Teil 1
Brauchen wir das?
Einstufung der Sicherheitsanforderungen
Für die Öffentlichkeitsarbeit von Unternehmen, Behörden und Vereinen ist es das Ziel, allgemein zugängliche Webseiten zur Verbreitung ihrer Anliegen bereitzustellen. Die Verbreitung der Werbung ist ausdrücklich gewünscht. Die entsprechenden Webseiten enthalten meistens keine vertraulichen Informationen, die die Anwendung von besonderen Maßnahmen zum personenbezogenen Datenschutz erforderlich machen.
Verglichen mit anderen sicherheitsrelevanten Informationssystemen in der Verwaltung, Verteidigung, Polizei, Forschung, Medizin oder Unternehmen wird eine Internetpräsenatition zur reinen Öffentlichkeitsarbeit als System mit geringen Sicherheitsanforderungen eingestuft.
Grundsatz
Die Einstufung der Sicherheitsanforderungen bedeutet natürlich nicht, unachtsam mit der Sicherheitsthematik umzugehen. Die bei der Internetpräsentation verwendeten Sicherheitsmaßnahmen sollen dem Grundsatz der Wirtschaftlichkeit für den administrativen Aufwand unter Verwendung von bewährten Kommunikationsprotokollen folgen.
Zusätzlich sind organisatorische und administrative Maßnahmen mit einem vertretbaren Aufwand erforderlich. Vor der Freigabe der Internetseiten sollten die durchgeführten Maßnahmen mit den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik verglichen und ggf. weitere Maßnahmen durchgeführt werden. Zum Schutz sollten handelsübliche Produkte eingesetzt werden (Firewall, Antivirus, Anit-Spam, Web-Content-Filtering etc.), die durch Routine-Updates aktuell zu halten sind.
Technische Systembeschreibung
Die meisten (kleineren und mittleren) Internetpräsentationen ohne online-Datenbank enthalten Dateien, die per Dateitransfer (Protokoll ftp) vom einem Radaktionsrechner (Windows PC) auf einen abgesetzten Webserver bei einem Provider veröffentlicht werden, die über Internet (URL) erreicht und mit einem Browser angezeigt werden können (Protokoll http).
Dynamische Elemente werden häufig per php auf dem Webserver und per Javascript auf dem jeweiligen Client ausgeführt. Bei den transferierten Dateien handelt es sich um den Typ .html, .php, bei Bildern und Grafiken um .jpg, .gif und für download-Dateien .pdf sowie .doc Mediendateien sind mit QuickTime-, Windows Media-, RealMedia- und Flash-Plugins bzw. Wiedergabeprogrammen darstellbar. Vor dem Einsatz dieser Anwendungen muß geprüft werden, ob Gefahren von diesen Technologien ausgehen.
Kommunikation (Kontakt) wird über einen php-Gateway auf dem Webserver, der dann die Nachricht per email überträgt, ausgeführt. Es sollte keine aktiven Elemente, Cookies oder online-Schnittstellen zu operativen Systemen geben.
Für den Informationsaustausch mit anderen Internetplattformen und Internetpräsentationen können XML-Dateien unter der Verwendung von RSS-Newsfeeds vorgesehen werden.
Fortsetzung in der nächsten Teltow-Fläming-Post:
Bedrohungsanalyse und Sicherheitsmaßnahmen
