Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Anlagentechnik , Information/Kommunikation

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 23.10.2013
- CIO-02850/0110-0006 -

Bezug: Gem. RdErl. . v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 ¹⁷

1. Gegenstand und Geltungsbereich ¹⁷

Diese Informationssicherheitsrichtlinie über die Nutzung des zentralen Internetzugangs und von Web-Angeboten (ISRLWeb-Nutzung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - in Form von Mindestanforderungen die Grundsätze zur Nutzung des zentralen Internetzugangs des Landes und von Web-Angeboten.

Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit (Nummer 1.1 bis 1.3 des Bezugserlasses).

2. Begriffsbestimmungen

Im Sinne dieser Informationssicherheitsrichtlinie

2.1 ermöglichen "Web-Angebote" den Anwenderinnen und Anwendern die Informationsbeschaffung und die Tätigung von Online-Transaktionen über die weltweit bereitgestellten Web-Seiten im Internet und über die Web-Seiten der niedersächsischen Landesverwaltung und anderer deutscher Verwaltungen;

2.2 ist eine "vertrauenswürdige" Web-Seite eine Datenquelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus dem Namen, der Adresse, dem Kontext, in dem die Web-Seite genannt oder verlinkt ist, den erwarteten Inhalten, den erwarteten Verantwortlichkeiten, dem Herkunftsland oder der top-Level-Domäne (z.B. ".to", ".ru") des Web-Angebots ergeben;

2.3 ist ein "vertrauenswürdiges" Server-Zertifikat die Bestätigung einer Zertifizierungsstelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus der Ungültigkeit des Zertifikats oder aus einer inhaltlichen Abweichung zwischen der Web-Adresse und dem Zertifikat ergeben;

2.4 ist das "Landesnetz" das Weitverkehrsnetzwerk, das sich ausschließlich in der Funktionsherrschaft des Landes Niedersachsen befindet.

3. Organisatorische und technische Maßnahmen der Behördenleitung

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister, Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.

Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

4. Umsetzung

4.1 Die Umsetzung der Sicherheitsanforderungen (Nummer 6) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.

4.2 Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind.

4.3 Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.

4.4 Die Verantwortungsbereiche der einzelnen Anwenderinnen und Anwender sind eindeutig vom Verantwortungsbereich der Systemadministration abzugrenzen.

4.5 Zur organisatorischen Umsetzung der Sicherheitsanforderungen (Nummer 6) wird der Erlass einer Dienstanweisung nach dem in der Anlage dargestellten Muster (Musterdienstanweisung) vorgeschlagen. Dieser Umsetzungsvorschlag beschränkt sich auf Sicherheitsanforderungen, die sich unmittelbar an die Anwenderinnen und Anwender richten. Es sind ggf. ergänzende oder zusätzliche Maßnahmen zu ergreifen, die die Umsetzung dieser Informationssicherheitsrichtlinie durch die Behördenleitung und die innerbehördlich zuständige Stelle sicherstellen.

5. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständigen Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.

6. Sicherheitsanforderungen

6.1 Grundsatz der Nutzung des zentralen Internetzugangs des Landes

6.1.1 Grundsätzlich ist für die Nutzung des Internets der zentrale Internetzugang des Landes zu nutzen. Über Ausnahmen bei Endgeräten, die nicht mit dem Landesnetz gekoppelt sind, entscheidet die Behördenleitung anhand einer Risikoanalyse. Diese Entscheidung ist aktenkundig zu machen.

6.1.2 Die Behördenleitung stellt sicher, dass zwischen den Endgeräten, die mit dem Landesnetz gekoppelt sind, und dem Internet keine direkte Kommunikationsverbindung hergestellt wird (sog. Fremdnetzanschluss). Besteht aus fachlichen Gründen der Bedarf für den Zugang zum Landesnetz und zu einem öffentlichen Netz, ohne dass eine direkte Kommunikationsverbindung zwischen diesen Netzen besteht, entscheidet die Behördenleitung darüber anhand einer Risikoanalyse. Diese Entscheidung ist aktenkundig zu machen.

6.2 Sicherheitsanforderungen an die Nutzung des zentralen Internetzugangs

6.2.1 Der zentrale Internetzugang des Landes darf grundsätzlich nur für den Zugriff auf Web-Angebote mit den Protokollen http (englisch: hypertext transfer protocol) und https (englisch: hypertext transfer protocol secure) über die dafür vorgesehene Sicherheitsinfrastruktur (z.B. Proxyserver) genutzt werden.

6.2.2 Besteht aus fachlichen Gründen der Bedarf, das Protokoll http oder https für einen von Nummer 6.2.1 abweichenden Zweck zu verwenden (z.B. Fernwartung), entscheidet die Behördenleitung darüber anhand einer Risikoanalyse. Diese Entscheidung ist aktenkundig zu machen.

6.2.3 Besteht aus fachlichen Gründen der Bedarf, den zentralen Internetzugang des Landes für ein von Nummer 6.2.1 abweichendes Kommunikationsprotokoll zu nutzen, so bedarf dessen Zulassung der vorherigen Zustimmung der oder des Informationssicherheitsbeauftragten der Landesverwaltung. Die Behördenleitung hat dazu eine Risikoanalyse vorzulegen und Sicherheitsmaßnahmen vorzuschlagen, mit denen die Risiken infolge dieser zusätzlichen Kommunikationsverbindung mit dem Landesnetz begrenzt werden.

6.3 Sicherheitsanforderungen an die Nutzung von Web-Angeboten

6.3.1 Die Behördenleitung legt fest, wer Web-Angebote für welche Zwecke nutzen darf, und veranlasst die Sensibilisierung der Anwenderinnen und Anwender für Bedrohungen der Informationssicherheit durch die Nutzung von Web-Angeboten.

6.3.2 Die Behördenleitung entscheidet, ob und in welchem Umfang der Aufruf von verbotenen oder dienstlich nicht relevanten Web-Seiten durch eine Filterung unterbunden werden soll.

6.3.3 Die Behördenleitung veranlasst, dass Web-Seiten - soweit technisch möglich (z.B. mittels Überprüfung der DNSSEC-Signatur) - auf ihre Vertrauenswürdigkeit hin automatisiert überprüft und bei negativem Prüfergebnis geblockt werden.

6.3.4 Die Anwenderin oder der Anwender nimmt in eigener Verantwortung die Prüfung der nicht geblockten Web-Seiten auf Vertrauenswürdigkeit vor. Die Prüfung erfolgt im Rahmen der jeweiligen Kenntnisse und Qualifikation mit der gebotenen Sorgfalt. Der Aufruf nicht vertrauenswürdiger Web-Seiten ist grundsätzlich durch die Behördenleitung zu untersagen. Stellt sich eine Web-Seite nach ihrem Aufruf als nicht vertrauenswürdig heraus, sind die Weiterverarbeitung dieser Informationen und das Herunterladen von Dateien nicht zulässig.

6.3.5 Die Behördenleitung regelt, wie mit der Warnmeldung des Web-Browsers zu vermeintlich nicht vertrauenswürdigen Zertifikaten von Web-Servern umzugehen ist, die sich beim Aufbau einer verschlüsselten Verbindung (z.B. bei der Nutzung des Protokolls https) mittels Zertifikat ausweisen.

6.4 Funktionale Sicherheitsanforderungen

6.4.1 Die Behördenleitung hat Regelungen anhand einer Risikoanalyse zu treffen, ob und in welchem Umfang bestimmte Kategorien von Inhalten (z.B. Werbebanner, aktive Inhalte, Cookies) von Web-Seiten aktiviert bleiben dürfen und inwieweit der Web-Browser eine ausdrückliche Bestätigung der Anwenderin oder des Anwenders vor der Ausführung anfordern soll. Das Ergebnis der Risikoanalyse ist aktenkundig zu machen.

6.4.2 Die Behördenleitung legt anhand einer Risikoanalyse fest, ob und in welchem Umfang bestimmte Dateien mit ausführbarem Programmcode von den Web-Seiten heruntergeladen werden dürfen und inwieweit der Web-Browser eine ausdrückliche Bestätigung der Anwenderin oder des Anwenders vor der Ausführung anfordern soll. Das Ergebnis der Risikoanalyse ist aktenkundig zu machen.

6.4.3 Die Behördenleitung trifft Regelungen, unter welchen Rahmenbedingungen das Hochladen von Dateien auf Web-Angebote zulässig ist.

6.4.4 Die Behördenleitung stellt sicher, dass die Anwenderinnen und Anwender ein verschlüsseltes Protokoll (z.B. https) für den Aufruf der Web-Seite - sofern verfügbar - nutzen, falls Authentisierungsdaten (z.B. Kennwörter) über das Internet übertragen werden müssen. Soweit Web-Angebote über das verschlüsselte Protokoll https erreichbar sind, sollen die Anwenderinnen und Anwender davon Gebrauch machen. Eine Speicherung von Authentisierungsdaten im Web-Browser soll vermieden werden.

7. Schlussbestimmung ¹⁷

Dieser Gem. RdErl. tritt am 01.11.2013 in Kraft und mit Ablauf des 30.06.2021 außer Kraft

.

1. Gegenstand und Geltungsbereich

Diese Dienstanweisung regelt die Grundsätze der dienstlichen Nutzung von Web-Angeboten durch die Beschäftigten. Sie ergänzt die Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender in der jeweils geltenden Fassung.

Diese Dienstanweisung gilt für alle Beschäftigten der [Behörde].

2. Begriffsbestimmungen

Im Sinne dieser Dienstanweisung

2.1 ermöglichen "Web-Angebote" den Anwenderinnen und Anwendern die Informationsbeschaffung und die Tätigung von Online-Transaktionen über die weltweit bereitgestellten Web-Seiten im Internet und über die Web-Seiten der niedersächsischen Landesverwaltung und anderer deutscher Verwaltungen;

2.2 ist ein "Web-Browser" ein Computerprogramm, das lokal auf dem Endgerät einer Anwenderin oder eines Anwenders ausgeführt wird und das dem Aufruf von Web-Seiten sowie der Darstellung der ankommenden Daten als Text oder Bild am Bildschirm dient;

2.3 ist eine "Web-Seite" ein HTML-Dokument, in das Dateien, Grafiken, Videos, Werbebanner etc. eingebunden sein können;

2.4 ist eine "vertrauenswürdige" Web-Seite eine Datenquelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus dem Namen, der Adresse, dem Kontext, in dem die Web-Seite genannt oder verlinkt ist, den erwarteten Inhalten, den erwarteten Verantwortlichkeiten, dem Herkunftsland oder der Endung der Web-Adresse (z.B. ".to", ".ru") des Web-Angebots ergeben; nicht ausgeschlossen ist, dass es auch beim Aufruf vertrauenswürdiger Web-Seiten zu einem Schadsoftwarebefall kommen kann;

2.5 ist eine "Web-Adresse" die Adresse einer Web-Seite, bestehend aus einem Protokoll und einem Adresspfad (beispielsweise: http://www.bsi.bund.de); Web-Seiten werden über das Protokoll http (englisch: hypertext transfer protocol) oder das Protokoll https (englisch: hypertext transfer protocol secure) zum Web-Browser übermittelt; wird das Protokoll https genutzt, ist der gesamte Datentransfer verschlüsselt und der Web-Server hat sich durch ein Zertifikat ausgewiesen;

2.6 ist ein "Server-Zertifikat" die Bestätigung einer Zertifizierungsstelle, mit der sich der Web-Server beim Aufbau einer verschlüsselten Verbindung über das Protokoll https dem Web-Browser gegenüber ausweist;

2.7 ist ein "vertrauenswürdiges" Server-Zertifikat die Bestätigung einer Zertifizierungsstelle, bei der keine tatsächlichen Anhaltspunkte vorliegen, die der Vertrauenswürdigkeit entgegenstehen. Anhaltspunkte, die einer Vertrauenswürdigkeit entgegenstehen, können sich z.B. aus der Ungültigkeit des Zertifikats oder aus einer inhaltlichen Abweichung zwischen der Web-Adresse und dem Zertifikat ergeben; nicht ausgeschlossen ist, dass eine Warnmeldung des Web-Browsers ein vertrauenswürdiges Server-Zertifikat fälschlicherweise als nicht vertrauenswürdig einstuft;

2.8 sind "Cookies" Daten über besuchte Web-Seiten, die der Web-Browser beim Seitenaufruf in der Regel ohne Aufforderung auf dem Endgerät speichert und beim erneuten Besuch der Web-Seite ausliest.

3. Eigenverantwortung

Die Beschäftigten sind selbst für die sichere und rechtmäßige Nutzung der Web-Angebote verantwortlich, soweit sie hierauf Einfluss nehmen können. Es sind die einschlägigen Gesetze sowie die im Verkehr erforderliche Sorgfalt zu beachten. Bei Fragen oder Problemen im Zusammenhang mit der Web-Nutzung steht die [zuständige Stelle] zur Verfügung.

4. Grundsätze der Web-Nutzung

Die Nutzung von Web-Angeboten ist eine in [Behörde] etablierte Form der Informationsbeschaffung. Die Regelungen zur Aktenführung gelten unverändert auch für Informationen und Dateien, die aus einer Web-Seite heruntergeladen und gespeichert wurden. Es ist das [im Dokument] festgelegte Dokumentenmanagementsystem [(z.B. Fabasoft eGov-Suite)] zu nutzen.

5. Nutzungsumfang

5.1 Die Web-Seiten dürfen ausschließlich für dienstliche Zwecke aufgerufen werden. [alternativ: Die private Web-Nutzung richtet sich nach der Dienstvereinbarung über ...]

5.2 Das Herunterladen von Dateien ist auf das dienstlich erforderliche Maß zu beschränken.

5.3 Der Aufruf nicht vertrauenswürdiger Web-Seiten ist grundsätzlich untersagt. In begründeten Einzelfällen kann eine abweichende Regelung getroffen werden. Stellt sich eine Web-Seite nach ihrem Aufruf als nicht vertrauenswürdig heraus, sind die Weiterverarbeitung dieser Informationen und das Herunterladen von Dateien nicht zulässig.

5.4 Wird ein Web-Seiten-Aufruf aufgrund einer automatisierten Filterung nicht ausgeführt, und ist der Aufruf der betroffenen Web-Seite für die Aufgabenerledigung zwingend erforderlich, so nimmt den Bedarf zur Freischaltung die [zuständige Stelle] entgegen.

6. Allgemeine Sorgfaltspflichten

6.1 Die Beschäftigten nehmen in eigener Verantwortung die Prüfung der Web-Seiten auf Vertrauenswürdigkeit i. S. der Nummer 2.4 vor. Die Prüfung erfolgt im Rahmen der jeweiligen Kenntnisse und Qualifikation mit der gebotenen Sorgfalt. [Die Beschäftigten sollen ein Werkzeug" das der zentrale IT-Dienstleister des Landes in seinem Intranet unter dem Register "Leistungen" bereitstellt, bei ihrer Entscheidung zurate ziehen.]

6.2 Die Warnmeldung des Web-Browsers bei einer verschlüsselten Verbindung (z.B. Protokoll https), dass für den Web-Server kein vertrauenswürdiges Server-Zertifikat benutzt wird, darf erst von den Beschäftigten als unbegründet ignoriert werden, wenn ihre Prüfung keine Anhaltspunkte erbracht hat, die einer Vertrauenswürdigkeit des Server-Zertifikats i. S. der Nummer 2.7 entgegenstehen. Die Prüfung erfolgt im Rahmen der jeweiligen Kenntnisse und Qualifikation mit der gebotenen Sorgfalt. [Die Beschäftigten sollen ein Werkzeug" das der zentrale IT-Dienstleister des Landes in seinem Intranet unter dem Register "Leistungen" bereitstellt, bei ihrer Entscheidung zurate ziehen.]

7. Nutzung des Web-Browsers

7.1 Der Aufforderung des Web-Browsers, dem Ausführen bestimmter Inhalte (z.B. Werbebanner, aktive Inhalte, Cookies) zuzustimmen, darf erst nach kritischer Prüfung der Vertrauenswürdigkeit der Web-Seite nachgekommen werden, um die Wahrscheinlichkeit für eine Infektion mit Schadsoftware zu reduzieren.

7.2 Datensammlungen im Web-Browser (z.B. Listen kürzlich aufgerufener Web-Seiten) sollen regelmäßig [gemäß Anleitung] gelöscht werden, damit diese nicht zur Erstellung von persönlichen Profilen missbraucht werden können.

7.3 Die vom Web-Browser in einem Puffer-Speicher (Browser-Cache) gesammelten Daten sollen regelmäßig [gemäß Anleitung] gelöscht werden, damit diese nicht rekonstruiert und an unberechtigte Dritte gelangen können.

7.4 Die vom Web-Browser gespeicherten Cookies sollen regelmäßig [gemäß Anleitung] gelöscht werden, damit das "Surfverhalten" nicht auswertbar ist und das Recht auf informationelle Selbstbestimmung gewahrt bleibt.

7.5 Der Aufforderung des Web-Browsers, dem Speichern von Cookies zuzustimmen, soll erst nach sorgfältiger Prüfung der Notwendigkeit dieses Web-Seiten-Aufrufs nachgekommen werden.

7.6 Soweit Web-Angebote über das verschlüsselte Protokoll https erreichbar sind, haben die Anwenderinnen und Anwender davon Gebrauch zu machen.

7.7 Falls Authentisierungsdaten (z.B. Kennwörter) über das Internet übertragen werden müssen, hat der Aufruf der Web-Seite über das verschlüsselte Protokoll https - sofern verfügbar - zu erfolgen.

7.8 Eine Speicherung des Benutzernamens und des Kennworts im Web-Browser ist nicht zulässig.

8. Daten-Import und Daten-Export

8.1 Eine besonders sorgfältige Prüfung der Web-Seiten auf Vertrauenswürdigkeit gemäß Nummer 6.1 ist erforderlich, bevor

1. Dateien mit der Endung ".pdf",
2. komprimierte Dateien (z.B. mit den Endungen ".zip" und ".rar"),
3. Dateien, die Makros enthalten können (z.B. mit der Endung ".docx"), oder
4. Dateien unterschiedlicher Bilddateiformate (z.B. mit den Endungen ".bmp", ".gif", ".jpg", ".jpeg", ".png" und ".tif")

heruntergeladen werden.

8.2 Es dürfen grundsätzlich keine Dateien mit offensichtlich ausführbarem Programmcode von einer Web-Seite heruntergeladen werden. Dies trifft insbesondere auf Dateien mit den Endungen ".bat", ".com", ".exe", ".scr", ".vbs" und ".wsh" zu. Es gilt das Verbot zur Installation von Computerprogrammen gemäß Nummer 2.3 der Dienstanweisung über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender. In begründeten Einzelfällen kann eine abweichende Regelung getroffen werden.

8.3 Dateien mit offensichtlich ausführbarem Programmcode i. S. der Nummer 8.2 dürfen nicht auf Web-Seiten hochgeladen werden. Für das Hochladen sonstiger Dateien auf Web-Seiten kann in begründeten Fällen von der [zuständigen Stelle] eine Zustimmung erteilt werden, soweit Anforderungen an die Vertraulichkeit dem nicht entgegenstehen.

9. Ausnahmen

[Die zuständige Stelle] kann [im Einvernehmen mit der oder dem Informationssicherheitsbeauftragten] nach pflichtgemäßem Ermessen im Einzelfall Ausnahmen von den Regelungen dieser Dienstanweisung zulassen. Die Ausnahmen sind zu dokumentieren und durch Ersatzmaßnahmen abzusichern.

10. Inkrafttreten

Diese Dienstanweisung tritt am Tag nach ihrer Bekanntgabe in Kraft.

ENDE