- Der Einsatz der Fernwartung MUSS an die Institution angepasst werden.
- Die Fernwartung MUSS hinsichtlich technischer und organisatorischer Aspekte bedarfsgerecht geplant werden.
- Dabei MUSS mindestens berücksichtigt werden, welche IT-Systeme ferngewartet werden sollen und wer dafür zuständig ist.
- Wird per Fernwartung auf Desktop-Umgebungen von Clients zugegriffen, MUSS der Benutzer des IT-Systems diesem Zugriff explizit zustimmen.
- Die möglichen Zugänge und Kommunikationsverbindungen für die Fernwartung MÜSSEN auf das notwendige Maß beschränkt werden.
- Alle Fernwartungsverbindungen MÜSSEN nach dem Fernzugriff getrennt werden.
- Es MUSS sichergestellt werden, dass Fernwartungssoftware nur auf IT-Systemen installiert ist, auf denen sie benötigt wird.
- Fernwartungsverbindungen über nicht vertrauenswürdige Netze MÜSSEN verschlüsselt werden.
- Alle anderen Fernwartungsverbindungen SOLLTEN verschlüsselt werden.
- Diese Anforderung ist entfallen.
- Die Institution SOLLTE festlegen, unter welchen Umständen Online-Dienste zur Fernwartung genutzt werden dürfen, bei denen die Verbindung über einen externen Dienstleister hergestellt wird.
- Der Einsatz solcher Dienste SOLLTE generell auf möglichst wenige Fälle beschränkt werden.
- Die IT-Systeme SOLLTEN keine automatisierten Verbindungen zum Online-Dienst aufbauen.
- Es SOLLTE sichergestellt werden, dass der eingesetzte Online-Dienst die übertragenen Informationen Ende-zu-Ende-verschlüsselt.
- Die Institution SOLLTE eine Richtlinie zur Fernwartung erstellen, in der alle relevanten Regelungen zur Fernwartung dokumentiert werden.
- Die Richtlinie SOLLTE allen Verantwortlichen bekannt sein, die an der Konzeption, dem Aufbau und dem Betrieb der Fernwartung beteiligt sind.
- Die Fernwartung SOLLTE geeignet dokumentiert werden.
- Aus der Dokumentation SOLLTE hervorgehen, welche Fernwartungszugänge existieren und ob diese aktiviert sind.
- Die Dokumente SOLLTEN an geeigneten Orten und vor unberechtigtem Zugriff geschützt abgelegt werden.
- Die Dokumente SOLLTEN im Rahmen des Notfallmanagements zur Verfügung stehen.
- Nur als sicher eingestufte Kommunikationsprotokolle SOLLTEN eingesetzt werden.
- Dafür SOLLTEN sichere kryptografische Verfahren eingesetzt werden.
- Die Stärke der verwendeten kryptografischen Verfahren und Schlüssel SOLLTE regelmäßig überprüft und bei Bedarf angepasst werden.
- Wird auf die Fernwartungszugänge von IT-Systemen im internen Netz über ein öffentliches Datennetz zugegriffen, SOLLTE ein abgesichertes Virtuelles Privates Netz (VPN) genutzt werden.
- Die Auswahl geeigneter Fernwartungswerkzeuge SOLLTE sich aus den betrieblichen, sicherheitstechnischen und datenschutzrechtlichen Anforderungen der Institution ergeben.
- Alle Beschaffungsentscheidungen SOLLTEN mit dem System- und Anwendungsverantwortlichen sowie dem Informationssicherheitsbeauftragten abgestimmt werden.
- Organisatorische Verwaltungsprozesse zum Umgang mit den ausgewählten Werkzeugen SOLLTEN etabliert werden.
- Es SOLLTE eine Bedienungsanleitung für den Umgang mit den Fernwartungswerkzeugen vorliegen.
- Ergänzend zu den allgemeinen Schulungsmaßnahmen SOLLTEN Musterabläufe für die passive und die aktive Fernwartung erstellt und kommuniziert werden.
- Zusätzlich zu den allgemeinen Schulungsmaßnahmen SOLLTE der IT-Betrieb besonders im Umgang mit den Fernwartungswerkzeugen sensibilisiert und geschult werden.
- Es SOLLTE ein Ansprechpartner für alle fachlichen Fragen zu den Fernwartungswerkzeugen benannt werden.
- Diese Anforderung ist entfallen.
- Diese Anforderung ist entfallen.
- Diese Anforderung ist entfallen.
- Diese Anforderung ist entfallen.
- Diese Anforderung ist entfallen.
- Für die Fernwartung SOLLTEN Mehr-Faktor-Verfahren zur Authentisierung eingesetzt werden.
- Die Auswahl der Authentisierungsmethode und die Gründe, die zu der Auswahl geführt haben, SOLLTEN dokumentiert werden.
- Fernwartungszugänge SOLLTEN im Identitäts- und Berechtigungsmanagement der Institution berücksichtigt werden.
- Diese Anforderung ist entfallen.
- Wird die Fernwartung von Externen durchgeführt, SOLLTEN alle Aktivitäten von internen Mitarbeitern beobachtet werden.
- Alle Fernwartungsvorgänge durch Dritte SOLLTEN aufgezeichnet werden.
- Mit externem Wartungspersonal MÜSSEN vertragliche Regelungen über die Sicherheit der betroffenen IT-Systeme und Informationen geschlossen werden.
- Sollte der Dienstleister mehrere Kunden fernwarten, MUSS gewährleistet sein, dass die Netze seiner Kunden nicht miteinander verbunden werden.
- Die Pflichten und Kompetenzen des externen Wartungspersonals SOLLTEN vertraglich festgehalten werden.
- Die Fernwartungsschnittstellen SOLLTEN so konfiguriert sein, dass es dem Dienstleister nur möglich ist, auf die ITSysteme und Netzsegmente zuzugreifen, die für seine Arbeit benötigt werden.
- Ein Meldeprozess für Support- und Fernwartungsanliegen SOLLTE etabliert werden.
- Es SOLLTEN Mechanismen zur Erkennung und Abwehr von hochvolumigen Angriffen, TCP-State-Exhaustion-Angriffen und Angriffen auf Applikationsebene implementiert sein.
- Alle Fernwartungsvorgänge SOLLTEN protokolliert werden.
- Es SOLLTE ein Konzept entwickelt werden, wie die Folgen eines Ausfalls von Fernwartungskomponenten minimiert werden können.
- Dieses SOLLTE festhalten, wie im Falle eines Ausfalls zu reagieren ist.
- Durch den Notfallplan SOLLTE sichergestellt sein, dass Störungen, Schäden und Folgeschäden minimiert werden.
- Außerdem SOLLTE festgelegt werden, wie eine zeitnahe Wiederherstellung des Normalbetriebs erfolgen kann.
- Bei der Beschaffung von neuen IT-Systemen SOLLTE geprüft werden, ob diese IT-Systeme oder einzelne Komponenten der IT-Systeme über Funktionen zur Fernwartung verfügen.
- Werden diese Funktionen nicht verwendet, SOLLTEN sie deaktiviert werden.
- Die Funktionen SOLLTEN ebenfalls deaktiviert werden, wenn sie durch bekannte Sicherheitslücken gefährdet sind.
- Werden Fernwartungsfunktionen verwendet, die in die Firmware einzelner Komponenten integriert sind, SOLLTEN deren Funktionen und der Zugriff darauf so weit wie möglich eingeschränkt werden.
- Die Fernwartungsfunktionen SOLLTEN nur aus einem getrennten Managementnetz erreichbar sein.
- Direkte Fernwartungszugriffe eines Administrators von einem Fernwartungs-Client außerhalb der Managementnetze auf ein IT-System SOLLTEN vermieden werden.
- Ist ein solcher Zugriff notwendig, SOLLTE die Kommunikation entkoppelt werden.
- Dazu SOLLTEN Sprungserver verwendet werden.
- Der Zugriff auf Sprungserver SOLLTE nur von vertrauenswürdigen IT-Systemen aus möglich sein.
- Zur Fernwartung SOLLTEN IT-Systeme eingesetzt werden, die ausschließlich zur Administration von anderen IT-Systemen dienen.
- Alle weiteren Funktionen auf diesen IT-Systemen SOLLTEN deaktiviert werden.
- Die Netzkommunikation der Administrationssysteme SOLLTE so eingeschränkt werden, dass nur Verbindungen zu IT-Systemen möglich sind, die administriert werden sollen.
- Für Fernwartungszugänge SOLLTEN redundante Kommunikationsverbindungen eingerichtet werden.
- Die Institution SOLLTE Anbindungen zum Out-Of-Band-Management vorhalten.
- Diese Anforderung ist entfallen.