Intranet des Bundes

  1. Ziel der Arbeitsgruppe Intranet des Bundes
  2. Kategorisierung der Zugänge von Mitarbeitern
  3. Dokumentation und Protokollierung

Sicherheitsdomänen und Zugang
Sicherheitsdomänen (PDF 73 kB)

Ziel der Arbeitsgruppe Intranet des Bundes

Ziel der Arbeitsgruppe ist es, die Zugänglichkeit zum Intranet zu vereinfachen. Es soll also von komplizierten und lokal eingeschränkten Zugängen zum Intranet abgegangen werden. Außerdem soll auch die Möglichkeit bestehen, Dienste, die am Dienstort verfügbar sind, in kontrollierter Weise auch dezentral anzubieten.

Die Zugänge sind auf die Bedürfnisse der Ressorts abzustimmen und mit der notwendigen Sicherheit anzubieten. Folgende Zugänge wurden identifiziert:

Zugang zum Intranet außerhalb des Dienstortes

Dabei befindet sich die Benutzerin beziehugsweise der Benutzer mit seinem Dienstgerät außerhalb der Sicherheitsdomäne und will die für das Intranet freigegebenen Dienste nutzen können.

Zugang zu Services des Amtes außerhalb des Dienstortes

Dabei befindet sich die Benutzerin beziehugsweise der Benutzer mit seinem Dienstgerät außerhalb der Sicherheitsdomäne und will freigegebene Services (zum Beispiel Mail, Fileservices, etc.) der eigenen Sicherheitsdomäne nutzen können.

Zugang zu Services einer anderen Dienststelle

Dabei befindet sich der Benutzer mit seinem Dienstgerät außerhalb der Sicherheitsdomäne und will freigegebene Services (zum Beispiel Mail, Fileservices, etc.) einer fremden Sicherheitsdomäne nutzen können.

Einbindung von Heimarbeitsplätzen

Diese Zugänge sind gleich zu sehen wie die Zugänge von außerhalb des Dienstortes

Einbindung von Wireless Netzwerken (WLAN)

Eine einfache Art WLAN-Zugänge zu konfigurieren ist es, sie ungeachtet Ihres Standortes wie Zugänge aus öffentlichen oder privaten Internet Service Providern (ISP) zu behandeln. Die zur Verfügung stehenden Services sind dann all jene, die auch von öffentlichen/privaten ISPs zur Verfügung stehen.

Zum Seiteninhalt

Kategorisierung der Zugänge von Mitarbeitern

Mitarbeiter intern

Der Mitarbeiter befindet sich mit seinem Dienstgerät innerhalb der Sicherheitsdomäne.

Mitarbeiter LAN

Der Mitarbeiter befindet sich mit seinem Dienstgerät außerhalb der eigenen Sicherheitsdomäne aber innerhalb des Intranets (Local Area Network - LAN), d.h. in einer anderen Sicherheitsdomäne.

Mitarbeiter extern I: am Dienstgerät, nicht vor Ort

Der Mitarbeiter befindet sich mit seinem Dienstgerät außerhalb der Sicherheitsdomäne und außerhalb des Intranets. Dieser Mitarbeiter hat einen höheren Vertrauensstatus, da sein Dienstgerät mehr Vertrauen zulässt (Zertifikate können lokal installiert sein) als das Gerät bei Mitarbeiter extern II.

Mitarbeiter extern II: nicht am Dienstgerät, nicht vor Ort

Der Mitarbeiter befindet sich außerhalb der Sicherheitsdomäne, außerhalb des Intranets und arbeitet nicht an seinem Dienstgerät. Er nutzt dabei z.B. seinen Heim-PC oder befindet sich auf einem öffentlich zugänglichen Gerät (z.B. Internetcafe, etc.). Dabei sind nur eingeschränkte Services erlaubt.

Mitarbeiter WLAN

Der Mitarbeiter befindet sich in der Sicherheitsdomäne, ist aber über eine WLAN-Verbindung verbunden. Bei dieser WLAN-Verbindung werden Dienste so angeboten, wie beim Mitarbeiter extern.

Mitarbeiter VPN

Der Mitarbeiter befindet sich außerhalb der Sicherheitsdomäne, ist aber über eine Virtual Private Network (VPN) Verbindung mit dieser verbunden.

Zum Seiteninhalt

Dokumentation und Protokollierung

Die Architektur beziehungsweise die angebotenen Dienste der (erweiterten) Sicherheitsdomäne müssen ausreichend dokumentiert werden. Dies ermöglicht eine einfachere Kontrolle durch Dritte. Die angebotenen Dienste müssen ebenfalls Protokolle erstellen. Zu den darin enthaltenen Informationen gehören unter anderem

  • die Zeit und das Datum wann das Service genutzt wurde,
  • die Internetadresse des Clients und
  • Fehlermeldungen.

Diese Daten können in eine spezielle Protokolldatei geschrieben oder an die Protokollierungsroutinen des Betriebssystems übergeben werden. Es müssen alle Änderungen und alle Zugriffe auf Servern protokolliert werden. Hier zugehörige Daten sind zum Beispiel Rechnernamen, IP-Adressen, Authentisierungsinformationen und dergleichen.