Anlage 2

Minimierung der App-Berechtigungen.
Um auf Daten zuzugreifen, die in Ihrem Gerät gespeichert sind, benötigen Apps verschiedene Berechtigungen. So sind z.B. Lese- oder auch Schreibberechtigungen für den Zugriff auf Daten außerhalb der jeweiligen App erforderlich. Bei der Installation von neuen Apps werden Sie aufgefordert, diese Berechtigungen zu erteilen. Beschränken Sie sich hier auf die absolut notwendigen Rechte und überlegen Sie, ob die neu installierte App beispielsweise unbedingt Zugriff auf Ihr Adressbuch oder den Standort benötigt. In der Regel können Sie die Rechte auch später ergänzen, wenn der Bedarf tatsächlich festgestellt wird.

Sicherstellung von Berechtigungen
Nutzen Sie die Autorisierungskomponente um sicherzustellen, dass vom angemeldeten Nutzer nur Aktionen durchgeführt werden können, zu denen er berechtigt ist. Dazu gehört zwingend, dass ausschließlich nur die eigenen bzw. zur Nutzung explizit freigegebenen Daten genutzt werden dürfen. Beachten Sie auch die ggfs. verschiedenen Berechtigungen zum Lesen, Schreiben und Löschen sowie die Kontrolle des Zugriffs auf temporäre Daten bzw. Dateien.

Benutzer sollten darauf achten, dass zur Verschlüsselung von Webseiten TLS verwendet wird.
Die oben beschriebene kryptografische Sicherung von Webseiten kann mittels verschiedene sogenannter Protokolle umgesetzt werden. Achten Sie darauf, dass hier TLS („Transport Layer Security“) in einer möglichst aktuellen Version, mindestens jedoch TLS 1.2, zum Einsatz kommt. Sie können dies in der Regel erkennen, wenn Sie das entsprechende Symbol (meist ein Schloss) im Browser anklicken und sich dort in der Detailansicht die Sicherheitsangaben anzeigen lassen.

Es sollten neben dem Konto des Administrators Benutzerkonten eingerichtet werden, die lediglich eingeschränkte Rechte besitzen. Diese Nutzerkonten mit eingeschränkten Rechten reichen in der Regel völlig aus, um die tägliche Arbeit am Rechner durchführen zu können. Für Änderungen an der Systemkonfiguration bzw. die Installation von neuer Software steht das Administratorkonto mit vollen Privilegien jederzeit zur Verfügung. Die in allen aktuellen Betriebssystemen vorhandene „Benutzerkontensteuerung“ sollte genutzt und nicht deaktiviert werden. Schränken Sie die Zugriffsrechte für "normale" Nutzer soweit wie möglich ein. Fangen Sie dazu bei der Einrichtung der Nutzer mit minimal notwendigen Rechten an und erweitern Sie diese erst dann, wenn sie tatsächlich benötigt werden.

In reinen Windows-Netzen sollte zur zentralen Authentisierung für Single Sign On (SSO) ausschließlich Kerberos eingesetzt werden.
Kerberos bietet eine sichere und einheitliche Authentifizierung in einem ungesicherten TCP/IP-Netzwerk. Die Authentifizierung übernimmt eine vertrauenswürdige dritte Partei (auch als Trusted Third Party bezeichnet), in Windows Netzen z.B. ein Domänenkontroller. Diese dritte Partei ist ein besonders geschützter Kerberos-5-Netzwerkdienst. Kerberos unterstützt Single Sign On, das heißt ein Benutzer muss sich nur einmal anmelden. Im Anschluss kann er alle verfügbaren Netzwerkdienste nutzen, ohne ein weiteres Mal sein Passwort eingeben zu müssen. Sollten Sie alternative zentrale Authentisierungslösungen verwenden wollen oder müssen, prüfen Sie anhand unabhängiger Tests, ob diese eine vergleichbare Sicherheit bieten.

Es sollte eine verbindliche Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten erstellt werden.
Diese Richtlinie richtet sich direkt an die Mitarbeiter und darin sollte verbindlich geregelt sein, wie und in welcher Art mobile Endgeräte genutzt werden dürfen, wie diese zu verwahren sind, was bei Verlust zu tun ist (Verlustmeldung) sowie welche Apps genutzt oder auch nicht genutzt werden dürfen. Es ist darauf hinzuweisen, dass die Geräte keinesfalls "gerootet" (Verschaffung von mehr Rechten als vom Hersteller vorgesehen) und betrieblich vorinstallierte Software, insbesondere eine ggfs. eingesetzte Verwaltungssoftware, nicht deinstalliert werden dürfen.

Sprachassistenten sollten nur eingesetzt werden, wenn sie zwingend notwendig sind.
Vor allem bei der Verwendung von Smartphones spielen Sprachassistenten eine immer größere Rolle. So werden „Siri“, „Alice“ oder andere Sprachassistenten gerne z.B. bei der Anwahl eines Telefonteilnehmers während der Autofahrt genutzt, um ohne das Smartphone in die Hand zu nehmen einen Anruf zu tätigen. Seien Sie sich allerdings bewusst, dass wenn Sie Ihrem Smartphone „Anrufen Willi Müller“ zurufen, Ihr Smartphone Ihnen ohne Daten ins Internet zu übertragen, keine Hilfe anbieten und damit auch nicht wählen wird. Grundsätzlich bedeutet dies daher, dass bei der Nutzung von Sprachassistenten immer Ihre Daten, neben den eigentlichen Sprachdaten ggfs. auch weitere Daten wie Ihr aktueller Standort, ins Internet zum Anbieter des Sprachassistenten übertragen werden. Beachten Sie auch, dass Ihr Gerät bei Aktivierung des Sprachassistenten mittels "Aktivierungswort" dauerhaft lauscht, um das Aktivierungskennwort zu erkennen. Ggfs. kann dabei die Spracherkennung auch ungewollt oder absichtlich von Unberechtigten eingeschaltet und somit das Gerät genutzt werden. Überlegen Sie daher ob es zwingend notwendig ist, Sprachassistenten einzusetzen.

Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden.
Dies gilt auch für die Nutzung von klassischen Mobiltelefonen. In einer solchen Richtlinie sollte geregelt werden:

• wie und wofür das Mobiltelefon genutzt werden darf,
• wie das Gerät zu schützen ist,
• was bei Verlust des Gerätes zu tun ist,
• ob das Gerät ausschließlich dienstlich genutzt werden darf usw. Nehmen Sie ggfs. weitere Punkte in die Richtlinie auf, die aus Ihrer Sicht relevant sind.

Es sollte geregelt sein, welche Daten über Mobiltelefone übertragen werden dürfen. Diese sind zu verschlüsseln.
Erstellen Sie dazu eine verbindliche Liste, welche Daten ggf. mit dem mobilen Endgerät übertragen/versendet werden dürfen. Beschränken Sie dies auf notwendige Anwendungen. Die Übertragung von Daten, insbesondere wenn es sich dabei um personenbezogene Daten handelt, darf selbstverständlich nur verschlüsselt erfolgen.

Es sollte klare schriftliche Regeln dazu geben, ob, wie und zu welchen Anlässen Wechseldatenträger mitgenommen werden dürfen.
Die Mitnahme von Daten aus der Praxis, dem Büro ist grundsätzlich problematisch, da der Schutz der Daten außerhalb der Praxis-/Büroräume unter Umständen nicht gewährleistet werden kann. Regeln Sie daher unbedingt schriftlich, ob die Mitnahme von Daten grundsätzlich erlaubt ist und unter welchen Bedingungen und Vorgaben dies gestattet sein kann.
Hier sind die oben aufgeführten Punkte wie Aufbewahrung, Kennzeichnung und Verschlüsselung des Wechseldatenträgers unbedingt zu formulieren.

Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen sollten automatisch an ein zentrales Management-System übermittelt und dort protokolliert werden.
Ein sogenannter LogServer als zentrales Management-System sammelt aus verschiedenen Systemen, in diesem Fall der Netzkomponenten wie Router und Firewalls die dort anfallenden Protokolle in Form von Logfiles. Die Grundidee ist einfach: Alle Logfiles fließen an einer Stelle zusammen, werden dort so lange wie nötig gespeichert und lassen sich von den Administratoren, Entwicklern und gegebenenfalls weiteren Beteiligten bei Bedarf strukturiert analysieren. Zentrale LogServer stehen für Linux und Windows auch als freie kostenlose Software zur Verfügung.