werden. Das führt zu Verzögerungen, die insbesondere einer erwünschten zeitnahen Ver-teilung sicherheitsrelevanter Software- Patches entgegenstehen.

Die zwei erst genannten Restrisiken beziehen sich nicht nur auf den Ansatz Fernzugriff mittels Live-CD, da sie unabhängig davon sind, ob das Endgerät unter der administrativen Kontrolle der Institution steht oder nicht.

Umsetzungsaufwand: niedrig, verglichen mit dem Umsetzungsaufwand in der Grund-architektur, wenn anstelle der Live-CD die Anschaffungskosten für die Hardware eines erlaubten Endgeräts anfallen.

5.1.5 Angriff auf das interne Netz der Institution

Bedrohung: Eindringen in das interne Netz der Institution

Schwachstelle: Ausnutzung von Software-Schwachstellen

Designfehler beim Aufbau der Fernzugriffszone

Neben den Schwachstellen, die in den Abschnitten 5.1.1 bis 5.1.4 beschrieben sind, besteht darüber hinaus die Gefahr, dass die Server der Fernzugriffszone direkt angegriffen werden, um Zugriff auf das interne Netz der Institution zu erlangen. Sind Schwachstellen auf den Sys-temen der Fernzugriffszone oder Designfehler beim Aufbau der Fernzugriffszone gemacht worden, können diese von einem Angreifer genutzt werden, um in die betroffenen Systeme einzudringen.


– Beschränkung des Fernzugriffs auf zugelassene Anwendungen

– Beschränkung des Fernzugriffs auf zugelassene Endgeräte

– Härtung aller Systemkomponenten des Fernzugriffs

– physische Segmentierung des Netzes der Institution

– funktionale Trennung aller Netz-Komponenten nach dem Prinzip „Nur ein Dienst pro Server“.


Variante 5.1.4 A für hohen Schutzbedarf: Network Admission Control (NAC)

Restrisiko: Ein Restrisiko besteht durch Ausnutzen von Schwachstellen oder Sicherheitslücken, die noch nicht allgemein bekannt sind und/oder für deren Schließung noch keine Lösung vom Herstel-ler vorhanden ist.Wurden die Empfehlungen der Grundarchitektur bezüglich des Aufbaus der Fernzugriffszone umgesetzt, sind keine weiteren Restrisiken in diesem Bereich zu identifizieren.



Variante 5.1.5 A für hohen Schutzbedarf: Beschränkung des Fernzugriffs durch Spiegel-Serv-er

Anwendungsbereich: hoher Schutzbedarf bzgl. der Integrität und der Vertraulichkeit des Netzes der Institution


Um das interne Netz vor Angriffen von Außen zu schützen, wird in der Fernzu-griffszone ein Spiegel-Server aufgestellt. Ein Spiegel-Server stellt eine Kopie der Daten und Anwendungen des gespiegelten Servers, der im internen Netz steht, zur Verfügung. Die Synchronisation der Daten erfolgt über automatisch initiierte Push-Zugriffe. Hierbei überträgt der zu spiegelnde Server die Daten zum Spiegel-Server.

Der Verbindungsaufbau erfolgt durch den gespiegelten Server im internen Netz und nicht durch den Spiegel-Server in der Fernzugriffszone. Beim Fernzugriff auf den Spiegel-Server können nur die von diesem unterstützten Anwendungen genutzt wer-den. Die Beschränkung des Fernzugriffs auf den Spiegel-Server lassen sich über ent-sprechende Paketfilterregeln durchsetzen.

Die folgende Abbildung zeigt Spiegel-Server und gespiegelten Server im Netz der Institution.

Restrisiko: Konzeptionsbedingt sind die Datenbestände von Spiegel-Server und gespiegeltem Server zwischen zwei Synchronisationen nicht identisch.


Abbildung 5.1: Fernzugriff über Spiegel-Server


Umsetzungsaufwand: mittel, durch erhöhte Beschaffungs- und Betriebskosten für den Spiegel-Server.

5.2 Gefährdungen der Verfügbarkeit

Die Verfügbarkeit des Fernzugriffs ist gegeben, wenn dieser den dazu Befugten innerhalb einer vor-gegebenen Zeit bereitgestellt werden kann. Sie lässt sich beabsichtigt einschränken, etwa auf be-stimmte Tageszeiten oder auf eine maximal zulässige Nutzungsdauer. Daneben kann jedoch die Verfügbarkeit des Fernzugriffs unbeabsichtigt eingeschränkt sein. Im Folgenden werden die hierzu gehörenden Gefährdungen beschrieben.

5.2.1 Überlastung der Internet-Anbindung des Netzes der Institution

Bedrohung: Der Fernzugriff ist nicht oder nur eingeschränkt verfügbar

Schwachstelle: Unterdimensionierung der Internet-Anbindung mit Bezug auf die Anforderungen an die Datenübertragungsrate und Latenzzeit

Unzureichende Vereinbarung zur Latenzzeit bei Nutzung eines IP-Netzes eines Datennetzbetreibers

Die Internet-Anbindung wird über das vorgesehene Maß auch für Zugriffe aus dem Internet auf andere Dienste wie Web-An-gebote genutzt.

Die Verfügbarkeitsanforderung an den Fernzugriff über das Internet erfordert, dass die Inter-net-Anbindung eine Mindestdatenübertragungsrate unterstützt. Bestimmende Faktoren für die Mindestdatenübertragungsrate sind etwa die Anzahl gleichzeitiger Fernzugriffe, die Art der genutzten Dienste und übertragenen Daten und die parallele Auslastung der Internet-Anbin-dung durch andere Dienste wie Web-Angebote. Wenn die Internet-Anbindung des Netzes der Institution die Mindestdatenübertragungsrate für den Fernzugriff nicht bereitstellt, ist der Fernzugriff nicht oder nur eingeschränkt verfügbar.


– Ausreichende Datenübertragungsrate für den Fernzugriff

– Ausreichende Dimensionierung der Komponenten des Fernzugriffs

– Vereinbarung von Qualitätsmerkmalen des Internet-Zugangs

– siehe hierzu auch [ISi-LANA]


Variante 5.2.4 B für hohen Schutzbedarf: Überdimensionierung der Performance (Overprovision-ing)

Restrisiko: Die Grundarchitektur beseitigt diese Gefährdung für normalen und hohen Schutzbedarf.



Variante 5.2.1 A für normalen Schutzbedarf: Reduktion der Anforderung an die Datenüber-tragungsrate durch Terminal-Server-Einsatz

Anwendungsbereich: normaler Schutzbedarf bzgl. der Verfügbarkeit


Unter Umständen ist die erforderliche Bandbreite des Netzanschlusses unter den gel-tenden Randbedingungen nicht mit vertretbaren Kosten realisierbar. Eine mögliche Lösung kann, in Abhängigkeit vom jeweiligen Einsatzzweck, in der Nutzung eines Terminal-Servers bestehen. Konzeptbedingt geht damit eine in der Regel relativ nied-rige Anforderung an die Datenübertragungsrate einher, da zum Endgerät nur die Än-derung des Bildschirminhalts und vom Endgerät nur Tastatureingaben und Mausbe-wegungen übertragen werden müssen.

Ob der Einsatz eines Terminal-Servers eine sinnvolle Option darstellt, muss im Ein-zelfall beurteilt werden. Insbesondere bei der Bearbeitung von großvolumiger Daten (z. B. Grafikdateien) ist der Einsatz von Terminal-Servern aus Performance-Gründen und zur Reduzierung der Netzlast sinnvoll.

Restrisiko: Die Nichtunterstützung der Offline-Bearbeitung der Daten, kann eine Einschränkung der Verfügbarkeit bedeuten. Eine mögliche zu hohe Latenzzeit der Antworten des Terminal-Servers schränkt die Benutzerfreundlichkeit ein.

Umsetzungsaufwand: Beschaffung, Aufbau und Betrieb der Terminal-Server-Technik erzeugen Kosten. Anderseits kann ihr Einsatz auch zu einer Kostenreduktion oder -vermeidung beitragen: niedrigere Anfor-derungen an die Datenübertragungsrate, keine Notwendigkeit der Datensynchronisation durch zentrale Datenhaltung, ggf. niedrigere Performance-Anforderungen an die Endgeräte u.a.

Die folgende Abbildung zeigt den Fernzugriff über einen Terminal-Server (s. hierzu auch Abschnitt 3.8).



5.2.2 Denial of Service-Angriffe

Bedrohung: Der Fernzugriff ist nicht oder nur eingeschränkt verfügbar

Schwachstelle: Zu hohe Auslastung des Netzanschlusses der Institution an das Internet

DoS-Angriffe sind ein Sammelbegriff für Angriffe, die darauf abzielen, die Verfügbarkeit von Systemen bewusst zu schädigen. Dies kann erreicht werden, indem Software- oder Hardware-Schwächen genutzt werden, um den Rechner zum Absturz zu bringen. Eine andere Angriffs-variante besteht darin, ein System durch mutwillig erzeugte Rechen-, Speicher- oder Kommu-nikationslasten an die Grenzen seines Leistungsvermögens zu bringen, um es in die Knie zu zwingen. Durch diese Angriffe besteht die Gefahr, dass die Internet-Anbindung des Netzes der Institution für den Fernzugriff nicht oder nur eingeschränkt zur Verfügung steht.


– Ausreichende Datenübertragungsrate für den Fernzugriff während des Regelbetriebs

– Vereinbarung von Qualitätsmerkmalen des Internet-Zugangs

– siehe hierzu auch [ISi-LANA]

Restrisiko: Die empfohlenen Maßnahmen können die DoS-Risiken nur mil-dern, aber nicht wirklich beseitigen.


Abbildung 5.2: Sichere Grundarchitektur – Fernzugriff über Terminal-Server


Variante 5.2.2 A für hohen Schutzbedarf: Fernzugriff über ein IP-Netz eines Datennetz-Pro-viders

Anwendungsbereich: hoher Schutzbedarf bezüglich der Verfügbarkeit

Phase im Ablaufplan: Konzeption und Betrieb

Der Fernzugriff über das Internet ist durch mögliche Verfügbarkeitseinschränkun-gen der Internet-Anbindung der Institution gefährdet. Dies lässt sich durch den Fern-zugriff über ein vom Internet unabhängiges zusätzliches IP-Netz eines Datennetzbe-treibers lösen, an welches das Netz der Institution angebunden ist. Zu den Zugangs-netzen, die typischerweise unterstützt werden, zählen Mobilfunk, DSL und Analog-/ISDN-Telefonie, zunehmend auch Netze wie WLAN und WiMax.

Der Betreiber eines Zugangsnetzes realisiert für eine definierte Benutzergruppe der Institution einen festgeschalteten Übergabepunkt vom Zugangsnetz zum IP-Netz des Datennetzbetreibers.

Häufig nutzen Institutionen bereits das IP-Netz eines Datennetzbetreibers, um ihre Standorte unabhängig vom Internet zu verbinden. Für einen vom Internet unabhän-gigen Fernzugriff kann geprüft werden, ob der Datennetzbetreiber die erforderlichen Kooperationen zu den Betreibern von Zugangsnetzen des favorisierten Typs unter-hält oder diese Zugangsnetze selbst betreibt.

Zu den Vorteilen dieser Variante gegenüber dem Fernzugriff über Internet zählen:

– Mit dem Datennetzbetreiber lassen sich technische und organisatorische Quali-tätsmerkmale für das IP-Netz vereinbaren. Zu den technischen zählen etwa die Datenübertragungsrate, die Latenzzeit und die Ausfallsicherheit, zu den organi-satorischen zum Beispiel ein zentraler Ansprechpartner, eine aktive Störerken-nung, eine Störungsannahme, die Überwachung der Netzauslastung sowie regel-mäßige Reports.

– Der Anschluss des Netzes der Institution an das IP-Netz des Datennetzbetreibers ist nicht durch Internet-basierte Denial-of-Server-Angriffe gefährdet (vorausge-setzt das IP-Netz des Datennetzbetreibers ist unabhängig vom Internet).

Zu den Nachteilen dieser Variante gehören in der Regel die hohen Nutzungskosten, die sich erst ab einer größeren Anzahl von Anwendern lohnen.

Restrisiko: Bezüglich der Kommunikationsverbindung kann durch diese Maßnahme der Gefährdung auch bei hohem Schutzbedarf aus-reichend begegnet werden. Voraussetzung ist ein entsprechender Service-Vertrag mit dem Datennetzbetreiber. Die Komponenten werden durch diese Maßnahme nicht vor dem Ausfall geschützt.

Umsetzungsaufwand:

– mittel - hoch, wenn die Variante exklusiv für den Fernzugriff umgesetzt wird

– mittel, wenn sich für die Variante ein bereits genutztes IP-Netz eines Datennetzbetreibers ver-wenden lässt und der Datennetzbetreiber mit den Betreibern der Zugangsnetze des gewünschten Typs kooperiert oder diese Zugangsnetze selbst betreibt.



Variante 5.2.2 B für hohen Schutzbedarf: Fernzugriff über das öffentliche Telefonnetz als be-fristete Ausweichlösung



Der Fernzugriff über das Internet ist durch mögliche Verfügbarkeitseinschränkun-gen der Internet-Anbindung der Institution gefährdet. Als Alternative kann zusätz-lich der Fernzugriff über das öffentliche Telefonnetz erfolgen. So lassen sich hohe Anforderungen an die Verfügbarkeit kostengünstig realisieren. Allerdings müssen zeitlich befristet geringe Datenübertragungsraten akzeptabel sein.

Für den Fernzugriff über das öffentliche Telefonnetz entsteht ein erhöhter Aufwand durch das zusätzliche Betreiben eines EinwahlServers auf Seite der Institution. Das Endgerät wählt den EinwahlServer über ein Analog-Modem oder ein ISDN-Modem an. Ein Analog-Modem unterstützt Datenübertragungsraten bis zu 56 kbit/s, eine ISDN-Karte bis zu 128 kbit/s. Es ist darauf zu achten, dass bei der Auswahl einer ISDN-Karte bestimmte Sicherheitsfunktionen unterstützt werden, wie z. B. Durch-führung einer Authentisierung über CHAP (Challenge Handshake Authentication Protocol) oder mittels CLIP/COLP (Calling Line Identification Presentation/Con-nected Line Identification Presentation), Rückruf (Callback) basierend auf CLIP/COLP, Einsatz von Verschlüsselung, Prüfsummen oder Digitalen Signaturen.

Die folgende Abbildung zeigt die beschriebene Variante.


Abbildung 5.3: Fernzugriff über das öffentliche leitungsgebundene Telefonnetz als Ausweichlösung zum Internet


Restrisiko: Anwendungen, die eine höhere Datenübertragungsrate benöti-gen, stehen trotzdem nicht zur Verfügüng.

Umsetzungsaufwand: mittel, aufgrund der Beschaffungs- und Betriebskosten für den Einwahl-Server

5.2.3 Zu große Verzögerungen beim Fernzugriff

Bedrohung: Die Verzögerung (Latenzzeit, Latenz) ist beim Fernzugriff zu groß

Schwachstelle: Physikalisch bedingte Faktoren wie große Entfernung und be-grenzte Übertragungsgeschwindigkeit

Die Latenzzeit, die ein Anwender beim Fernzugriff erfährt, kann unterschiedliche Ursachen haben, wie obige Schwachstellen zu dieser Gefährdung darstellen. Übersteigt sie einen kriti-schen Wert, leidet nicht nur die Benutzerfreundlichkeit, sondern der Fernzugriff ist unter Um-ständen nicht mehr verfügbar. Problematisch ist die Latenzzeit bei großer räumlicher Entfer-nung. Besonders wichtig ist eine niedrige Latenzzeit beim Fernzugriff auf hochinteraktive Anwendungen. Zu diesen zählt insbesondere der Fernzugriff über Terminal-Server. Jede In-teraktion des Anwenders mit dem Endgerät, wie eine Bewegung des Mauszeigers oder eine Tastatureingabe muss vom Endgerät zum Terminal-Server übertragen, auf dem Terminal-Server und ggf. nachgeordneten IT-System verarbeitet und anschließend wieder zum Endgerät übertragen und angezeigt werden.

Als Größenordnungen für eine akzeptable Latenzzeit nennt die International Telecommunica-tion Union (ITU) maximal 400 ms [ITU-T-G.114]. Zur Abschätzung der Latenzzeit beim Da-tenaustausch über Netze wie einem LAN oder dem Internet kann das Programm Ping einge-setzt werden. Es versendet ein ICMP-Paket an das adressierte IT-System und gibt die Zeitdau-er bis zum Eintreffen der Antwort wieder (Round Trip Time)


– Ausreichende Datenübertragungsrate für den Fernzugriff während des Regelbetriebs


– Variante 5.2.2 A für hohen Schutzbedarf: Fernzugriff über ein IP-Netz eines Datennetzbetreibers einschließlich der Vereinbarung einer ausreichenden Latenzzeit


5.2.4 Überlastung der zentralen Komponenten des Fernzugriffs im internen Netz

Bedrohung: Der Fernzugriff ist nur stark verzögert verfügbar

Schwachstelle: Unzureichende Performance der zentralen Komponenten des Fernzugriffs im Netz der Institution



Zentrale Komponenten des Fernzugriffs erbringen Funktionen, die für den Fernzugriff not-wendig sind. Zu diesen Funktionen zählen das Etablieren der VPN-Tunnel zu den Endgeräten durch das VPN-Gateway und das Authentisieren und Autorisieren der Anwender des Fernzu-griffs durch das AAA-System. Den Schlüsselkomponenten droht eine Überlastung, z. B. da-durch,

- dass die vom VPN-Gateway unterstützte Datenverarbeitungsrate (Kryptofunktionen, AAA-Funktionen) zu niedrig ist.

- dass das VPN-Gateway zu wenig gleichzeitige VPN-Tunnel unterstützt.

- dass das AAA-System zu wenig gleichzeitige Authentisierungen und Autorisierungen unter-stützt.

In der Folge kommt der Fernzugriff nicht oder nur verzögert zustande.


– Ausreichende Dimensionierung der Komponenten des Fernzugriffs

– Protokollierung und Protokolldatenauswertung zum Fernzugriff (zur frühzeitigen Erkennung drohender Performance-Engpässe)

– Ausreichende Datenübertragungsrate für den Fernzugriff im Regelbetrieb

– Monitoring der Performance


Variante 5.2.5 A für hohen Schutzbedarf: Hochverfügbare Architektur von zentralen Komponenten


Variante 5.2.4 A für hohen Schutzbedarf: Einsatz leicht skalierbarer zentraler Komponenten



Bei der Auswahl geeigneter Produkte für zentrale Komponenten wie VPN-Gateway und AAA-Server spielt deren Skalierbarkeit eine Rolle. Die Skalierbarkeit ist gege-ben, wenn die mit dem Fernzugriff verbundenen Aktivitäten auf zusätzliche Exem-plare des Produkts automatisch verteilt werden können (Load Balancing). Dies un-terstützt den bedarfsgerechten Einsatz der zentralen Komponenten, weil ihre jeweils vorhandene Performance den aktuellen Anforderungen entspricht.

Restrisiko: Wenn die Funktion nur mit bestimmten oder einem Produkt durchzuführen ist, so besteht die Möglichkeit, dass dieses Pro-dukt nach einer Weile nicht mehr lieferbar ist bzw. unterstützt wird.

Umsetzungsaufwand: mittel - hoch, durch die erhöhten Beschaffungskosten.



Variante 5.2.4 B für hohen Schutzbedarf: Überdimensionierung der Performance (Overprovi-sioning)



Bei der Auswahl geeigneter Produkte der zentralen Komponenten und für die Inter-net-Anbindung werden höhere Performance-Anforderungen zu Grunde gelegt, als tatsächlich bestehen. Die angemessene Gestaltung der Performance-Reserven ist letztlich eine Kosten-Nutzen-Rechnung, die von der Preisstruktur der vorliegenden Produkte abhängt.

Restrisiko: Die Lösung schützt insbesondere vor den Auswirkungen, die durch hohe Lasten verursacht werden, aber nicht grundsätzlich vor einem Ausfall.

Umsetzungsaufwand: mittel - hoch, durch die erhöhten Beschaffungskosten.

Variante 5.2.4 C für normalen Schutzbedarf: Zusammenlegen von Paketfiltern

Anwendungsbereich: normaler Schutzbedarf


Die Grundarchitektur (Abbildung 3.1) meidet in der Regel die Mehrfachbelegung von Paketfiltern mit mehreren Schutzfunktionen. In kleinen, wenig exponierten IT-Netzen mit normalem Schutzbedarf lässt sich durch das Zusammenlegen von Filter-Kompo-nenten Hardware einsparen. Die daraus resultierenden zusätzlichen Gefährdungspo-tenziale können in unkritischen Anwendungsszenarien oft akzeptiert werden.

Folgende „Verschmelzungen“ von Paketfiltern kommen unter Einsparungsgesichts-punkten in Betracht:

- Paketfilter 2, 6 und 12 → PF2/6/12

- Paketfilter 6 und 12 → PF6/12

Siehe hierzu auch [ISi-LANA].

Restrisiko: Das Zusammenlegen von Paketfiltern erfordert möglicherweise komplexere Filterregeln, was die Gefahr von Konfigurationsfeh-lern erhöht. Außerdem vergrößert sich durch eine Lockerung der Vorgabe „Nur eine Funktion pro Komponente“ die Angriffsflä-che der Paketfilter, was vor allem Hacking oder Angriffe auf die Verfügbarkeit potenziell begünstigt.

Umsetzungsaufwand: geringerer Beschaffungsaufwand als für die Grundarchitektur; höherer Aufwand für Konfiguration und Betrieb aufgrund kom-plexerer Filterregeln

Variante 5.2.4 D für normalen Schutzbedarf: Zusammenlegen des VPN-Gateways mit dem AAA-Server





Es lassen sich Hardware-Einsparungen dadurch erzielen, dass für die Aufgaben Au-thentisierung und Autorisierung kein eigener Server eingesetzt wird, sondern diese Dienste auf dem VPN-Gateway betrieben werden.

Restrisiko: Durch diese Empfehlung wird die Vorgabe „Nur eine Funktion pro Komponente“ gelockert. Dadurch vergrößert sich die Angriffsfläche des VPN-Gateways, was vor allem Hacking oder Angriffe auf die Verfügbarkeit potenziell begünstigt.

Umsetzungsaufwand: geringerer Beschaffungsaufwand als für die Grundarchitektur

Variante 5.2.4 E für normalen Schutzbedarf: VPN-Gateway mit integriertem Paketfilter



Bei kleinen, wenig exponierten Netzen mit normalem Schutzbedarf lassen sich Hard-ware-Einsparungen dadurch erzielen, dass das dreistufige PAP-Sicherheits-Gateway und die Fernzugriffszone im Ausnahmefall durch ein VPN-Gateway mit integriertem Paketfilter ersetzt wird. Diese Maßnahme schwächt die Schutzwirkung jedoch erheb-lich und darf daher nicht leichtfertig ergriffen werden.

Diese Maßnahme ist nicht für Behörden geeignet.

Restrisiko: Durch diese Empfehlung wird die Vorgabe „Nur eine Funktion pro Komponente“ gelockert. Dadurch vergrößert sich die Angriffsfläche des VPN-Gateways, was vor allem Hacking oder Angriffe auf die Verfügbarkeit potenziell begünstigt.

Umsetzungsaufwand: geringerer Realisierungs- und Betriebsaufwand als bei die Grun-darchitektur

5.2.5 Ausfall von zentralen Komponenten des Fernzugriffs im Netz der Institution

Bedrohung: Ausfall des Fernzugriffs

Schwachstelle: Ausfall der zentralen Komponenten des Fernzugriffs z.B. durch Fehlkonfigurationen, Hardware- und Software-Fehler

Zentrale Komponenten des Fernzugriffs sind für den Fernzugriff notwendige Komponenten wie VPN-Gateway und AAA-Server. Ihr Ausfall (z. B. Technikprobleme) hat den Ausfall des Fernzugriffs zur Folge. Es sei denn, er wird durch ein Ersatzsystem abgefangen.


– Monitoring der zentralen Komponenten

– Notfallmanagement

– Geregelte Test- und Freigabeverfahren vor dem Einspielen neuer Software auf das Endgerät

Restrisiko: Ausfall des Fernzugriffs für die Dauer der Wiederherstellung.



Variante 5.2.5 A für hohen Schutzbedarf: Hochverfügbare Architektur von zentralen Kom-ponenten



Die zentralen Komponenten für den Fernzugriff werden in einer hochverfügbaren Architektur betrieben. Wenn durch das Monitoring ein Ausfall erkannt worden ist, kann eine der folgenden Architekturvarianten zum Tragen kommen:

– Cold-Standby, vorrätiges baugleiches Ersatzsystem, das sich noch nicht im Be-trieb für den Fernzugriff befindet

– Hot-Standby, manuelles Umschwenken auf ein Ersatzsystem, das sich bereits in Betrieb für den Fernzugriff befindet

– Cluster, automatisches Umschwenken auf ein Ersatzsystem, das sich bereits in Betrieb für den Fernzugriff befindet. Die Cluster-Fähigkeit ist eine mögliche Produkteigenschaft der entsprechenden Schlüsselkomponente, die nicht von je-dem Produkt erfüllt wird.

Restrisiko: Es bleibt ein geringes Restrisiko bedingt durch den Ausfall der zusätzlichen Komponenten bestehen. Diese Restrisiken hängen in hohem Maße von dem gewählten Lösungsansatz und vom konkreten Anwendungsszenario ab. Generell gilt, dass Redun-danz die Gefahr des Ausfalls von Komponenten mindert, auf-grund höherer Komplexität die Angriffsfläche für Hacking-Attacken jedoch vergrößert.

Umsetzungsaufwand: mittel - hoch, je nach Architekturvariante durch die erhöhten Beschaffungskosten.

5.2.6 Ausfall des Endgeräts

Bedrohung: Ausfall des Endgeräts

Schwachstelle: Unzureichende Verträglichkeitsprüfung neuer Software-Kom-ponenten

Unzureichender Schutz des Endgeräts gegen mögliche schädi-gende Umwelteinflüsse der geplanten Einsatzumgebung

Hardwarefehler oder Produktionsfehler des Endgeräts

Die genannten Schwachstellen haben zur Folge, dass eine für den Fernzugriff notwendige Software- oder Hardware-Komponente des Endgeräts ausfällt. Dann ist ein Fernzugriff von dem betroffenen Endgerät aus nicht möglich. Software-Komponenten können ausfallen, wenn z. B. durch unzureichende Verträglichkeitsprüfungen neuer Programme oder Patches für be-stehende Anwendungen mit dem Endgerät installiert werden. Hardware-Komponenten kön-nen z. B. ausfallen, wenn sie extremen Temperaturen, hoher Feuchtigkeit, starken Stoßbelas-tungen oder durch fahrlässigen Umgang mit Flüssigkeiten ausgesetzt sind.


– Geregelte Test- und Freigabeverfahren vor dem Einspielen neuer Software auf das Endgerät



– Einsatz robuster Endgeräte im Fall besonders widriger Einsatzumgebungen

– Regelmäßige Datensicherung des Endgeräts zur Vermeidung möglicher Folgeschäden eines End-geräteausfalls

– Notfallmanagement

Restrisiko: Der Endgerät ist nicht verfügbar.Dateien auf Endgeräten, die seit der letzten Datensicherung geändert wurden, gehen verloren.

5.2.7 Datenverlust auf dem Endgerät

Bedrohung: Verlust der Daten auf dem Endgerät

Schwachstelle: Wichtige Daten werden nur auf dem Endgerät gespeichert

Die zeitlichen Abstände des Backups der Daten des Endgeräts auf Systeme im Netz der Institution sind zu groß

Zu den häufigsten Ursachen eines Datenverlusts zählt der Absturz des Endgeräts, ohne dass die Daten rechtzeitig gesichert werden konnten. Aber auch Defekte von Hardware-Kompo-nenten (z.B. Speicher, CPU) und Software-Fehler können zu Datenverlusten führen.


– Regelmäßige Datensicherung des Endgeräts

– Zentrale Datenhaltung oder Fernzugriff über Terminal-Server

Restrisiko: Die Daten, die seit dem letzten Backup auf Systeme im Netz der Institution geändert wurden, gehen verloren.

5.2.8 Datenverlust aufgrund von unzureichender Synchronisation

Bedrohung: Datenverlust

Schwachstelle: Dem Anwender sind die Auswirkungen der Datensynchronisati-on zweier Endgeräte nicht bekannt

Zu den Endgeräten eines Anwenders können etwa Laptop und Smartphone für den Fernzu-griff und Desktop-PC für den Zugriff auf das Netz der Institution zählen. Zu Anwendungen und Daten, die ein Anwender voraussichtlich auf allen seinen Endgeräten wünscht (sofern technisch unterstützt) dürften E-Mail und PIM-Dienste zählen. Erfolgt der Datenabgleich über eine automatischen Synchronisation droht der Verlust von Daten eines Endgeräts, etwa wenn seine Dateien durch gleich lautende Dateien eines anderen Endgeräts ohne Rückfrage über-schrieben werden.


– Anwenderrichtlinie für den Fernzugriff, Hinweise zur Datensynchronisation

Restrisiko: Dateien auf Endgeräten, die seit dem letzten Backup bzw. der letzten Synchronisation geändert wurden, gehen verloren.



5.2.9 Kein Netzzugang für das Endgerät

Bedrohung: Fernzugriff nicht möglich.

Schwachstelle: Das Endgerät unterstützt nur eine Form der Netzzugangstech-nik. Der Netzzugangsbereich ist jedoch überlastet oder der Fern-zugriff soll an Orten erfolgen, an denen die Netzzugangstechnik nicht unterstützt wird (beispielsweise kein WLAN Access Point, ein UMTS-Mobilfunk-Funkloch oder keine WiMax-Abde-ckung)

Aufgrund eines lokal nicht vorhandenen oder überlasteten Netzzugangs ist ein Fernzugriff nicht möglich. Vor Ort vorhandene alternative Netzzugangstechniken unterstützt das Endgerät nicht.


– Auswahl einer geeigneten, am jeweiligen Ort zur Verfügung stehenden Netzzugangstechnik

Variante 5.2.9 A für normalen Schutzbedarf: Alternativer Netzzugang

Anwendungsbereich: normaler Schutzbedarf bezüglich der Verfügbarkeit


Um die Verfügbarkeit des Fernzugriffs zu gewährleisten, sollte das Endgerät eine alter-native Netzzugangstechnik wie Mobilfunk unterstützen. Bei ihrer Auswahl sind ihre Kosten und Leistungsparameter wie Verbreitungsgrad und Datenübertragungsrate ggf. gegeneinander abzuwägen. Die Leistungsparameter sollten aus Anwendersicht zumindest für die zeitlich befristete Dauer des Einsatzes der alternativen Netzzugangstechnik akzep-tabel sein.

Restrisiko: Wenn der Anwender den alternativen statt des eigentlichen, kos-tengünstigen Netzzugang unbeschränkt nutzt, können die dadurch anfallenden Mehrkosten für die Institution nicht mehr akzeptabel sein.

Umsetzungsaufwand: niedrig - mittel, wenn das Endgerät nicht in der Grundausstat-tung bereits über alternative Netzzugänge für den Fernzugriff verfügt und diese deshalb nachgerüstet werden müssen. Wenn das Gerät jedoch über diese IT verfügt, muss der alternative Netzzugang beim Betrieb und der Konfiguration berücksichtigt werden.

5.2.10 Kein Fernzugriff aufgrund NAT-Inkompatibilität

Bedrohung: Der Fernzugriff ist nicht verfügbar

Schwachstelle: Das eingesetzte IPSec-VPN-Produkt ist NAT-inkompatibel, der Fernzugriff erfolgt jedoch über Netze mit NAT.

Der Fernzugriff erfolgt über Netze, in denen die Kommunikati-onsbeziehungen blockiert werden, die für das VPN notwendig sind (etwa nur HTTP und HTTPS als erlaubte Protokolle).



Die Netzzugang ist möglich, aber durch Effekte in nachgelagerten Netzbereichen wird ein Fernzugriff verhindert. Zu diesen Effekten können der Einsatz von NAT oder der Einsatz von Paketfiltern mit restriktiven Regeln gehören. Die Effekte und ihre Ursachen sind nicht durch den Anwender des Fernzugriffs beeinflussbar.


– Muss bei der Konzeption und der Beschaffung berücksichtigt werden.


– Variante 5.2.9 A für normalen Schutzbedarf: Alternativer Netzzugang

Die Blockade des Fernzugriff-Netzverkehrs erfolgt oft im Netzzugangsbereich und in unmittelbar nachgelagerten lokalen Netzen, weniger oft im Internet. Daher ist es wahrscheinlich, dass die Blo-ckade bei einem alternativen Netzzugang nicht besteht.

Restrisiko: Dieser Gefährdung wird mit den Maßnahmen der Grundarchi-tektur hinreichend begegnet.

5.2.11 Unerlaubte Mitnutzung des WLAN am Heimarbeitsplatz

Bedrohung: Mitbenutzung des WLAN durch unberechtigte Dritte, Redukti-on der zur Verfügung stehenden Datenübertragungsrate und eine Erhöhung der Anwortzeiten (Latenzzeit)

Schwachstelle: Keine hinreichend starken Authentisierungs- und Verschlüsse-lungsmechanismen für den Zugang zum WLAN

Am Heimarbeitsplatz ist WLAN in Verbindung mit DSL eine verbreitete Netzzugangstechnik für den Fernzugriff. Das Fehlen hinreichend starker Authentisierungs- und Verschlüsselungs-mechanismen für den Zugang zum WLAN begünstigen, dass auch unbefugte Dritte das WLAN mit benutzen. Dies kann weitreichende Auswirkungen haben. So kann z.B. durch Fi-lesharing der Anschlussinhaber in Misskredit gebracht werden. Ebenso kann sich für den An-wender eine Reduktion der zur Verfügung stehenden Datenübertragungsrate und eine Erhö-hung der Antwortzeiten (Latenzzeit) ergeben. Siehe hierzu auch [ISi-WLAN].


– Absicherung des Access Point im Fall des WLAN-Eigenbetriebs nach [ISi-WLAN]

Restrisiko: Dieser Gefährdung wird mit den Maßnahmen der Grundarchi-tektur hinreichend begegnet.

5.2.12 Automatische Weiterleitung großer Dateianhänge in E-Mails

Bedrohung: Die mobile E-Mail-Synchronisation lädt automatisch E-Mails auch mit großen Dateianhängen auf das Endgerät

Schwachstelle: Keine Filtereinstellungen, die das Herunterladen von Dateian-hängen ab einer bestimmten Größe verhindern



Die Push-basierte mobile E-Mail-Synchronisation lädt automatisch E-Mails vom E-Mail-Server auf das Endgerät des Benutzers. Mögliche Einschränkungen lassen sich durch Filter-einstellungen an der Synchronisations-Komponente im Netz der Institution durchsetzen. Dies ist jedoch sehr produktspezifisch. Bei einer fehlenden oder unzureichenden Filterung können E-Mails mit zu großen Dateianhängen an das Endgeräte weitergeleitet werden. Dies kann zu folgenden Problemen führen:- Es entstehen hohe Kosten durch lange Übertragungszeiten.- Die Übertragung ist sehr zeitintensiv.- Dateien können u.U. nicht vollständig übertragen werden, da das Endgerät nicht über den nötigen Speicherplatz verfügt (z. B. bei PDAs).

Durch diese Probleme kann die Verfügbarkeit des Endgerätes stark eingeschränkt werden.


– Lösungen für die mobile E-Mail-Synchronisation auf solche mit hinreichend genau konfigurier-baren Filtereinstellungen beschränken, so dass E-Mails mit zu großen Dateianhängen nicht auf Endgeräte weitergeleitet werden.

5.3 Gefährdungen der Integrität

Unter Integrität wird Unversehrtheit, Korrektheit und Vollständigkeit verstanden. Integrität bedeutet auch, dass nur dazu Befugte Modifikationen in zulässiger Weise vornehmen können. Gelingt es ei-nem Unbefugten auf das Endgeräte oder auf die Verbindung zwischen dem Endgerät und dem Netz der Institution zuzugreifen hat er die Möglichkeit sowohl die Daten als auch die Software zu mani-pulieren, ohne dass es von dem Anwender direkt bemerkt wird. Es besteht dann z. B. die Gefahr, dass beim Empfänger nicht die Informationen ankommen, die der Absender beabsichtigt hat.

Die in diesem Abschnitt betrachteten Gefährdungen sind in der Regel eine Folge der in Abschnitt 5.1 (Gefährdungen durch Eindringen/Übernehmen) beschriebenen Gefährdungen.

5.3.1 Integritätsverletzung nach unbefugtem Zugang zum Endgerät

Bedrohung: Unbefugte Personen können die Daten auf dem Endgerät verän-dern

Schwachstelle: Fehlende gegenseitige Abschottung von Prozessen mit unter-schiedlichem Sicherheitslevel

Fehlende Kontrollen des Dateisystems, der Dateiattribute, der Prozessinformationen und der Systemkonfiguration auf Inkon-sistenzen

Eine unbefugte Person hat Zugang zum Endgerät erlangt und kann dessen Integrität (z. B. mit Hilfe eines Trojaners) verletzen. Beispiele möglicher Integritätsverletzungen sind das Verän-dern von Daten und Programmen oder das Einspielen von Schadprogrammen, die die nachfol-gende Kompromittierung des Netzes der Institution (s. Abschnitt 5.1.2) zum Ziel haben kön-nen. Die hier beschriebene Bedrohung ist eine Folge der in Abschnitt 5.1 beschriebenen Be-drohungen.



Maßnahmen der Grundkonfiguration:

– Grundsätzlich tragen alle in den Abschnitten 5.1.2 (Kompromittierung der Authentisierung) und 5.1.4 (Schadprogramme) beschriebenen Maßnahmen bezüglich der Grundkonfiguration auch dazu bei, Integritätsverletzungen zu verhindern.

– Verschlüsselung der Daten

– Beschränkung des Fernzugriffs auf zugelassene Anwendungen


Variante 5.4.2 A für hohen Schutzbedarf: Zusätzliche Verschlüsselung einzelner Dateien und Ver-zeichnisse auch bei eingeschaltetem Endgerät

Restrisiko: Ein Restrisiko besteht durch Angriffe, die Schwachstellen oder Sicherheitslücken ausnutzen, die noch nicht allgemein bekannt sind und/oder für deren Schließung noch keine Lösung vom Hersteller vorhanden ist.

Variante 5.3.1 A für normalen Schutzbedarf: Fernzugriff nur aus virtueller Desktop-PC - In-stanz heraus

Anwendungsbereich: normaler Schutzbedarf bezüglich der Integrität


In Verbindung mit einer speziellen Software, der sogenannten virtuellen Maschine, lassen sich auf einem physischen Endgerät mehrere Instanzen des gleichen oder unter-schiedlicher Betriebssysteme einrichten. In Verbindung mit der virtuellen Maschine werden diese Instanzen auch als virtuelle Endgeräte oder als virtuelle Desktop-PCs bezeichnet.

Es werden nur die Anwendungen installiert, die über den Fernzugriff genutzt werden sollen. Dies erfolgt in einer virtuellen Desktop-PC - Instanz auf dem Endgerät, die ex-klusiv für den Fernzugriff vorgesehen ist. Ergänzend wird die virtuelle Desktop-PC - Instanz besonders restriktiv konfiguriert, um das Risiko möglicher Integritätsverlet-zungen zu minimieren. Die Host-Betriebssystemumgebung oder weitere virtuelle Desktop-PC - Instanzen lassen sich für den lokalen Zugriff konfigurieren. Der lokale Zugriff kann sich vom Fernzugriff beispielsweise darin unterscheiden, dass dem Be-nutzer ein größeres Spektrum an Anwendungen oder die Möglichkeit der Verwendung mobiler Datenträger zur Verfügung stehen.

Die Installation einer virtuellen Desktop-PC - Instanz dient als zusätzlicher Schutz vor Angriffen von Außen. Ein Angreifer muss nicht nur in das Host-Betriebssystem ein-dringen, sondern zusätzlich in die virtuelle Maschine, um an relevante Daten zu kom-men.

Für den VS-Bereich gibt es vom BSI zugelassene Produkte, die dem hohen Schutzbe-darf genügen27.

Restrisiko: Es verbleiben Restrisiken durch Hardware-Modifikationen wie Hardware-Keylogger.

Umsetzungsaufwand: mittel - hoch, je Realisierungsaufwand.

27 Informationen zu SINA s. http://www.bsi.de/fachthem/sina/index.htm




Anwendungsbereich: hoher Schutzbedarf bezüglich der Integrität


Es müssen Endgeräte mit einem erweiterten Integritätsschutz eingesetzt werden. Dieser zielt darauf ab, die Eintrittswahrscheinlichkeit von Integritätsverletzungen wichtiger Betriebssystem- und Anwendungskomponenten zu minimieren. Es lassen sich prinzipiell drei Ansätze unterscheiden:

- Änderungen am System werden verhindert (z. B. schreibgeschütztes Datei-Sys-tem)

- Änderungen am System werden erkannt und Warnungen herausgegeben (z. B. Neuber Network Security Task Manager (Windows) oder Tripwire (Linux)).

- Eine weitere Möglichkeit ist die Beschränkung auf digital signierten Programmco-de (Code Signing) aus vertrauenswürdigen Quellen (z. B. Hersteller).

Sowohl die Ansätze als auch ihre Bezeichnungen sind zum Teil sehr produktspezi-fisch.

Restrisiko: Es verbleiben Restrisiken durch Hardware-Modifikationen wie Hardware-Keylogger.

Umsetzungsaufwand: niedrig, wenn ein erweiterter Integritätsschutz in hinreichender Stärke bereits zu den Ausstattungsmerkmalen des Endgeräts bzw. dessen Betriebssystems gehört.

5.3.2 Manipulieren der Verbindung zwischen Endgerät und Netz der Institution

Bedrohung: Datenmanipulation während der Kommunikationsverbindung

Schwachstelle: Keine ausreichende kryptografische Absicherung der Daten-kommunikationsverbindungen zwischen Endgerät und dem Netz der Institution

Der Netzzugangsbereich, der vom Endgerät genutzt wird, ist schlecht gesichert und Dritten zugänglich.

Wenn die Daten nicht ausreichend verschlüsselt werden, können sie beliebig manipuliert wer-den. Ein solcher Fall könnte beispielsweise auftreten, wenn die Daten bei der mobilen E-Mail-Synchronisation über ein sogenanntes Network Operation Center eines externen Dienstean-bieters geleitet werden. Ein weiteres Problem ist der Netzzugangsbereich. Bei fehlenden Si-cherheitsmaßnahmen kann dieser von Dritten genutzt werden, um die Daten zu manipulieren. Typische Netzzugangsbereiche sind ein WLAN Access Point am Heimarbeitsplatz, ein öffent-licher WLAN Hot Spot oder ein kabelgebundener LAN-Netzzugang.


– Fernzugriff nur über ein kryptografisch gesichertes Client-to-Site-VPN

– Authentisierung des Benutzers gegenüber dem Netz der Institution




Variante 5.4.4 C für hohen Schutzbedarf: Einsatz eines zertifizierten VPN-Produkts

Variante 5.4.4 D für hohen Schutzbedarf: Einsatz eines VPN-Produkts mit VS-Zulassung

Restrisiko:

– Die eingesetzte VPN-Software weist Schwächen auf wie Implementierungsfehler, unzureichende Schlüssellängen, zu schwache Kryptoverfahren oder schlecht gewählte Kryptoparameter.

5.4 Gefährdungen der Vertraulichkeit

Die Vertraulichkeit von Daten oder Informationen ist gegeben, wenn diese nur den dazu Befugten zugänglich sind und sich weder unbefugt gewinnen noch ungewollt offenbaren lassen. Im Folgen-den werden die Gefährdungen der Vertraulichkeit beschrieben.

Die hier beschriebenen Gefährdungen sind in der Regel Ausprägungen der bereits vorab in Ab-schnitt 5.1 (Gefährdungen durch Eindringen/Übernehmen) beschriebenen Gefährdungen. Insofern tragen die dort beschriebenen Maßnahmen auch zur Verhinderung von Vertraulichkeitsverletzungen bei.

5.4.1 Vertraulichkeitsverletzung nach Diebstahl/Verlust des Endgeräts

Bedrohung: Eine unbefugte Person verschafft sich lesenden Zugriff auf die Daten des Endgeräts

Schwachstellen: Das Endgerät speichert die Daten des Benutzers unverschlüsselt oder nicht ausreichend.

Das Endgerät ist nicht gesperrt.

Das Endgerät gelangt in den Besitz einer unbefugten Person. Schwachstellen, die dies begüns-tigen können, nennt Abschnitt 5.1.1. Wenn das Endgerät nicht gesperrt ist, erlangt die Person Zugriff auf die Daten des Benutzers, die auf dem Endgerät gespeichert sind. Ist das Endgerät gesperrt, besteht die Gefahr, dass das Endgerät mit einem anderen Betriebssystem oder durch Einbau des Datenträgers des Endgeräts in ein anderes IT-System gestartet und dadurch ein Zugriff auf die Daten ermöglicht wird. Wenn die Daten unverschlüsselt vorliegen oder eine unzureichenden Verschlüsselung gebrochen wurde, ist ebenfalls ein solcher Zugriff möglich.

Maßnahmen der Grundkonfiguration:

– Datenverschlüsselung des Endgeräts und automatische Sperrung des Endgeräts

– Löschen von temporären oder persistenten Daten auf dem mobilen Endgerät durch eine Fernad-ministration


Variante 5.1.1 C für hohen Schutzbedarf: Fernlöschung der Daten

Restrisiko: Bei unsachgemäßer Bedienung der Datenverschlüsselung droht Datenverlust. Das geschieht zum Beispiel, wenn die Verfügbar-keit von Schlüsseln nicht sichergestellt wird und die Daten des Endgeräts nicht auch an anderer Stelle, etwa einem Datei-Server im Netz der Institution, zugänglich sind.



Variante 5.4.1 A für hohen Schutzbedarf: Nachgewiesenes hohes Sicherheitsniveau der Da-tenverschlüsselung

Anwendungsbereich: hoher Schutzbedarf bezüglich der Vertraulichkeit


Es wird nur ein Produkt zur Datenverschlüsselung eingesetzt, das über ein nachge-wiesenes hohes Sicherheitsniveau verfügt. Hierbei kann es sich sowohl um ein Pro-dukt der Festplattenverschlüsselung handeln, als auch um ein Produkt zur zusätzli-chen Verschlüsselung einzelner Dateien und Verzeichnisse. Mögliche Kriterien für ein hohes Sicherheitsniveau sind eine Zertifizierung nach anerkannten Prüfkriterien oder eine Zulassung des Produkts zur VS-Bearbeitung.

Restrisiko: Fahrlässiger Umgang mit Authentisierungsmitteln durch den Anwender

Umsetzungsaufwand: mittel - hoch, je nach Realisierungsaufwand

Variante 5.4.1 B für hohen Schutzbedarf: Automatische Löschung der Daten des Endgeräts



Nach einer definierten Anzahl fehlerhafter Anmeldeversuche am Endgerät werden die Daten des Anwenders durch definiertes Überschreiben automatisch gelöscht.

Restrisiko: Mängel der Datenlöschung führen dazu, dass gelöschte Daten unerwünscht rekonstruiert werden können.

Die Datenlöschung lässt sich missbräuchlich auslösen. Dies ist eine Form eines Denial-of-Service-Angriffs (DoS).

Umsetzungsaufwand: niedrig - mittel, für mögliche erhöhte Beschaffungskosten.

5.4.2 Vertraulichkeitsverletzung nach Zugang zum Endgerät

Bedrohung: Eine unbefugte Person verschafft sich, unbemerkt vom Anwen-der, Zugang zu den Daten des Endgeräts

Schwachstelle: Das eingeschaltete Endgerät speichert die Daten unverschlüs-selt.

Das Endgerät kann unkontrolliert Daten versenden.

Eine unbefugte Person erlangt, unbemerkt vom Anwender, Zugang zum Endgerät und kann Daten entwenden. Hierzu muss sich das Endgerät nicht unbedingt im Besitz des Angreifers befinden. Der logische Zugang kann über eine bestehende Internetverbindung erfolgen. Schwachstellen, die dies begünstigen, nennt Abschnitt 5.1.2 und Abschnitt 5.1.3. Der Zugang zum Endgerät ermöglicht die Vertraulichkeitsverletzung von Daten, die unverschlüsselt vor-liegen.

Maßnahmen der Grundarchitektur:



– Grundsätzlich tragen alle in den Abschnitten 5.1.2 (Kompromittierung der Authentisierung) und 5.1.4 (Schadprogramme) beschriebenen Maßnahmen bezüglich der Grundkonfiguration auch dazu bei, Vertraulichkeitsverletzungen zu verhindern.

– Verschlüsselung der Kommunikationsverbindung zur Institution über VPN

– Einsatz einer Personal-Firewall

Restrisiko: Die eingesetzte Software weist Schwächen auf wie Implemen-tierungsfehler, unzureichende Schlüssellängen, zu schwache Kryptoverfahren oder schlecht gewählte Kryptoparameter.

Variante 5.4.2 A für hohen Schutzbedarf: Zusätzliche Verschlüsselung einzelner Dateien und Verzeichnisse auch bei eingeschaltetem Endgerät



Um zu verhindern, dass Unbefugte Daten auf dem Endgerät lesen können (z. B. wenn der Arbeitnehmer den Raum kurzzeitig verlässt) besteht die Möglichkeit, ein-zelne Dateien und Verzeichnisse bei eingeschaltetem Endgerät manuell durch eine zusätzliche Verschlüsselung zu ver- und entschlüsseln. Die Entschlüsselung erfor-dert die Interaktion mit dem Anwender und die Eingabe von Entschlüsselungsge-heimnissen.

Restrisiko: Fahrlässiger Umgang mit Authentisierungsmitteln durch den Anwender

Umsetzungsaufwand: mittel, möglicherweise erhöhte Beschaffungskosten

5.4.3 Hardwaremanipulation des mobilen Endgeräts

Bedrohung: Hardwaremanipulation

Schwachstelle: Nachlässigkeit beim Transport oder der Aufbewahrung

Der Angriff erfolgt durch unbemerkte Hardwaremanipulationen des mobilen Endgeräts. Die Übertragung der Daten vom mobilen Endgerät zum Netz der Institution erfolgt z. B. bei ei-nem PDA, in der Regel mit der Hilfe von Radiowellen. Um die Vertraulichkeit der übertrage-nen Daten zu gewährleisten werden die Daten verschlüsselt. Die Ver- und Entschlüsselung er-folgt in den mobilen Endgeräten. Gelingt es einem Angreifer unbemerkt (z. B. wenn der Be-sitzer des mobilen Endgeräts dieses kurz irgendwo liegen lässt oder aus der Hand gibt) in den Besitz des mobilen Endgeräts zu kommen, kann er die Hardware des Endgeräts durch Einbau eines Mikrocontrollers innerhalb von einigen Minuten manipulieren, ohne das der Besitzer diese Manipulation bemerkt. Mit Hilfe dieses Mikrocontroller gelingt es dem Angreifer die unverschlüsselten Daten mitzulesen. Er ist in der Lage neben den Telefonbucheinträgen, An-ruflisten, die PIN, SMS-Nachrichten auch die Positionsdaten des Endgeräts abzufragen. Eben-so ist das Mithören getätigter Gespräche möglich.

Maßnahmen der Grundarchitektur:

– Anwenderrichtlinie



Restrisiko: Die Anwenderrichtlinie und damit die Verhaltensregeln im Umgang mit mobilen Endgeräten müssen allen Mitarbeitern bekannt sein.

Variante 5.4.3 A für hohen Schutzbedarf: Versiegelung des mobilen Endgeräts



Durch das Versiegeln des Endgeräts können Hardwaremanipulation schnell entdeckt werden.

Restrisiko: Die Hardware kann zwar trotzdem noch manipuliert werden, aber die beschriebene Maßnahme verhindert die unbemerkte Manipulation der Hardware.

Umsetzungsaufwand: mittel, für mögliche erhöhte Beschaffungskosten. Weiterer Auf-wand besteht, wenn der Nutzer das Endgerät wechselt und das neue Gerät nach Einlegen der SIM-Karte wieder versiegelt wer-den muss.

Variante 5.4.3 B für hohen Schutzbedarf: Deaktivierung aller SIM28 (Subscriber Identity Module) Application Toolkit-Funktionen im mobilen Endgerät



Funktionen des SIM Application Toolkit (SAT) sind z. B. Positionsdaten, Initiie-rung und Umleitung ausgehender Anrufe, Empfang und Versand von Kurznachrich-ten. Die SIM-Karte kann auf diese SAT-Funktionen unverschlüsselt zugreifen. Ge-lingt es einem Angreifer einen Mikrocontroller zwischen die SIM-Karte und das SAT zu installieren, kann er auf alle Funktionen, die das SAT zur Verfügung stellt, zugreifen, diese manipulieren und z. B. durch Umleitung der ausgehenden Anrufe, diese mitlesen. Um unberechtigte Hardwaremanipulationen zu verhindern werden alle Funktionen des SIM Application Toolkit (SAT) deaktiviert.

Restrisiko: Diese Maßnahme verhindert zwar nicht die Hardwaremanipula-tionen, aber es ist nicht mehr möglich unbemerkt die Funktionen des SAT zu nutzen.

Umsetzungsaufwand: mittel, für erhöhten Realisierungsaufwand.

5.4.4 Abhören der Verbindung zwischen Endgerät und Netz der Institution

Bedrohung: Abhören der Datenkommunikationsverbindung

Schwachstelle: Keine oder unzureichende kryptografische Absicherung der Da-tenkommunikationsverbindungen zwischen Endgerät und dem Netz der Institution

28 Bei der SIM-Karte handelt es sich um eine Chipkarte, die in ein PDA oder Mobiltelefon eingesteckt wird und zur Identifikation des Nutzers im Netz dient.


http://de.wikipedia.org/wiki/Chipkarte


Der Netzzugangsbereich, der vom Endgerät genutzt wird, ist schlecht gesichert und Dritten zugänglich.

Wenn die Daten bei der Übertragung nicht ausreichend verschlüsselt werden, können sie be-liebig abgehört werden. Ein solcher Fall könnte beispielsweise auftreten, wenn die Daten bei der mobilen E-Mail-Synchronisation über ein sogenanntes Network Operation Center eines externen Diensteanbieters geleitet werden. Ein weiteres Problem ist der Netzzugangsbereich. Bei fehlenden Sicherheitsmaßnahmen kann dieser von Dritten genutzt werden, um die Daten abzuhören. Typische Netzzugangsbereiche sind ein WLAN Access Point am Heimarbeits-platz, ein öffentlicher WLAN Hot Spot oder ein kabelgebundener LAN-Netzzugang.


– Fernzugriff nur über ein kryptografisch gesichertes Client-to-Site-VPN

Restrisiko: Die eingesetzte VPN-Software weist Schwächen auf wie Imple-mentierungsfehler, unzureichende Schlüssellängen, zu schwache Kryptoverfahren oder schlecht gewählte Kryptoparameter.

Variante 5.4.4 A für normalen Schutzbedarf: Einsatz eines Trusted VPN

Anwendungsbereich: normaler Schutzbedarf bezüglich der Vertraulichkeit und der Integrität


Ein Trusted VPN29 wird vollständig von einem Dienstleister betrieben. Die Notwen-digkeit des Einsatzes und Betriebs von VPN-Komponenten auf den Endgeräten und im Netz der Institution entfällt. Nicht die Institution, sondern der Betreiber des VPN ist hier für die Sicherheit der VPN-Leitungen verantwortlich. Es muss also ein Ver-trauen zum Dienstleister bestehen, ehe man diesem unverschlüsselte Daten zur Über-mittlung überlässt, denn ein Trusted VPN z. B. über MPLS - Multiprotocol Label Switching muss nicht verschlüsselt sein. Ein Trusted VPN kann somit, wenn über-haupt, nur unter bestimmten Voraussetzungen eine mögliche Alternative zum eigent-lich von der Grundarchitektur geforderten Secure VPN sein. Das Risiko der mögli-chen Verletzung von Vertraulichkeit und Integrität durch den oder die Betreiber von Netzzugang und Transfernetz sowie durch unbefugte Dritte muss von der Institution getragen werden können.

Restrisiko: Die Daten des Fernzugriffs liegen im Netzzugangsbereich und im Transfernetz im Klartext vor. Die Betreiber von Netzzugang und Transfernetz und unbefugte Dritte können die Vertraulich-keit und Integrität der Daten des Fernzugriffs verletzen.

Umsetzungsaufwand:

– niedrig in Bezug auf die Realisierung, da nur ein Dienstleistungsvertrag abzuschließen ist. Auf-wände für Integration und Betrieb von VPN-Komponenten auf Endgeräten und im Netz der In-stitution entfallen.

– mittel in Bezug auf den Betrieb aufgrund der möglichen laufenden Kosten für das Trusted VPN

29 Bei einem so genannten Trusted VPN wird der Zugangsschutz der übertragenen Daten, im Gegensatz zu einem Se-cure VPN, nur durch eine physische oder logische Trennung der Daten realisiert. Ein kryptografisch gesichertes VPN wird auch als Secure VPN bezeichnet.



Variante 5.4.4 B für normalen Schutzbedarf: Kombination aus Client-to-Site- und Site-to-Site-VPN im Institutionen-Verbund

Anwendungsbereich: normaler Schutzbedarf bezüglich der Vertraulichkeit und der Integrität


Eine Konsequenz der Grundarchitektur ist es, dass jede Institution mit Fernzugriff ein eigenes VPN-Gateway und ggf. einen eigenen AAA-Server betreiben muss. Dies ist mit den entsprechenden Beschaffungs- und Betriebskosten verbunden. Wie sich diese Kosten durch eine alternative VPN-Architektur reduzieren lassen, zeigt folgende Vari-ante zur Grundarchitektur. Sie setzt auf folgenden Annahmen auf:

– Es gibt eine Gruppe von Institutionen, die einen Fernzugriff auf ihr Netz realisie-ren wollen.

– Es gibt eine Institution 1, zu der die restlichen Institutionen ein hinreichendes Ver-trauensverhältnis haben.

– Die Institutionen sind an ein gemeinsames IP-Netz, etwa ein Extranet, angebun-den.

Die folgende Abbildung zeigt das Netzschema der Variante.


Abbildung 5.4: Kombination aus Client-to-Site-VPN und Site-to-Site-VPN im Institutionen-Verbund


Die VPN-Gateways für das Site-to-Site-VPN müssen nur eine Leitungsverschlüsse-lung zwischen Institution 1 und jeder nachgeordneten Institution über das Extranet realisieren. Für das Site-to-Site VPN entfallen damit die aufwändigen AAA-Funktio-nen, die bei einem Client-to-Site-VPN im Netz der Institution, in das der Fernzugriff erfolgen soll, zu realisieren sind.

Das auszeichnende Merkmal der Variante ist der zentrale Betrieb des Client-to-Site-VPN durch Institution 1 für alle anderen Institutionen. Das hat eine Zentralisierung von Betriebs- und Unterstützungsprozessen und die damit einhergehende Kostener-sparnis zur Folge. Zudem tragen Skaleneffekte zur Kostenreduktion bei, die durch den Betrieb einer gemeinsamen AAA-Lösung für den Fernzugriff der Anwender aller In-stitutionen entstehen. So ließe sich mit geringeren Kosten eine Hochverfügbarkeit des Personals durchsetzen, das etwa Meldungen zu verlorenen oder gestohlenen Endgerä-ten entgegen nimmt und den Fernzugriff entsprechend unmittelbar sperrt. Die Grund-architektur sieht hingegen vor, dass jede Institution ihr eigenes Client-to-Site-VPN be-treibt. Folglich müsste auch jede Institution die damit verbundenen Betriebs- und Un-terstützungsprozesse selbst durchführen.

Ohne weitere Verschlüsselung liegen Institution 1 die Daten des Fernzugriffs aller In-stitutionen im Klartext vor, da das Client-to-Site-VPN im Netz der Institution 1 termi-niert. Zu den Optionen einer weiteren Verschlüsselung zur Realisierung einer Ende-zu-Ende-Verschlüsselung zählen beispielsweise:

– Verschlüsselung auf Anwendungsebene durch das Anwendungsprogramm

– Fernzugriff über ein Terminal-Server-Produkt, das eine hinreichend starke Ver-schlüsselung zwischen einem Terminal-Server im Netz einer Institution und einem Terminal-Server-Client auf einem Endgerät der Institution unterstützt.

Der mögliche Zugriff auf Daten des Fernzugriffs im Klartext durch Institution 1 bein-haltet aber auch Chancen zur zentralen Anwendung von ergänzenden Sicherheitsmaß-nahmen wie ein Intrusion Prevention System (IPS), ein Intrusion Detection System (IDS) oder ein Virenschutzprogramm.

Restrisiko: Ohne weitere Ende-zu-Ende-Verschlüsselung liegen Institution 1 die Daten des Fernzugriffs aller Institutionen des Verbundes im Klartext vor.

Umsetzungsaufwand: mittel, aufgrund der höheren Komplexität des Institutionen-Ver-bundes. Allerdings bietet die Variante in der Betriebsphase Ein-sparungspotenziale, insbesondere aufgrund der möglichen Zentralisierung von Betriebs- und Unterstützungsprozessen.

Variante 5.4.4 C für hohen Schutzbedarf: Einsatz eines zertifizierten VPN-Produkts



Das Client-to-Site-VPN wird durch ein zertifiziertes Produkt realisiert. Zur Zertifi-zierung gehört, dass das Produkt bestimmte IT-Sicherheitskriterien erfüllt, die von einem akkreditierten Prüflabor mit einer vereinbarten Prüftiefe und definierter Prüf-methodik verifiziert wurden. Common Criteria (CC) sind in diesem Zusammenhang ein gängiger Sicherheitsstandard. Auf den Webseiten des BSI werden die vom BSI zertifizierten VPN-Produkte genannt.



Speziell bei den Common Criteria muss die Prüftiefe der CC-Evaluation beachtet werden. Diese drückt sich in einer von sieben möglichen Stufen aus.

Restrisiko: Durch diese Maßnahmen wird der Gefährdung des VPNs auch bei hohem Schutzbedarf ausreichend begegnet.

Umsetzungsaufwand: mittel - hoch, aufgrund höherer Anschaffungskosten für das zer-tifizierte VPN-Produkt

Variante 5.4.4 D für hohen Schutzbedarf: Einsatz eines VPN-Produkts mit VS-Zulassung

Anwendungsbereich: hoher Schutzbedarf bezüglich der Vertraulichkeit oder bei Nutzung von VS-eingestuften Daten


Einsatz eines VPN-Produkts, das für Verschlusssachen (VS) zugelassen ist. Dieses Produkt ist für den Zugriff auf Daten, die einem hohen Schutzbedarf unterliegen, empfehlenswert. Es ist jedoch erforderlich für den Zugriff auf Daten, die als Ver-schlusssache eingestuft sind. Verschlusssache bedeutet, dass den Daten eine Ge-heimhaltungsstufe zugeordnet worden ist, die auch VS-Einstufung genannt wird. Die niedrigste deutsche VS-Einstufung ist VS-NfD, Verschlusssache nur für den Dienstgebrauch. Es folgen VS-Vertraulich, Geheim und Streng Geheim. Neben den genannten deutschen VS-Einstufungen gibt es analoge VS-Einstufungen anderer Länder und Organisationen wie NATO oder EU.

Restrisiko: Durch diese Maßnahmen wird der Gefährdung des Fernzugriffs auch bei hohem Schutzbedarf ausreichend begegnet.

Umsetzungsaufwand: hoch, aufgrund höherer Anschaffungskosten für das VS-zuge-lassene VPN-Produkt. Ferner ist die Verarbeitung, Speicherung und Übertragung VS-eingestufter Daten an die Umsetzung von vielen weiteren organisatorischen und technischen Sicherheits-maßnahmen gebunden.30

5.4.5 Automatischer Bezug unerwünschter E-Mails

Bedrohung: Die mobile E-Mail-Synchronisation lädt automatisch uner-wünschte E-Mails auf das Endgerät

Schwachstelle: Die mobile E-Mail-Synchronisation verfügt über keine oder keine ausreichende Möglichkeit durch Filtereinstellungen durch-zusetzen, dass nur erwünschte E-Mails auf ein Endgerät herun-tergeladen werden

Die Push-basierte mobile E-Mail-Synchronisation lädt automatisch E-Mails vom E-Mail-Server auf das Endgerät des Benutzers. Mögliche Einschränkungen lassen sich durch Filter-einstellungen an der Synchronisations-Komponente im Netz der Institution durchsetzen. Dies ist jedoch sehr produktspezifisch. Bei einer fehlenden oder unzureichenden Filterung können

30 Für Deutschland informieren hierzu die Verschlusssachenanweisung des Bundesministerium des Innern (VSA) [VSA-06] und das Handbuch für den Geheimschutz in der Wirtschaft (Geheimschutzhandbuch, GHB) [GHB-04].



auch unerwünschte E-Mails an Endgeräte weitergeleitet werden. Hierbei kann es sich bei-spielsweise um hoch vertrauliche E-Mails handeln.


– Lösungen für die mobile E-Mail-Synchronisation auf solche mit hinreichend genau konfigurier-baren Filtereinstellungen beschränken, so dass unerwünschte E-Mails nicht auf Endgeräte wei-tergeleitet werden.

Variante 5.4.5 A für hohen Schutzbedarf: Manuell gesteuerte E-Mail-Synchronisation



Es empfiehlt sich, für die mobile E-Mail-Synchronisation kein Push-Verfahren ein-zusetzen. Eine Möglichkeit ist, die E-Mails von einem Sekretär oder einer Sekretä-rin in der Institution sichten zu lassen. Anschließend werden die ausgewählten E-Mails auf das Endgerät des Benutzers übertragen.

Restrisiko: Durch Unachtsamkeit können nicht für die Weiterleitung bestimmte E-Mails trotzdem an das Endgerät weitergeleitet wer-den.



6 FazitFernzugriff ermöglicht Mitarbeitern den Zugang zu Anwendungen und Daten ihrer Institution, auch wenn sie außerhalb des Netzes der Institution tätig sind. Das Endgerät des Benutzers baut dafür eine Verbindung zum Netz der Institution über einen Netzzugang auf. Zu den möglichen Endgeräten zählen der Desktop-PC für den stationären Fernzugriff z. B. am Heimarbeitsplatz sowie Laptop und Smartphone für den ortsunabhängigen Fernzugriff. Eine besondere Form des Fernzugriffs ist die mobile E-Mail-Synchronisation. Hierfür werden meistens Smartphones als Endgerät eingesetzt.

Mit Fernzugriff ist immer die Gefahr verbunden, dass ein Endgerät in die Hände eines Unbefugten gerät. Dieser hat dann Zugang zum Endgerät und kann, falls er auch über die Authentisierungsmittel verfügt, auf die Daten des Endgeräts und per Fernzugriff auf Anwendungen und Daten des Netzes der Institution zugreifen.

In der Regel unterliegen der Netzzugang und das Transfernetz für den Fernzugriff nicht der Kon-trolle der Institution. Um von dem Sicherheitsniveau beider Netze unabhängig zu sein, wird für den Fernzugriff ein kryptografisch gesichertes VPN zwischen dem Endgerät und dem Netz der Instituti-on eingesetzt. Das kryptografisch gesicherte VPN ist eine von vielen Komponenten der Grundarchi-tektur zum sicheren Fernzugriff. Weitere Komponenten dienen der Beschränkung des Fernzugriffs auf authentisierte Benutzer und/oder authentisierte Endgeräte, der Zugangsbeschränkung auf ausge-wählte Anwendungen sowie dem Schutz der Daten des Endgeräts vor Vertraulichkeitsverletzungen.

Den Gefahren des Fernzugriffs begegnet die Grundarchitektur für den normalen Schutzbedarf und deren Varianten für den normalen und hohen Schutzbedarf. Die Sicherheitsmaßnahmen reduzieren die Eintrittswahrscheinlichkeit einer Gefährdung oder tragen zur Reduktion der möglichen Scha-denshöhe für den Fall bei, dass ein Schaden eingetreten ist.

Ein gewisses Restrisiko bleibt und muss getragen werden, wenn Fernzugriff eingesetzt wird. Auch umfangreiche und kostspielige technische und organisatorische Sicherheitsmaßnahmen können Be-nutzer nicht daran hindern, unachtsam mit ihren Endgeräten und Authentisierungsmitteln umzuge-hen. Sie begünstigen so den Datenverlust, den Vertraulichkeitsverlust oder den missbräuchlichen Fernzugriff durch unbefugte Dritte. Die Grundarchitektur und ihre Varianten reduzieren das Restri-siko jedoch auf ein tragbares Maß.



7 Literaturverzeichnis

Literaturverzeichnis

[BSI TR-02102] Bundesamt für Sicherheit in der Informationstechnik, Kryptografische Verfahren: Empfehlungen und Schlüssellängen, 2008

[Cisco-08] Cisco , TACACS+ and RADIUS Comparison, Document ID: 13838, 2008

[Cisco-95] Cisco Systems Inc., Single-User Network Access Security TACACS+, 1995

[IEEE 802.11] Institute of Electrical and Electronics Engineers (IEEE), IEEE Standards, 802.11-1999, 1999

[ISi-Client] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard zur Internet-Sicherheit (ISi-Reihe): Absicherung eines PC-Clients (ISi-Client), 2010

[ISi-E] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Schriftenreihe zur Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise, in Bearbeitung

[ISi-LANA] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard zur Internet-Sicherheit (ISi-Reihe): Sichere Anbindung lokaler Netze an das Internet, 2007

[ISi-VPN] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard zur Internet-Sicherheit (ISi-Reihe): Virtual Private Network, 2009

[ISi-WLAN] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard zur Internet-Sicherheit (ISi-Reihe): Sichere Nutzung von Wireless LAN (WLAN),, 2009

[RFC 1334] Internet Engineering Task Force (IETF), PPP Authentication Protocols, 1992

[RFC 1492] Internet Engineering Task Force (IETF), An Access Control Protocol, Sometimes Called TACACS, 1993

[RFC 1661] Internet Engineering Task Force (IETF), ,

[RFC 1994] Internet Engineering Task Force (IETF), PPP Challenge Handshake Authentication Protocol (CHAP), 1996

[RFC 2177] Markt und Technik Verlag, StarOffice 7, 1997

[RFC 2516] Internet Engineering Task Force (IETF), A Method for Transmitting PPP Over Ethernet (PPPoE), 1999

[RFC 2637] Internet Engineering Task Force (IETF), Point-to-Point Tunneling Protocol (PPTP), 1999

[RFC 2661] Internet Engineering Task Force (IETF), Layer Two Tunneling Protocol "L2TP", 1999

[RFC 2865] Internet Engineering Task Force (IETF), Remote Authentication Dial In User Service (RADIUS), 2000



[RFC 3501] Internet Engineering Task Force (IETF), Internet Message Access Protocol - Version 4rev1, 2003

[RFC 3588] Internet Engineering Task Force (IETF), Diameter Base Protocol, 2003

[RFC 3715] Internet Engineering Task Force (IETF), IPsec-Network Address Translation (NAT) Compatibility Requirements, 2004

[RFC 3931] Internet Engineering Task Force (IETF), Layer Two Tunneling Protocol - Version 3 (L2TPv3), 2005

[RFC 4253] Internet Engineering Task Force (IETF), The Secure Shell (SSH) Transport Layer Protocol, 2006

[RFC 4301] Internet Engineering Task Force (IETF), Security Architecture for the Internet Protocol, 2005

[RFC 5246] Internet Engineering Task Force (IETF), The Transport Layer Security (TLS) Protocol Version 1.2, 2008

[RFC 5321] Internet Engineering Task Force (IETF), Simple Mail Transfer Protocol, 2008

[TR-S-WLAN] Bundesamt für Sicherheit in der Informationstechnik (BSI), Technische Richtlinie Sicheres Wireless LAN, 2005

[VPN-06] Bundesamt für Sicherheit in der Informationstechnik (BSI), Aufbau von Virtual Private Networks (VPN) und Integration in Sicherheits-Gateways , 2006



8 Anhang

8.1 Abdeckungsmatrix

Abschnitt 5 beschreibt die maßgeblichen Gefährdungen der Grundarchitektur, die beim Fernzugriff auf das internen Netz zu erwarten sind. Die Abschnitte 3 bis 5 geben Empfehlungen, wie diesen Ge-fährdungen durch die besonderen Merkmale der Grundarchitektur, einer geeigneten Konfiguration ihrer Komponenten sowie durch ergänzende Maßnahmen begegnet werden kann. Die Empfehlun-gen decken normalen Schutzbedarf ab, verweisen aber auch auf Realisierungsvarianten und ergän-zende Maßnahmen, die auch hohen Schutzbedarf genügen. Tabelle 7 zeigt in einer Übersicht den Zusammenhang zwischen Gefährdungen und Empfehlungen bei normalen Schutzbedarf. Für jede Gefährdung ist dargestellt, welche Empfehlungen umgesetzt werden müssen, um das Restrisiko der Bedrohung auf ein für normalen Schutzbedarf ausreichendes Niveau zu senken. Umgekehrt ist der Tabelle zu entnehmen, gegen welche Gefährdungen sich die einzelnen Empfehlungen primär rich-ten. Die Abdeckungsmatrix soll dem Anwender helfen, diejenigen Maßnahmen zu ermitteln, die im Kontext seiner spezifischen Bedrohungslage relevant und angemessen sind.

In der Abdeckungsmatrix wird zwischen verbindlichen Maßnahmen unterschieden, die umgesetzt werden müssen (mit „X“ gekennzeichnet), und optionalen Maßnahmen, die bei Bedarf zusätzlich umgesetzt werden können (mit „+“ gekennzeichnet).

Tabelle 8 zeigt eine entsprechende Abdeckungsmatrix für hohen Schutzbedarf. Die hier bezeichne-ten Maßnahmen ergänzen die Grundvorgaben dort, wo Grundarchitektur und Grundkonfiguration alleine nur einem normalen Schutzbedarf genügen. Die Abdeckungsmatrix für hohen Schutzbedarf führt nur zusätzliche Maßnahmen an, welche in der Abbildungsmatrix für normalen Schutzbedarf nicht festgehalten werden. Soll ein Sicherheitsniveau für hohen Schutzbedarf erreicht werden, so müssen sowohl die in Abbildung 8.1 als auch die in Abbildung 8.2 angeführten Empfehlungen um-gesetzt werden.


ISi-Reihe Sicherer Fernzugriff auf das interne Netz (ISi-Fern)N

orm

aler

Sch

utz

bed

arf

Gef

ährd

un

gen

Die

bsta

hl/ V

erlu

stK

ompr

omitt

ieru

ng d

er A

uthe

ntis

ieru

ngO

ffen

e Sc

hnitt

stel

len

Scha

dpro

gram

me

Ang

riff

auf

das

inte

rne

Net

z de

r In

stitu

tion

Ü

berl

astu

ng d

er I

nter

net-

Anb

indu

ng d

es N

etze

s de

r In

st.

Den

ial-

of-S

ervi

ce-A

ngri

ffe

Zu

groß

e V

erzö

geru

ngen

bei

m F

ernz

ugri

ffÜ

berl

astu

ng d

er z

entr

alen

Kom

pone

nten

des

Fer

nzug

riff

s A

usfa

ll v

on z

entr

alen

Kom

pone

nten

des

Fer

nzug

riff

s

Aus

fall

des

End

gerä

tsD

aten

verl

ust a

uf d

em E

ndge

rät

Dat

enve

rlus

t auf

grun

d vo

n un

zure

iche

nder

Syn

chro

nisa

tion

Kei

n N

etzz

ugan

g fü

r da

s E

ndge

rät

Kei

n Fe

rnzu

grif

f au

fgru

nd N

AT

-Ink

ompa

tibi

lität

Une

rlau

bte

Mit

benu

tzun

g de

s W

LA

N a

m H

eim

arbe

itsp

latz

Aut

omat

isch

e W

eite

rlei

tung

gro

ßer

Dat

eian

häng

e in

E-M

ails

Inte

gritä

tsve

rlet

zung

nac

h un

befu

gtem

Zug

ang

zum

End

gerä

t

Man

ipul

iere

n de

r V

erbi

ndun

g zw

isch

en E

ndge

rät u

nd N

etz

d. I

nst.

Ver

trau

lichk

eits

verl

etzu

ng n

ach

Die

bsta

hl/V

erlu

st d

es E

ndge

rät

Ver

trau

lichk

eits

verl

etzu

ng n

ach

Zug

ang

zum

End

gerä

tH

ardw

arem

anip

ulat

ion

des

mob

ilen

End

gerä

tsA

bhör

en d

er V

erbi

ndun

g zw

isch

en E

ndge

rät u

nd N

etz

d. I

nsti

tuti

onA

utom

atis

cher

Bez

ug u

nerw

ünsc

hter

E-M

ails

Empfehlungen Eindringen/Übernehmen

Verfügbarkeit Inte-gri-tät

Vertraulich-keit

Grundarchitektur und Grundkonfiguration X X X X X X X X X X X X X X X X X X X X X X X X

Variante 5.1.4 B: Fernzugriff über eine Live-CD +

Variante 5.2.1 A: Reduktion der Anforderung an die Datenübertragungsrate durch Terminal-Serv-er-Einsatz

+

Variante 5.2.4 C: Zusammenlegen von Paketfiltern +

Variante 5.2.4 D: Zusammenlegen des VPN-Gateways mit dem AAA-Server +

Variante 5.2.4 E: VPN-Gateway mit integriertem Paketfilter +

Variante 5.2.9 A: Alternativer Netzzugang + +

Variante 5.3.1 A: Fernzugriff nur aus virtueller Desktop-PC - Instanz heraus +

Variante 5.4.4 A: Einsatz eines Trusted VPN +

Variante 5.4.4 B: Kombination aus Client-to-Site- und Site-to-Site-VPN im Institutionen-Ver-bund

+

Tabelle 7: Abdeckungsmatrix für normalen Schutzbedarf


Sicherer Fernzugriff auf das interne Netz (ISi-Fern) ISi-ReiheH

oher

Sch

utz

bed

arf

Gef

ährd

un

gen

Die

bsta

hl/ V

erlu

stK

ompr

omitt

ieru

ng d

er A

uthe

ntis

ieru

ngO

ffen

e Sc

hnitt

stel

len

Scha

dpro

gram

me

Ang

riff

auf

das

inte

rne

Net

z de

r In

stitu

tion

Ü

berl

astu

ng d

er I

nter

net-

Anb

indu

ng d

es N

etze

s de

r In

st.

Den

ial-

of-S

ervi

ce-A

ngri

ffe

Zu

groß

e V

erzö

geru

ngen

bei

m F

ernz

ugri

ffÜ

berl

astu

ng d

er z

entr

alen

Kom

pone

nten

des

Fer

nzug

riff

sA

usfa

ll v

on z

entr

alen

Kom

pone

nten

des

Fer

nzug

riff

s

Aus

fall

des

End

gerä

tsD

aten

verl

ust a

uf d

em E

ndge

rät

Dat

enve

rlus

t auf

grun

d vo

n un

zure

iche

nder

Syn

chro

nisa

tion

Kei

n N

etzz

ugan

g fü

r da

s E

ndge

rät

Kei

n Fe

rnzu

grif

f au

fgru

nd N

AT

-Ink

ompa

tibili

tät

Une

rlau

bte

Mit

benu

tzun

g de

s W

LA

N a

m H

eim

arbe

itsp

latz

Aut

omat

isch

e W

eite

rlei

tung

gro

ßer

Dat

eian

häng

e in

E-M

ails

Inte

grit

ätsv

erle

tzun

g na

ch u

nbef

ugte

m Z

ugan

g zu

m E

ndge

rät

Man

ipul

iere

n de

r V

erbi

ndun

g zw

isch

en E

ndge

rät u

nd N

etz

d. I

nst

Ver

trau

lich

keit

sver

letz

ung

nach

Die

bsta

hl/V

erlu

st d

es E

ndge

rät

Ver

trau

lich

keit

sver

letz

ung

nach

Zug

ang

zum

End

gerä

tH

ardw

arem

anip

ulat

ion

des

mob

ilen

End

gerä

tsA

bhör

en d

er V

erbi

ndun

g zw

isch

en E

ndge

rät u

nd N

etz

d. I

nstit

utio

nA

utom

atis

cher

Bez

ug u

nerw

ünsc

hter

E-M

ails

Empfehlungen Eindringen/Übernehmen

Verfügbarkeit Inte-gri-tät

Vertraulich-keit

Grundarchitektur und Grundkonfiguration X X X X X X X X X X X X X X X X X X X X X X X X

Variante 5.1.1 A: Zeitnahe Aufnahme von Sperraufforderungen des Fernzugriffs und ihre Durch-setzung

X

Variante 5.1.1 B: Aufspüren des Gerätes über GPS + +

Variante 5.1.1 C: Fernlöschung der Daten X X

Variante 5.1.2 A: Zertifikat zur Authentisierung des Endgeräts X

Variante 5.1.2 B: Endgerät-Authentisierung mittels Trusted Platform Module (TPM) + +

Variante 5.1.4 A: Network Admission Control (NAC) X X

Variante 5.1.5 A: Beschränkung des Fernzugriffs durch Spiegel-Server X

Variante 5.2.2 A: Fernzugriff über ein IP-Netz eines Datennetz-Providers X +

Variante 5.2.2 B: Fernzugriff über das öffentliche Telefonnetz als befristete Ausweichlösung X

Variante 5.2.4 A: Einsatz leicht skalierbarer zentraler Komponenten X

Variante 5.2.4 B: Überdimensionierung der Performance (Overprovisioning) X X

Variante 5.2.5 A: Hochverfügbare Architektur von zentralen Komponenten X X

Variante 5.3.1 B: Endgeräte mit erweitertem Integritätsschutz X X X

Variante 5.4.1 A: Nachgewiesenes hohes Sicherheitsniveau der Datenverschlüsselung + X +

Variante 5.4.1 B: Automatische Löschung der Daten des Endgeräts X

Variante 5.4.2 A: Zusätzliche Verschlüsselung einzelner Dateien und Verzeichnisse auch bei ein-geschaltetem Endgerät

X X

Variante 5.4.3 A: Versiegelung des mobilen Endgeräts X

Variante 5.4.3 B: Deaktivierung aller SIM (Subscriber Identity Module) Application Toolkit-Funktionen im mobilen Endgerät

X

Variante 5.4.4 C: Einsatz eines zertifizierten VPN-Produkts X X

Variante 5.4.4 D: Einsatz eines VPN-Produkts mit VS-Zulassung X X

Variante 5.4.5 A: Manuell gesteuerte E-Mail-Synchronisation + X

Tabelle 8: Abdeckungsmatrix für hohen Schutzbedarf

8.2 Varianten der Grundarchitektur

In Abschnitt 3 wurde eine sichere Grundarchitektur für eine große Organisation mit normalem Schutzbedarf vorgestellt, die den sicheren Fernzugriff auf das interne Netz beschreibt.

Darüber hinaus werden in Abschnitt 5 dieser Studie neben der Grundarchitektur verschiedene Ar-chitektur- und Konfigurationsvarianten beschrieben. Hier findet man Möglichkeiten, wie sich einer-seits kleine, unkritische IT-Infrastrukturen mit moderatem Aufwand realisieren lassen, andererseits



kann aber auch einem großen Unternehmen mit hohem Schutzbedarf durch ergänzende Maßnahmen oder modulare Erweiterungen entsprochen werden.

Eine Abweichung von der Grundarchitektur hat jedoch Auswirkungen auf die Gefährdungen, denen das Unternehmen ausgesetzt ist. Hier muss der Nutzer abwägen, ob das unter Umständen erhöhte Restrisiko zu tragen ist oder nicht.

Im folgenden Anhang werden einige Beispiele vorgestellt, wie die Architektur an eine veränderte Unternehmensgröße oder einen veränderten Schutzbedarf angepasst werden kann und welche Kon-sequenzen dies auf die Gefährdungslage hat.

Im Fokus stehen dabei Änderungen, die sich auf die Fernzugriffszone, die Internet-Anbindung und den Netzzugang beziehen. Änderungen, die das Sicherheits-Gateway und das Management-System betreffen, sind in [ISi-LANA] beschrieben.

Für jedes vorgestellte Szenario werden Annahmen getroffen, die beispielhaft eine kleine, mittel-große bzw. große Organisation kennzeichnen. Aufbauend auf diesen Annahmen werden Ände-rungsmöglichkeiten aufgegriffen, die bereits als Varianten in Abschnitt 5 vorgestellt wurden. Die Änderung der Gefährdungslage des Unternehmens durch die Abweichung von der Grundarchitektur wird jeweils in einer Tabelle dargestellt.

In der Tabelle bedeutet „↑↑“ deutlich erhöhte Gefährdung, „↑“ erhöhte Gefährdung, „↔“ Gefähr-dung, wie bei Verwendung der Grundarchitektur, „↑↓“ teils erhöhte, teils erniedrigte Gefährdung, „↓↓“ deutlich verringerte Gefährdung, „↓“ verringerte Gefährdung.



8.2.1 Kleines Unternehmen

Für ein kleines Unternehmen werden folgende Annahmen getroffen:

– Keine Behörde!

– Wenige (5-10) Clients und Server im internen Netz

– Geringer Datenverkehr über das Internet und über den Fernzugriff

– Keine erhöhte Ausfallsicherheit

– Geringe Wahrscheinlichkeit von Angriffen

Änderungen der Grundarchitektur für den normalen Schutzbedarf

Bei einem kleinen Unternehmen mit normalem Schutzbedarf kann ein einstufiges Sicherheits-Gate-way gemäß [ISi-LANA] eingesetzt werden. Ebenso kann auf die Fernzugriffs-Zone verzichtet und statt dessen ein VPN-Gateway mit integriertem Paketfilter eingesetzt werden.. Daraus ergeben sich folgenden Änderungen an der Grundarchitektur:

– Einsatz eines VPN-Gateways mit integriertem Paketfilter (Variante 5.2.4 E).

– Die Fernzugriffs-Zone entfällt.

– Zusammenlegen von Paketfilter 2, 6 und 12 (Variante 5.2.4 C)

– Der Zugriff erfolgt vom VPN-Gateway aus nur auf den E-Mail- und Datei-Server. Dies lässt sich mit dem Paketfilter PF2/6/12 durchsetzen. Dazu müssen die Zugriffslisten (Access Control List, ACL) des Paketfilters entsprechend konfiguriert und passend vergebene IP-Tunnel-Adressen herangezogen werden.

Konsequenzen für die Gefährdung eines kleinen Unternehmens mit normalem Schutzbedarf

Bedrohung Gefährdung Bemerkung

Eindringen/Überneh-men

↑↑ Leicht zu übernehmen, da keine PAP-Struktur

Verfügbarkeit ↑ Geschützt nur durch einen Paketfilter

Integrität ↔ Kein erhöhtes Risiko im Vergleich zur Grundarchitektur, da Einsatz von VPN

Vertraulichkeit ↔ Kein erhöhtes Risiko im Vergleich zur Grundarchitektur, da Einsatz von VPN

Tabelle 9: Konsequenzen für die Gefährdung eines kleinen Unternehmens mit normalem Schutzbedarf



Abbildung 8.1: Variante für ein kleines Unternehmen mit normalem Schutzbedarf

Änderungen der Grundarchitektur für den hohen Schutzbedarf

Besteht ein hoher Schutzbedarf z.B. in Bezug auf Daten im internen Netz, so sollte der Zugriff von Extern auf diese Daten durch eine Fernzugriffszone mit VPN-Gateway und integriertem AAA-Server abgesichert werden. Es können folgende Varianten verwendet werden:

– Paketfilter PF2, PF6 und PF12 werden zusammengelegt (Variante 5.2.4 C). Da in einem kleinen Unternehmen eine kleine, überschaubare Anzahl von Clients vorhanden ist, kann hier der Innen-täter fast ausgeschlossen werden und die Konfiguration der einzelnen Paketfilter umfasst weni-ger (komplexe) Regeln.

– Zusammenlegen von VPN-Gateway und AAA-Server (Variante 5.2.4 D)

Konsequenzen für die Gefährdung eines kleinen Unternehmens mit hohem Schutzbedarf


Eindringen/Überneh-men ↑ Verringerter Schutz für das interne Netz, da zwei Paketfilter weniger

Verfügbarkeit ↑Durch Zusammenlegen des VPN-Gateway und des AAA-Servers Vergröße-rung der Angriffsfläche für Angriffe auf die Verfügbarkeit

Integrität ↔ Kein erhöhtes Risiko im Vergleich zur Grundarchitektur

Vertraulichkeit ↔ Kein erhöhtes Risiko im Vergleich zur Grundarchitektur

Tabelle 10: Konsequenzen für die Gefährdung eines kleinen Unternehmens mit hohem Schutzbedarf



8.2.2 Mittelgroßes Unternehmen

Für ein mittelgroßes Unternehmen werden folgende Annahmen getroffen:

– Mittlere Anzahl (100-400) von Clients und Servern

– Mittelgroßer Datenverkehr über das Internet und den Fernzugriff

– Normale Ausfallsicherheit

– Potenzielles Ziel von Angriffen

Änderungen für den normalen Schutzbedarf

Für den normalen Schutzbedarf können folgende Varianten verwendet werden:

– Fernzugriff auf das Netz der Institution aus einer virtuellen Desktop-PC - Instanz heraus (Varian-te 5.3.1 A)

– Alternativer Netzzugang für das Endgerät (z.B. Mobilfunk) (Variante 5.2.9 A)

– Einsatz eines Terminal-Servers (Variante 5.2.1 A)

– Paketfilter PF6, PF12 und PF2 werden zusammengelegt (Variante 5.2.4 C) Diese Variante ist in mittelgroßen Unternehmen nur für den normalen Schutzbedarf zu empfehlen, da sie die Angriffs-fläche für Innentäter vergrößert.


Abbildung 8.2: Variante für ein kleines Unternehmen mit hohem Schutzbedarf


Konsequenzen für die Gefährdung eines mittelgroßen Unternehmens mit normalem Schutz-bedarf


Eindringen/Überneh-men ↑ Verringerter Schutz für das interne Netz, da zwei Paketfilter weniger

Verfügbarkeit ↓ Alternativer Netzzugang für das Endgerät

Integrität ↓ Einsatz eines Terminal-Servers


Tabelle 11: Konsequenzen für die Gefährdung eines mittelgroßen Unternehmen mit normalem Schutzbedarf



Abbildung 8.3: Variante für ein mittelgroßes Unternehmen mit normalem Schutzbedarf

Änderungen für den hohen Schutzbedarf

Für ein mittelgroßes Unternehmen mit hohem Schutzbedarf ist von einer Vereinfachung der Grund-architektur abzuraten. Die Grundarchitektur kann jedoch erweitert oder modifiziert werden. Für den normalen Schutzbedarf können beispielsweise folgende Änderungen verwendet werden (vgl. Abbil-dung 8.4):

– Mehrbeinige Anbindung an das Internet zur Erhöhung der Ausfallsicherheit (siehe [ISi-LANA] Variante 6.1.4 A)

– Mehrbeinige Anbindung des Endbenutzers an den Netzzugang zur Erhöhung der Ausfallsicher-heit (siehe Variante 5.2.2 A oder Variante 5.2.2 B)

Konsequenzen für die Gefährdung eines mittelgroßen Unternehmens mit hohem Schutzbe-darf


Eindringen/Überneh-men ↔ Kein erhöhtes Risiko im Vergleich zur Grundarchitektur

Verfügbarkeit ↓ Mehrbeinige Anbindung an das Internet

Integrität ↔ Kein erhöhtes Risiko im Vergleich zur Grundarchitektur


Tabelle 12: Konsequenzen für die Gefährdung eines mittelgroßen Unternehmens mit hohem Schutzbedarf




Abbildung 8.4: Variante für ein mittelgroßes Unternehmen mit hohem Schutzbedarf


8.2.3 Großes Unternehmen

Für ein großes Unternehmen werden folgende Annahmen getroffen:

– große Anzahl (1000+) von Clients und Servern im internen Netz

– große Anzahl von externen Endgeräten

– hoher Datenverkehr über das Internet

– erhöhte Ausfallsicherheit

– Ziel von Angriffen

Änderungen für den normalen Schutzbedarf

Bei einem großen Unternehmen ist von einer Vereinfachung der Grundarchitektur abzuraten.

Abbildung 8.5: Variante für ein großes Unternehmen mit normalem Schutzbedarf

Änderungen für den hohen Schutzbedarf

Für den hohen Schutzbedarf können folgende Varianten verwendet werden:

– Zeitnahe Aufforderung von Sperraufforderungen des Fernzugriffs und ihre Durchsetzung (Vari-ante 5.1.1 A)

– Nachgewiesenes hohes Sicherheitsniveau der Datenverschlüsselung (Variante 5.4.1 A)

– Automatische Löschung der Daten des Endgeräts (Variante 5.4.1 B)



– Fernlöschung der Daten bei Diebstahl des Endgeräts (Variante 5.1.1 C)

– Zertifikat zur Authentisierung des Endgeräts (Variante 5.1.2 A)

– Zusätzliche Verschlüsselung einzelner Daten und Verzeichnisse auch bei eingeschaltetem End-gerät (Variante 5.4.2 A)

– Versiegelung des mobilen Endgeräts (Variante 5.4.3 A)

– Deaktivierung aller SIM Application Toolkit-Funktionen im mobilen Endgerät (Variante 5.4.3B)

– Endgeräte mit erweitertem Integritätsschutz (Variante 5.3.1 B)

– Mehrbeinige Anbindung an das Internet zur Erhöhung der Ausfallsicherheit (s. ISi-LANA Vari-ante 6.1.4 A)

– Mehrbeinige Anbindung des Endbenutzers an das Internet zur Erhöhung der Ausfallsicherheit (Variante 5.2.2 A oder Variante 5.2.2 B)

– Einsatz eines gespiegelten Servers im internen Netz und eines Spiegel-Servers in der Fernzu-griffszone (Variante 5.1.5 A)

– Hochverfügbare Architektur von zentralen Komponenten (Variante 5.2.5 A)

Konsequenzen für die Gefährdung eines großen Unternehmens mit hohem Schutzbedarf


Eindringen/Überneh-men ↓↓ Der Spiegel-Server erschwert das Eindringen ins interne Netz

Verfügbarkeit ↓ Mehrbeinige Anbindung an das Internet

Integrität ↓ Erweiterter Integritätsschutz für Endgeräte

Vertraulichkeit ↓ Zusätzliche Verschlüsselung der Daten und zusätzliches Zertifikat zur Au-thentisierung

Tabelle 13: Konsequenzen für die Gefährdung eines großen Unternehmens mit hohem Schutzbedarf




Abbildung 8.6: Variante für ein großes Unternehmen mit hohem Schutzbedarf


9 Glossar

AAA-Server

Auf einem Authentisierungsserver läuft ein Dienst zur Authentifizierung von Benutzern und/oder IT-Systemen. Gängige Authentisierungsserver unterstützen auch zusätzlich die Funktionen Autori-sierung und Accounting. Dem entsprechend werden sie auch als AAA-Server bezeichnet.

Administrator

Ein Administrator verwaltet und betreut Rechner sowie Computer-Netze. Er installiert Betriebssys-teme und Anwendungsprogramme, richtet neue Benutzer-Kennungen ein und verteilt die für die Ar-beit notwendigen Rechte. Dabei hat er im Allgemeinen weitreichende oder sogar uneingeschränkte Zugriffsrechte auf die betreuten Rechner oder Netze.

ALG (Application-Level Gateway [engl.])

Filterfunktionen oberhalb der Transportschicht werden von einem sogenannten Application-Level Gateway übernommen, auch Sicherheits-Proxy genannt. Ein Proxy ist eine Art Stellvertreter für Dienste in Netzen. Er nimmt Daten an seinem Eingang entgegen und leitet sie nach einer Prüfung an den eigentlichen Dienst weiter. Mittels eines Proxys lassen sich Datenströme auf der Anwen-dungsschicht verwerfen, modifizieren oder gezielt weiterleiten. Implizit nehmen ALGs auch Funk-tionen auf den darunter liegenden Schichten des TCP/IP-Modells wahr. ALGs unterbrechen den di-rekten Datenstrom zwischen Quelle und Ziel. Bei einer Kommunikationsbeziehung zwischen Client und Server über das ALG hinweg nimmt das ALG die Anfragen des Clients entgegen und leitet sie an den Server weiter. Bei einem Verbindungsaufbau in umgekehrter Richtung, also vom Server zum Client, verfährt das ALG analog. Diese Kommunikationsform ermöglicht es dem ALG bei-spielsweise, bestimmte Protokollbefehle auf der Anwendungsschicht zu filtern. Das ALG kann zu-dem die strikte Einhaltung von Anwendungsprotokollen erzwingen, unerwünschte Anwendungsda-ten aus den Datenpaketen entfernen (bzw. austauschen) oder Verbindungen anwendungsspezifisch protokollieren.

Angriff (engl. attack)

Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberech-tigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angrei-fer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen.

Anwendungsschicht (engl. application layer)

Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Proto-kolle, die von Anwendungsprogrammen, z. B. Browser oder E-Mail-Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwen-dungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP).



Authentifizierung (engl. authentication)

Unter einer Authentifizierung versteht man die Prüfung einer Authentisierung, d. h. die Überprü-fung, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Dies kann unter Anderem durch Passwort-Eingabe, Chipkarte oder Biometrie erfolgen.

Authentisierung (engl. authentication)

Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikations-partners, dass er tatsächlich derjenige ist, der er vorgibt zu sein.

Authentizität (engl. authenticity)

Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommu-nikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur ver-wendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder An-wendungen.

Autorisierung (engl. authorization)

Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durch-führung einer bestimmten Aktion berechtigt ist.

Bedrohung (engl. threat)

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstän-de oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Um-stand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedro-hen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht.

Benutzer-Kennung (engl. user account)

Die Benutzer-Kennung ist der Name, mit dem sich der Benutzer einem IT-System gegenüber au-thentisiert. Dies kann z. B. der tatsächliche Name sein, ein Pseudonym, eine Abkürzung oder eine automatisch vergebene Kombination aus Buchstaben oder Ziffern.

Betriebssystem (engl. operating system)

Das Betriebssystem ist ein Steuerungsprogramm, das es dem Benutzer ermöglicht, seine Dateien zu verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) zu kontrollieren oder Programme zu starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS.

Browser [engl.]

Mit Browser (von "to browse", auf deutsch: schmökern, blättern, umherstreifen) wird Software zum Zugriff auf das World Wide Web bezeichnet. Das Programm interpretiert die ankommenden Daten und stellt sie als Text und Bild auf dem Bildschirm dar.



BSI (Bundesamt für Sicherheit in der Informationstechnik) (engl. Federal Office for Information Security)

Bundesbehörde im Geschäftsbereich des Bundesministerium des Innern.

CD (Corporate Design [engl.])

Gestaltung eines durchgängigen Erscheinungsbildes. Im Corporate Design werden Logos, Farben und Schriften sowie Gestaltungsprinzipien für deren Verwendung definiert.

Client [engl.]

Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in An-spruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift.

Datensicherung (engl. backup)

Bei einer Datensicherung werden zum Schutz vor Datenverlust Sicherungskopien von vorhandenen Datenbeständen erstellt. Datensicherung umfasst alle technischen und organisatorischen Maßnah-men zur Sicherstellung der Verfügbarkeit, Integrität und Konsistenz der Systeme einschließlich der auf diesen Systemen gespeicherten und für Verarbeitungszwecke genutzten Daten, Programme und Prozeduren. Ordnungsgemäße Datensicherung bedeutet, dass die getroffenen Maßnahmen in Ab-hängigkeit von der Datensensitivität eine sofortige oder kurzfristige Wiederherstellung des Zustands von Systemen, Daten, Programmen oder Prozeduren nach erkannter Beeinträchtigung der Verfüg-barkeit, Integrität oder Konsistenz aufgrund eines schadenswirkenden Ereignisses ermöglichen. Die Maßnahmen umfassen dabei mindestens die Herstellung und Erprobung der Rekonstruktionsfähig-keit von Kopien der Software, Daten und Prozeduren in definierten Zyklen und Generationen.

DDoS (Distributed Denial of Service [engl.])

Ein koordinierter DoS Angriff auf die Verfügbarkeit von IT mittels einer größeren Anzahl von an-greifenden Systemen.

Diensteanbieter (engl. provider)

Anbieter von Tele- oder Mediendiensten. Die Gewerblichkeit des Angebots ist nicht Voraussetzung der Einordnung.

DNS (Domain Name System [engl.])

Das Domain Name System übersetzt alphanumerische Adressnamen (z. B. www.bsi.bund.de) in nu-merische Adressen (z. B. 194.95.177.86). Auch eine Übersetzung in die umgekehrte Richtung ist mit dem DNS möglich. Alphanumerische Namen für Rechner sind für die Benutzer einfach zu be-halten und einzugeben. Da allerdings IPv4 und IPv6 Adressen in numerischer Form verlangen, ist eine Adressumsetzung durch das DNS notwendig.

DoS (Denial of Service [engl.])

Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen.



Eingeschränkter Zugriff

Eingeschränkter Zugriff auf die Daten des internen Netzes bedeutet, dass der Nutzer nur auf be-stimmte Daten, Dienste oder IT-Systeme des internen Netzes zugreifen kann. Ein Beispiel ist der Zugriff auf E-Mails, Termine, Kontakte und andere persönlichen Informationen, die in der Regel von einem unternehmenseigenen E-Mail-Server verwaltet werden, beschränkte Fernzugriff.

Gefährdung

Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Ob-jekt. So sind beispielsweise Computer-Viren eine Bedrohung oder eine Gefährdung für Anwender, die im Internet surfen. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwen-der prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefal-lene Datei herunterlädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Computer-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Kon-figuration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Ge-fährdung.

Hacking [engl.]

Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhande-ne Sicherheitsmechanismen zu überwinden, um in ein IT-System einzudringen, seine Schwächen offen zulegen und es gegebenenfalls - bei unethischem Hacking - zu übernehmen.

HTTP (Hypertext Transfer Protocol [engl.])

Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen ei-nem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uni-form Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungs-schicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den ge-nauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist http://www.bsi.bund.de/facht-hem/sinet/index.htm.

HTTPS (HTTP secure [engl.])

Protokoll zur sicheren Übertragung von HTML-Seiten im Internet. SSL/TLS dient dabei zur Absi-cherung der Client-Server-Kommunikation.

ICMP (Internet Control Message Protocol [engl.])

Das Internet Control Message Protocol transportiert Fehler- und Diagnoseinformationen für IPv4 und in der erneuerten Version auch für IPv6. Es wird intern von TCP, UDP und den beiden IP-Pro-tokollen genutzt und kommt z. B. zum Einsatz, wenn Datenpakete nicht ausgeliefert werden kön-nen, ein Gateway Datenverkehr über eine kürzere Route leitet oder ein Gateway nicht genügend Pufferkapazität für die zu verarbeitenden Daten besitzt.



IDS (Intrusion Detection System [engl.])

Ein Intrusion Detection System ist ein System zur Erkennung von Angriffen auf ein Rechnersystem oder Rechnernetz.

Integrität (engl. integrity)

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrek-ten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Au-tor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Infor-mationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit.

Interoperabilität

Eigenschaft von IT-Systemen und -Anwendungen, plattformübergreifend miteinander zu kommuni-zieren.

IP (Internet Protocol [engl.])

Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizie-renden Rechner.

IPS (Intrusion Prevention System [engl.])

Ein Intrusion Prevention System ist eine Erweiterung eines IDS. Ein IPS erkennt und meldet An-griffe nicht nur, sondern verwirft die zu einem erkannten Angriff gehörenden IP-Pakete und ändert zu diesem Zweck gegebenenfalls dynamisch die Filtereinstellung am Sicherheits-Gateway.

IPSec (Internet Protocol Security [engl.])

Erweiterung des Internet-Protokolls IP zur Sicherstellung von Integrität, Authentizität und Vertrau-lichkeit. IPSec ist in der Version 6 des Internet-Protokolls (IPv6) enthalten.

IPv4 (Internet Protocol Version 4 [engl.])

Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und er-laubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter.

IPv6 (Internet Protocol Version 6 [engl.])

Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der über-tragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst.



Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Si-cherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder ge-meinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle.

Kryptografie

Mathematisches Fachgebiet, das sich mit Methoden zum Schutz von Informationen befasst (u. a. mit Vertraulichkeit, Integrität und Authentizität von Daten).

Latenz (engl. latency)

In der Elektro- und Informationstechnik und Informatik ist der Begriff Latenz synonym für Verzö-gerung. Im Allgemeinen handelt es sich um das Zeitintervall vom Ende eines Ereignisses bis zum Beginn der Reaktion auf dieses Ereignis. Zum Beispiel die Zeitspanne, die ein Datenpaket in Com-puternetzwerken von Sender zu Empfänger benötigt. Diese kommt durch die Laufzeit im Übertra-gungsmedium und durch die Verarbeitungszeit aktiver Komponenten zustande.

Middleware [engl.]

Je nach Architektur einer IT-Anwendung ist es sinnvoll, Funktionalitäten aus dem Frontend oder Backend in eine oder mehrere Zwischenschichten zu verlagern. Dabei handelt es sich i. d. R. um zwischengeschaltete Server, die bspw. die Zugriffsberechtigungen auf die Daten kontrollieren. Hierdurch lassen sich sowohl die Performance als auch die Sicherheit der IT-Anwendung erhöhen.

NAT (Network Address Translation [engl.])

Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparen-ten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Rou-tern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verber-gen.

offline [engl.]

Nicht über ein Computer-Netz wie das Internet (zugänglich, nutzbar, erreichbar) (eigentlich engl. für ausgeschaltet, nicht verbunden).

Overprovisioning [engl.]

Häufig wird beim Einsatz von IP-Telefonie keine unterschiedliche Behandlung der Datenströme je nach Markierung vorgenommen. Es wird davon ausgegangen, dass moderne lokale Netze sowie WANs ausreichend überdimensioniert sind, um Stauungen in Warteschlangen zu vermeiden. Eine solche QoS-Policy wird als Overprovisioning bezeichnet.



Paketfilter (engl. packet filter)

Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr an-hand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP-Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt.

Passwort

Geheimes Kennwort, das Daten, Rechner, Programme u. a. vor unerlaubtem Zugriff schützt.

Patch [engl.]

Ein Patch (vom englischen "patch", auf deutsch: Flicken) ist ein kleines Programm, das Software-Fehler wie z. B. Sicherheitslücken in Anwendungsprogrammen oder Betriebssystemen behebt.

PDA (Personal Digital Assistant [engl.])

Persönlicher Digitaler Assistent, auch Organizer genannt, als Kalender, Adressbuch, Taschenrech-ner, inzwischen auch zum Versenden von E-Mails.

PKI (Public Key Infrastructure [engl.])

Sicherheitsinfrastruktur, die es ermöglicht, in nicht gesicherten Netzen (z. B. Internet) auf der Basis eines von einer vertrauenswürdigen Stelle ausgegebenen Schlüsselpaares (vgl. asymmetrische Ver-schlüsselung) verschlüsselt Daten auszutauschen bzw. Signaturen zu erzeugen und zu prüfen.

PPP (Point-to-Point Protocol [engl.])

Das Point-To-Point Protocol dient im Wesentlichen der Übertragung von IP-Paketen über serielle Leitungen, also z. B. Modemzugänge. Am häufigsten eingesetzt wird PPP, um bei der Einwahl eine Verbindung mit einem Rechner eines Internet-Zugangsproviders aufzubauen und zu kontrollieren.

Protokoll (engl. protocol)

Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten.

Proxy

Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten.

Proxy-Server

Ein Proxy-Server agiert gegenüber einem Client als Stellvertreter des eigentlichen Servers und ge-genüber dem Server als Stellvertreter des Clients. Der Client kommuniziert nur mit dem Proxy-Ser-ver. Der Proxy-Server leitet also



Prüfsumme (engl. checksum)

In der Informatik ist eine Prüfsumme eine einfache Maßnahme zur Gewährleistung von Dateninte-grität bei der Datenübermittlung oder -speicherung.

Restrisiko (engl. residual risk)

Risiko, das grundsätzlich bleibt, auch wenn Maßnahmen zum Schutz des IT-Einsatzes ergriffen worden sind.

RFC (Request for Comments [engl.])

In Request for Comments werden wichtige Internet-Standards festgelegt. RFCs können bei der In-ternet Engineering Task Force (IETF) eingereicht werden, die die Entscheidung trifft, ob der Vor-schlag zum Standard erhoben wird. RFCs werden nummeriert und nicht mehr verändert. Sollen be-stehende RFCs verändert oder erweitert werden, so geschieht dies, indem ein neuer RFC mit einer neuen Nummer und mit den entsprechenden Neuerungen geschaffen wird.

Risiko (engl. risk)

Risiko ist die häufig auf Berechnungen beruhende Vorhersage eines möglichen Schadens im negati-ven Fall (Gefahr) oder eines möglichen Nutzens im positiven Fall (Chance). Was als Schaden oder Nutzen aufgefasst wird, hängt von Wertvorstellungen ab. Risiko wird auch häufig definiert als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens.

Router [engl.]

Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlent-scheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets.

Schutzbedarf (engl. protection requirements)

Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten In-formationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.

Schwachstelle (engl. vulnerability)

Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ur-sachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfigu-ration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen.

Server [engl.]

Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Web- oder E-Mail-Server.



Sicherheits-Gateway

Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP-Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkompo-nenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden.

Sicherheitsmaßnahme (engl. saveguard control)

Mit Sicherheitsmaßnahme werden alle Aktionen bezeichnet, die dazu dienen, Sicherheitsrisiken zu steuern und entgegenzuwirken. Dies schließt organisatorische, personelle, technische und infra-strukturelle Sicherheitsmaßnahmen ein. Synonym werden auch die Begriffe Sicherheitsvorkehrung oder Schutzmaßnahme benutzt.

Signalisierung (engl. signalling)

Signalisierung ist ein Überbegriff für die Abgabe von Zeichen (Signalen oder Nachrichten) in ver-schiedenen Bereichen der Kommunikation und Technik.

SMTP (Simple Mail Transfer Protocol [engl.])

Das Simple Mail Transfer Protocol legt fest, wie E-Mails zwischen Servern zu übertragen sind. Auch für den Transport von E-Mails vom Mail-Client zum Server (und die umgekehrte Richtung) kann SMTP genutzt werden.

SSL (Secure Sockets Layer [engl.])

Protokoll zur sicheren Kommunikation über das Internet, insbesondere zwischen Client und Server, basiert auf dem Verschlüsselungsalgorithmus RSA.

Switch [engl.]

Ein Switch (zu deutsch Schalter) ist eine Netzwerk-Komponente zur Verbindung mehrerer Netz-Segmente in einem lokalen Netz. Da Switches den Netzverkehr analysieren und logische Entschei-dungen treffen, werden sie auch als intelligente Hubs bezeichnet.

SyncML

Die SyncML-Protokoll-Familie ist ein herstellerunabhängiger Standard der Open Mobile Alliance (OMA). Er dient der Synchronisation von Daten und der Verwaltung von Einstellungen von Endge-räten (Device Management). Ein mögliches SyncML-Einsatzszenario im Zusammenhang mit dem Fernzugriff ist die mobile E-Mail-Synchronisation zwischen einem mobilen Endgerät wie einem Smartphone und einem Mailserver im Netz einer Institution.

TAN (Transaktionsnummer)

Geheimzahl, die die Freigabe für einen einzelnen Vorgang erteilt. Die Geheimzahl verliert hiernach ihre Gültigkeit. Wird insbesondere beim Internet-Banking in Kombination mit einer PIN eingesetzt.



TCP (Transmission Control Protocol [engl.])

Verbindungsorientiertes Protokoll der Transportschicht im TCP/IP-Referenzmodell, welches auf IP aufsetzt.

TLS (Transport Layer Security [engl.])

Protokoll zur sicheren Datenübertragung über das Internet. Nachfolger von SSL.

Transportschicht (engl. transport layer)

Die Transportschicht setzt im TCP/IP-Referenzmodell auf der Internetschicht auf und hat die Auf-gabe, Daten zuverlässig und unabhängig vom verwendeten physischen Netz vom Ursprung zum Ziel zu transportieren. Zu den Protokollen der Transportschicht zählen im Wesentlichen TCP und UDP. Auch ICMP kann der Transportschicht zugeordnet werden.

UDP (User Datagram Protocol [engl.])

Das User Datagram Protocol ist ein verbindungsloses Protokoll der Transportschicht im TCP/IP-Referenzmodell. Es sieht (anders als TCP) keine Transportquittungen oder andere Sicherheitsme-chanismen für die Korrektheit der Übertragung vor. Der Header enthält wie bei TCP zwei Portnum-mern, die eine Zuordnung zu Diensten der Anwendungsschicht erlauben, aber unabhängig von den bei TCP benutzten Portnummern sind. Der Aufwand zur Verarbeitung eines Datenpakets ist bei UDP geringer als bei TCP. Der geringere Aufwand wird jedoch durch mehrere Nachteile, wie die höhere Wahrscheinlichkeit für Paketverluste, erkauft.

Upload [engl.]

Mit einem Upload werden Daten vom eigenen Computer auf einen Rechner im Netz hochgeladen.

USB-Stick

Der USB-Stick ist ein mobiles Speichermedium, das an einen USB-Port angeschlossen wird.

Verfügbarkeit (engl. availability)

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese den Benutzern stets wie gewünscht zur Verfügung stehen. Verfügbarkeit ist ein Grundwert der IT-Sicherheit.

Verschlüsselung (engl. encryption)

Verschlüsselung (Chiffrieren) transformiert einen Klartext in Abhängigkeit von einer Zusatzinfor-mation, die Schlüssel genannt wird, in einen zugehörigen Geheimtext (Chiffrat), der für diejenigen, die den Schlüssel nicht kennen, nicht entzifferbar sein soll. Die Umkehrtransformation - die Zu-rückgewinnung des Klartexts aus dem Geheimtext - wird Entschlüsselung genannt.



Vertraulichkeit (engl. confidentiality)

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Vertraulich-keit ist ein Grundwert der IT-Sicherheit.

Virenschutzprogramm

Ein Virenschutzprogramm ist eine Software, die bekannte Computer-Viren, Computer-Würmer und Trojanische Pferde aufspürt, blockiert und gegebenenfalls beseitigt.

Virus (engl. virus)

Ein Computer-Virus ist eine nicht selbstständige Programmroutine, die sich nach ihrer Ausführung selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembe-reichen, an anderen Programmen oder deren Umgebung vornimmt.

Vollzugriff

Vollzugriff auf die Daten des internen Netzes bedeutet, dass der Nutzer mit dem entsprechenden Endgerät über die selben Berechtigungen verfügt, die er als Teil des internen Netzes hat oder hätte. Einschränkungen bei der Nutzung von Applikationen und minimale Beschneidungen der Berechti-gungen können aber technisch bedingt notwendig sein.

VPN (Virtual Private Network [engl.])

Ein Virtuelles Privates Netz (VPN) ist ein Netz, das physisch innerhalb eines anderen Netzes (oft dem Internet) betrieben wird, jedoch logisch von diesem Netz getrennt wird. In VPNs können unter Zuhilfenahme kryptografischer Verfahren die Integrität und Vertraulichkeit von Daten geschützt und die Kommunikationspartner sicher authentisiert werden, auch dann, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind. Der Begriff VPN wird oft als Bezeichnung für verschlüsselte Verbindungen verwendet, zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden, beispielsweise spezielle Funktionen des genutzten Transportprotokolls.

VPN-Gateway

Ein VPN-Gateway terminiert die durch das VPN realisierte verschlüsselte Verbindung, auch VPN-Tunnel genannt. Die nunmehr unverschlüsselten Daten leitet das VPN-Gateway an das adressierte interne Netz weiter.

WAP (Wireless Application Protocol [engl.])

Protokoll zum Zugriff auf das Internet vom Mobiltelefon.

WLAN (Wireless Local Area Network [engl.])

Mit WLAN werden drahtlose Netze bezeichnet, die auf der als IEEE 802.11 bezeichneten Gruppe von Standards basieren, die vom Institute of Electrical and Electronics Engineers (IEEE) spezifi-ziert wurden.



Zertifikat

Der Begriff Zertifikat wird in der Informationssicherheit in verschiedenen Bereichen mit unter-schiedlichen Bedeutungen verwendet. Zu unterscheiden sind vor allem das IT-Grundschutz-Zertifi-kat, Schlüsselzertifikate, IT-Sicherheitszertifikate und CC-Zertifikate.



10 Stichwort- und AbkürzungsverzeichnisAAA-Server........................5, 22, 25, 30, 31, 33, 35, 39, 42, 49, 58, 60, 62, 82-84, 96, 105, 109, 117AC (Access Control)..............................................................................................11, 23, 30, 102, 108ACL (Access Control List)...................................................................................................30, 35, 108ACS (Access Control System)...........................................................................................................23Administrator..........................................................................................32, 35, 55, 57, 60, 61, 64, 117ADSL (Asymmetric Digital Subscriber Line)......................................................................................9AES (Advanced Encryption Standard)...............................................................................................13AH (Authentication Header)................................................................................................14, 16, 122ALG (Application-Level Gateway)..............................................................................29, 70, 117, 125Anwendungsschicht............................................................................11, 14, 15, 22, 24, 117, 120, 126AP (Application process)...................................................................................................................12Authentifizierung............................................................................15, 22, 25, 30, 35, 39, 42, 117, 118Authentisierung 5, 6, 9-19, 22, 23, 26, 33-37, 39, 42, 46, 49, 50, 52, 55-61, 67-69, 71, 72, 79, 83, 88, 89, 91, 93, 94, 101, 105, 106, 115, 117, 118Authentizität...............................................................................................................18, 118, 121, 122Autorisierung..................................................................................22, 23, 25, 30, 33, 81, 83, 117, 118Backend............................................................................................................................................122Bedrohung...65, 67, 69, 73, 75, 77, 80, 81, 84-89, 91-95, 99, 104, 108, 109, 111, 112, 115, 118, 120, 124Benutzer-Kennung........................................................................................................10, 22, 117, 118Betriebssystem.............9, 11, 15, 20, 23, 24, 44, 47, 50, 53, 55, 58, 70-72, 90-92, 117, 118, 120, 123Biometrie..........................................................................................................................................118Bit (Binary Digit).............................................................................................................................121Bluetooth......................................................................................................................................60, 69BMI (Bundesministerium des Innern)..............................................................................................119BNetzA (Bundesnetzagentur).............................................................................................................61Broadcast-Domäne...........................................................................................................................124CC (Common Criteria)...............................................................................................................98, 128CD (Collision Detection)..........................................................................................................105, 119CD (Compact Disk).................................................................................................26, 71-73, 105, 119CD (Corporate Design).............................................................................................................105, 119CHAP (Challenge Handshake Authentication Protocol)...............................................10, 14, 79, 102Chiffrat.............................................................................................................................................126Chipkarte..........................................................................................................................................118clientless.............................................................................................................................................16CLIP (Calling Line Identification Presentation)................................................................................79COLP (Connected Line Identification Presentation).........................................................................79CPU (Central Processor Unit)............................................................................................................85Dateianhang....................................................................................................................6, 88, 105, 106Datensicherung.........................................................................................................38, 63, 85, 86, 119DDoS (Distributed Denial of Service).......................................................................................29, 119Diensteanbieter.....................................................................................................................91, 95, 119DNS (Domain Name System)..............................................................................................30, 35, 119DoS (Denial of Service)...................................................................................................6, 77, 93, 119DSL (Digital Subscriber Line)..............................................................8-13, 22, 27, 28, 33, 57, 78, 88DSLAM (Digital Subscriber Line Access Multiplexer).....................................................................10DV (Datenverarbeitung).....................................................................................................................63



E-Mail (Electronic Mail)....2, 5-7, 19-22, 26, 27, 29, 30, 35, 36, 43-47, 49-54, 58, 61, 62, 86, 88, 91, 95, 99-101, 105, 106, 108, 117, 120, 123-125EAP (Extensible Authentication Protocol).........................................................................................13EDGE (Enhanced Data Rates for Global Evolution).........................................................................33eingeschränkter Zugriff...............................................................................................21, 27, 39, 41-43ESP (Encapsulating Security Payload).................................................................................14, 16, 122Ethernet.........................................................................................................11, 26, 27, 33, 56, 57, 102EU (Europäische Union)..............................................................................................................37, 99Frontend............................................................................................................................................122GBG (Closed User Group)...................................................................................................................9Gefährdung.....6-8, 28, 37, 38, 61, 65, 67-69, 72, 75, 78, 80-82, 87-89, 91, 92, 98, 99, 101, 104-109, 111, 112, 115, 117, 120

DDoS (Distributed Denial of Service)...................................................................................29, 119DoS (Denial of Service)...............................................................................................6, 77, 93, 119Hacking.............................................................................................................................83-85, 120

GNU (GNU's not Unix)......................................................................................................................24GPL (General Public Licence)...........................................................................................................24GPRS (General Packet Radio Service)...................................................................................11, 12, 33GPS (Global Positioning System)..............................................................................................66, 106Grundarchitektur...5-8, 25-28, 31, 33, 34, 36-38, 40, 42-44, 47, 50, 55, 58, 60, 62, 65-67, 69, 70, 73, 75, 77, 81-89, 91-97, 99, 101, 104-109, 111, 112, 114Grundkonfiguration.......................................................................................6, 60, 89, 92, 93, 104-106GSM (Global System for Mobile Communication)................................................................10-13, 27Hacking.................................................................................................................................83-85, 120Hardware..............................10, 13, 20, 26, 35, 57, 59, 62, 71-73, 77, 83-85, 90, 91, 94, 95, 119, 124Hash..............................................................................................................................................18, 22HTML (Hypertext Markup Language).............................................................................................120HTTP (Hypertext Transfer Protocol)...........................................................................15, 87, 117, 120HTTPS (HTTP secure).........................................................................................................16, 87, 120Hypertext..................................................................................................................................117, 120ICMP (Internet Control Message Protocol).................................................................43, 81, 120, 126ID (Identifikations-Nummer)...........................................................................................................102IDS (Intrusion Detection System)..............................................................................................98, 121IEEE (Institute of Electrical and Electronics Engineers)...................................................13, 102, 127IETF (Internet Engineering Task Force)....................................................................15, 102, 103, 124IKE (Internet Key Exchange).............................................................................................................14IMAP (Internet Message Access Protocol)................................................................5, 19, 20, 50, 103Informationssicherheit..............................................................................................................120, 128INFOSEC (Information Security)....................................................................................................119Integrität......6, 7, 12-15, 18, 23, 25, 30, 37, 55, 59, 65, 66, 68-71, 74, 89-91, 96, 105, 106, 108, 109, 111, 112, 115, 118, 119, 121, 122, 127Internet-Schicht....................................................................................................................57, 69, 121Interoperabilität..........................................................................................................................58, 121IP (Internet Protocol)....7, 10, 11, 14-16, 28, 30, 31, 34, 35, 50, 57, 62, 75, 78, 81, 97, 103, 106, 108, 117, 120-126IPS (Intrusion Prevention System).............................................................................................98, 121IPSec (Internet Protocol Security)..............................................................11, 14, 16, 44, 87, 121, 122IPv4 (Internet Protocol Version 4)......................................................................................14, 119-122IPv6 (Internet Protocol Version 6)......................................................................................14, 119-122ISDN (Integrated Services Digital Network).........................................................9, 10, 16, 22, 78, 79



ISi (Internet-Sicherheit)..........................................................................................................................ISi-Check (ISi-Checkliste)...............................................................................................................7ISi-E (ISi-Einführung).................................................................................................................102ISi-L (ISi-Leitfaden)........................................................................................................................7ISi-Reihe......................................................................................................................................2, 7

ISP (Internet Service Provider)................................................................................................9, 11, 29IT-Grundschutz.................................................................................................................................128IT-Sicherheit.....................................................................................................................121, 126, 127

Authentizität...........................................................................................................18, 118, 121, 122Informationssicherheit.........................................................................................................120, 128Integrität......6, 7, 14, 15, 18, 25, 30, 37, 59, 65, 66, 68, 70, 71, 74, 89, 90, 96, 105, 106, 108, 109, 111, 112, 115, 118, 119, 121, 122, 127Verfügbarkeit. . .6-8, 12, 13, 22, 29, 36, 57-59, 65, 66, 70, 75-79, 82-84, 86-88, 92, 105, 106, 108, 109, 111, 112, 115, 118, 119, 126Vertraulichkeit 6-8, 14, 15, 18, 22, 25, 30, 58, 59, 65-68, 70, 71, 74, 91-96, 98, 99, 105, 106, 108, 109, 111, 112, 115, 118, 121, 122, 127

IT-Sicherheitszertifikat.....................................................................................................................128ITU (International Telecommunication Union).................................................................................81ITU-T (Telecommunication Standardization Sector).........................................................................81Keylogger...............................................................................................................................72, 90, 91Kryptografie............................13-15, 25, 30, 33, 34, 43, 45, 48, 51, 58, 68, 91, 95, 96, 101, 122, 127L2Sec (Layer 2 Security)....................................................................................................................14L2TP (Layer 2 Tunneling Protocol)................................................................................11, 14-16, 102L2TP over IPSec (Layer 2 Tunneling Protocol over IPSec)..............................................................16LAN (Local Area Network)...................................................12, 16, 31, 33, 81, 91, 95, 102, 103, 127Latenz.....................................................................................................................................8, 80, 122LDAP (Lightweight Directory Access Protocol)...............................................................................30LTSP (Linux Terminal Server Project)..............................................................................................24MacOS (Macintosh Operating System)............................................................................................118Middleware.....................................................................................................5, 21, 30, 44-46, 53, 122MMS (Multimedia Messaging Service).................................................................................26, 56, 69Modem (Modulator/Demodulator)................................................................................9-12, 22, 57, 79MPLS (Multiprotocol Label-Switching)............................................................................................96NAT (Network Address Translation).....................................6, 14, 16, 57, 58, 87, 103, 105, 106, 122NATO (North Atlantic Treaty Organization).....................................................................................99Netzzugangsschicht...............................................................................................................10-14, 124NOC (Network Operation Center).....................................................................................5, 22, 91, 95offline.........................................................................................................................................20, 122OMA (Object Management Architecture)..................................................................................20, 125Overprovisioning..........................................................................................................75, 82, 106, 122Paketfilter.......................25, 29-31, 33, 35, 37, 40, 42, 60, 62, 72, 82, 83, 87, 105, 108-111, 123, 125PAP (Paketfilter – Application-Level Gateway – Paketfilter)...................................................83, 108PAP (Password Authentication Protocol)....................................................................................10, 14Passwort....................................................................8, 10, 11, 17-19, 22, 23, 36, 55, 57, 61, 118, 123Patch...................................................................................................................26, 63, 70, 73, 85, 123PC (Personal Computer).........................5, 7, 9, 21, 24, 26, 27, 33, 55, 65, 86, 90, 101, 102, 105, 110PCMCIA (Personal Computer Memory Card International Association)....................................11-13PDA (Personal Digital Assistant)...................................................................................21, 88, 94, 123PIM (Personal Information Management)......................................................21, 27, 29, 43, 53, 61, 86PIN (Persönliche Identifikationsnummer)....................................................10, 18, 19, 36, 55, 94, 125



PKI..........................................................................................................................................................Public-Key-Verfahren....................................................................................................................17Public-Key-Verschlüsselung.........................................................................................................18

PKI (Public Key Infrastructure).................................................................................................18, 123PPP (Point-to-Point Protocol)..............................................................................9-11, 14-16, 102, 123PPTP (Point-to-Point Tunneling Protocol).................................................................................11, 102Protokoll.................................................................................................................................................

HTTP (Hypertext Transfer Protocol).......................................................................15, 87, 117, 120HTTPS (HTTP secure)....................................................................................................16, 87, 120ICMP (Internet Control Message Protocol).............................................................43, 81, 120, 126IP (Internet Protocol).......7, 10, 11, 14-16, 28, 30, 31, 34, 35, 50, 57, 62, 75, 78, 81, 97, 103, 106, 108, 117, 120-126IPSec (Internet Protocol Security).........................................................11, 14, 16, 44, 87, 121, 122IPv4 (Internet Protocol Version 4).................................................................................14, 119-122IPv6 (Internet Protocol Version 6).................................................................................14, 119-122L2TP (Layer 2 Tunneling Protocol)...........................................................................11, 14-16, 102LDAP (Lightweight Directory Access Protocol)...........................................................................30PPP (Point-to-Point Protocol).........................................................................9-11, 14-16, 102, 123PPTP (Point-to-Point Tunneling Protocol)............................................................................11, 102PTP (Point-to-Point Protocol)................................................................................................10, 123RFP (Remote Framebuffer Protocol).............................................................................................24SMTP (Simple Mail Transfer Protocol)................................................................19, 103, 117, 125SSL (Secure Sockets Layer)...........................................................14-16, 19, 23, 59, 120, 125, 126TCP (Transmission Control Protocol).................................10, 15, 16, 50, 117, 120, 121, 123, 126TLS (Transport Layer Security)...........................................................13-16, 19, 23, 103, 120, 126UDP (User Datagram Protocol).....................................................................................16, 120, 126WAP (Wireless Application Protocol)..................................................................................21, 127

Proxy........................................................5, 24, 26, 29-31, 33, 35, 37-40, 42, 43, 50, 60, 62, 117, 123Proxy-Server...........................................................................5, 24, 31, 33, 35, 37-40, 42, 60, 62, 123Prüfsumme............................................................................................................................17, 79, 124PSH (Push).....................................................................................................43, 53, 54, 58, 74, 88, 99PSK (Phase Shift Keying).......................................................................................................17-19, 34PSTN (Public Switched Telephone Network)......................................................................................9PTP (Point-to-Point Protocol)....................................................................................................10, 123Public-Key-Verfahren........................................................................................................................17Public-Key-Verschlüsselung..............................................................................................................18QoS (Quality of Services)................................................................................................................122RADIUS (Remote Authentication Dial-In User Service)..............................................22, 23, 30, 102RDP (Remote Desktop Protocol).......................................................................................................23Redundanz..........................................................................................................................................84Restrisiko................................................................................36, 66-78, 80-96, 98-101, 104, 107, 124RFC (Request for Comments)....................................................................................14, 102, 103, 124RFP (Remote Framebuffer Protocol).................................................................................................24Risiko..................................................................7, 26, 30, 67, 71, 77, 90, 96, 108, 109, 111, 112, 124Router.................................................................................................................................12, 122, 124RSA (Rivest, Shamir, Adleman Public Key Encryption).................................................................125SAT (SIM Application Toolkit).................................................................................................95, 115Schadprogramm............................................................6, 26, 27, 63, 69, 70, 72, 89, 93, 105, 106, 120

Keylogger...........................................................................................................................72, 90, 91Trojanisches Pferd.......................................................................................................................127



Virus.........................................................................................................................26, 56, 120, 127Wurm...........................................................................................................................................127

Schlüsselzertifikat.............................................................................................................................128Schutzbedarf. . .6-8, 28, 31, 36, 37, 55, 56, 58, 59, 62, 65-71, 73-76, 78, 79, 81-84, 86, 87, 89-96, 98, 99, 101, 104-112, 114, 115, 124, 125Schwachstelle...................................58, 65, 67, 69, 70, 73, 75, 77, 80, 81, 84-89, 91-95, 99, 120, 124SDSL (Symmetric Digital Subscriber Line).........................................................................................9Segmentierung....................................................................................................................................73Sicherheits-Gateway...........................................................5, 28, 29, 83, 103, 107, 108, 121, 122, 125

ALG (Application-Level Gateway).........................................................................29, 70, 117, 125Paketfilter..................25, 29-31, 33, 35, 37, 40, 42, 60, 62, 72, 82, 83, 87, 105, 108-111, 123, 125PAP (Paketfilter – Application-Level Gateway – Paketfilter)...............................................83, 108

Sicherheitsleitlinie............................................................................................................................125Sicherheitsmaßnahme.............................................................................7, 26, 91, 95, 98, 99, 101, 125Signalisierung.............................................................................................................................46, 125SIM (Subscriber Identity Module)..........................................................................10-12, 95, 106, 115SINA (Sichere Inter-Netzwerk Architektur)......................................................................................20Skalierbarkeit..........................................................................................................................30, 58, 82SMS (Short Message Service)................................................................................................43, 49, 94SMTP (Simple Mail Transfer Protocol).....................................................................19, 103, 117, 125SSH (Secure Shell).....................................................................................................................15, 103SSL (Secure Sockets Layer)................................................................14-16, 19, 23, 59, 120, 125, 126Switch...........................................................................................................................................9, 125SyncML.................................................................................................................5, 20, 47-50, 53, 125Tag......................................................................................................................................................75TAN (Transaktionsnummer)......................................................................................................18, 125TCG (Trusted Computing Group)......................................................................................................68TCP (Transmission Control Protocol)......................................10, 15, 16, 50, 117, 120, 121, 123, 126TCP Control Flags..................................................................................................................................

PSH (Push).................................................................................................43, 53, 54, 58, 74, 88, 99TCP/IP-Referenzmodell.........................................................................................................................

Anwendungsschicht.......................................................................11, 14, 15, 22, 24, 117, 120, 126Internet-Schicht................................................................................................................57, 69, 121Netzzugangsschicht..........................................................................................................10-14, 124Transportschicht.............................................................................................15, 117, 121, 123, 126

TLS (Transport Layer Security)................................................................13-16, 19, 23, 103, 120, 126TPM (Trusted Platform Module)..........................................................................................59, 68, 106TR (Technische Richtlinie)......................................................................................................102, 103Transportschicht.................................................................................................15, 117, 121, 123, 126Trojanisches Pferd............................................................................................................................127UDP (User Datagram Protocol)..........................................................................................16, 120, 126UMTS (Universal Mobile Telecommunications System)...........................8, 11-13, 22, 27, 28, 33, 86Upload..............................................................................................................................9, 12, 28, 126URL (Uniform Resource Locator)...................................................................................................120USB (Universal Serial Bus)..................................................................................................13, 35, 126

USB-Stick........................................................................................................................13, 35, 126USENET (User Network).................................................................................................................102Verfügbarkeit 6-8, 12, 13, 22, 29, 36, 57-59, 65, 66, 70, 75-79, 82-84, 86-88, 92, 105, 106, 108, 109, 111, 112, 115, 118, 119, 126Vermittlungsschicht..........................................................................................................................121



Verschlüsselung......................................................................................................................................Chiffrat.........................................................................................................................................126

Vertraulichkeit.....6-8, 14, 15, 18, 22, 25, 30, 58, 59, 65-68, 70, 71, 74, 91-96, 98, 99, 105, 106, 108, 109, 111, 112, 115, 118, 121, 122, 127Virenschutz...........................................................................................................26, 27, 56, 63, 69, 70Virenschutzprogramm..............................................................................................56, 63, 70, 98, 127Virus...............................................................................................26, 27, 56, 63, 69, 70, 98, 120, 127VNP (Virtual Network Computing)...................................................................................................24Vollzugriff..........................................................................................................16, 21, 27, 42, 43, 127VPN (Virtual Private Network)....5, 6, 13-20, 22, 25, 29-31, 33-35, 39, 42-53, 58-62, 65, 68, 70, 72, 81-84, 87, 91, 93, 96-99, 101-103, 105, 106, 108, 109, 127VPN-Gateway.....5, 14, 18, 19, 22, 25, 29, 30, 33-35, 49, 52, 60, 62, 65, 70, 72, 81-84, 96, 105, 108, 109, 127VS (Verschlusssache)..........................................................................................58, 90-92, 98, 99, 106VS (Virtual Storage).........................................................................................................................106WAN (Wide Area Network)............................................................................................................122WAP (Wireless Application Protocol).......................................................................................21, 127WiMAX (Worldwide Interoperability for Microwave Access).........................................................13WKS (Workstation)............................................................................................................................20WLAN (Wireless Local Area Network)......6, 8, 12, 13, 27, 28, 33, 37, 57, 61, 69, 78, 86, 88, 91, 95, 102, 103, 105, 106, 127World Wide Web..............................................................................................................................118WPA (WiFi Protected Access)...........................................................................................................13WPA2 (Wi-Fi Protected Access 2).....................................................................................................13Wurm................................................................................................................................................127WWW (World Wide Web)...............................................................................................................118X-Server.............................................................................................................................................24X11-Protokoll.....................................................................................................................................24Zertifikat.......................................................................................13, 17, 18, 35, 68, 72, 106, 115, 128

IT-Sicherheitszertifikat................................................................................................................128


Sicherer Fernzugriff auf das interne Netz

Documents