IT-Sicherheitsrahmenrichtlinie für BayKom-Daten - Landkreis Passau

IT-Sicherheitsrichtlinien für BayKom-Daten 

IT-Sicherheitsrahmenrichtlinie für BayKom-Daten 

IT-Sicherheitsrahmenrichtlinie 

für BayKom-Daten 

BayITSRL-GL 

Stand: 19.11.2003 

Seite 1 von 15



Inhaltsverzeichnis 


Stand: 19.11.2003 

1 Einleitung.....................................................................................................................3 

2 Grundsätze der IT-Sicherheitsdokumente ...................................................................3 

2.1 Grundlage ...........................................................................................................3 

2.2 Dokumentenkontrolle ..........................................................................................4 

3 Teilnehmer- und Netzstrukturen des Behördennetzes.................................................4 

3.1 Erläuterung..........................................................................................................4 

3.2 Definition von Teilnehmergruppen (TG) ..............................................................5 

3.3 Bildung von Virtuellen Privaten Netzen ...............................................................5 

3.3.1 Staatliche VPN..........................................................................................5 

3.3.2 Kommunales VPN ....................................................................................6 

3.3.3 Logische Netztopologie ............................................................................7 

3.3.4 Logische Netztopologie ............................................................................7 

4 Verbindlichkeit .............................................................................................................8 

Anlage 1 - Dokumente zur IT-Sicherheit (Stand: 16.03.2004)...........................................9 

Anlage 2 - Glossar ...........................................................................................................11 

Seite 2 von 15

1 Einleitung 




Stand: 19.11.2003 

Gemäß Nr. 1, Nr. 5.2 und Nr. 6 der IT-Sicherheitsleitlinie für die bayerische Staatsverwaltung 

vom 1.1.2003 sind detaillierte und diese konkretisierende IT-Sicherheitsrichtlinien 

für alle sicherheitsrelevanten Themengebiete zu erstellen. Die vorliegende IT-Sicherheitsrahmenrichtlinie 

für die Bayerische Staatsverwaltung (BayITSRL-GL) ist das Grundlagendokument, 

auf das die IT-Sicherheitsrichtlinien, Sicherheitskonzepte und Sicherheitsregeln 

Bezug nehmen. 

Die Struktur des gesamten Sicherheitsregelwerks stellt sich wie folgt dar: 

Richtlinie zur IT- 

Sicherheitsorganisation der 

Bayer. Staatsverwaltung 

Geschäftsordnung für das 

Sicherheitsteam der 

Bayer. Staatsverwaltung 

2 Grundsätze der IT-Sicherheitsdokumente 

2.1 Grundlage 

Grundlage für die IT-Sicherheitsdokumente ist die IT-Sicherheitsleitlinie (BAYITSLL). Sie 

macht Vorgaben zu den folgenden Bereichen: 

Zielgruppe und Geltungsbereich 

IT-Sicherheitsziele 

Prinzipien der IT-Sicherheit 

IT-Sicherheitsleitlinie 

(IT-Security Policy) 

für die Bayer. Staatsverwaltung 

IT- 

Sicherheitsrahmenrichtlinie 

Sicherheitsdokumente: 

IT-Sicherheitsrichtlinien 

IT-Sicherheitskonzepte 

IT-Sicherheitsregeln 

Seite 3 von 15




Stand: 19.11.2003 

IT-Sicherheitsorganisation 

IT-Sicherheitsprozess 

Durchsetzung 

Sicherheitsdokumentation 

Im Rahmen des in der IT-Sicherheitsleitlinie definierten IT-Sicherheitsprozesses sind detaillierte 

Sicherheitsrichtlinien zu erarbeiten. 

Eine Übersicht aller Dokumente zur IT-Sicherheit findet sich in der Anlage 1. 

2.2 Dokumentenkontrolle 

Die Dokumente zur IT-Sicherheit unterliegen einer Dokumentenkontrolle. Sie werden 

im Intranet des Bayerischen Behördennetzes veröffentlicht, soweit sie von allgemeiner 

Bedeutung sind, 

im Rahmen der technischen Weiterentwicklung des Behördennetzes laufend fortgeschrieben, 

bei Ungültigkeit unverzüglich widerrufen und 

aufbewahrt, um für rechtliche Zwecke oder für Zwecke der Wissenserhaltung verfügbar 

zu sein. 

3 Teilnehmer- und Netzstrukturen des Behördennetzes 

3.1 Erläuterung 

Zur Abgrenzung der unterschiedlichen Aufgabenstellungen bzw. Zuständigkeiten der 

Teilnehmer am Behördennetz erfolgt eine Einteilung in Teilnehmergruppen (TG). 

An diesen orientiert sich die logische Struktur des Behördennetzes, die Untergliederung 

des Bayerischen Behördennetzes in unterschiedliche Virtuelle Private Netze (VPN) und 

die Kopplung dieser VPN über eine zentrale Sicherheitsinstanz (vgl. BayITSRL-01). 

Seite 4 von 15



3.2 Definition von Teilnehmergruppen (TG) 

Es werden folgende Teilnehmergruppen definiert: 

Teilnehmergruppen 

Erläuterung 

TG 1 Staatliche Behörden, unmittelbare Landesverwaltung 


Stand: 19.11.2003 

TG 2 Kommunaler Bereich: Kreisverwaltungsbehörden (KVB), Bezirke, kommunale 

Spitzenverbände, Gemeinden, Verwaltungsgemeinschaften, 

Zweckverbände 1 

TG 3 Diese Teilnehmergruppe umfasst alle sonstigen Teilnehmer am Bayerischen 

Behördennetz und die Übergänge zu anderen Netzen und deren 

Dienste. 

Der Zugang zum Bayerischen Behördennetz kann erst nach einer Berechtigungsprüfung 

im Einzelfall erfolgen, vgl. auch BayITSRL-09. 

3.3 Bildung von Virtuellen Privaten Netzen 

Auf Grundlage der Teilnehmergruppen werden folgende VPN gebildet: 

Staatliches VPN 

Kommunales VPN 

Extranet-/Dienstleister-VPN 

Die Zugehörigkeit zu einem VPN richtet sich immer nach der Zugehörigkeit zu einer Teilnehmergruppe 

(s. u.) und niemals nach der Art des Zugangs (z. B. Einwahl). 

3.3.1 Staatliche VPN 

Innerhalb des Staatlichen VPN sind darüber hinaus noch weitere fachliche, technische 

und sicherheitsrelevante Konstellationen zu berücksichtigen: 

a) Fachliche Zuordnung 

Dienststellen aus den Bereichen Justiz, Polizei und Steuerverwaltung sind jeweils einem 

eigenen VPN zugeordnet. 

1 Gemeinden, Verwaltungsgemeinschaften und Zweckverbände können beim Provider keinen eigenen 

Zugang zum Bayerischen Behördennetz beantragen. Sie werden ausschließlich über eine KVB angeschlossen. 

Seite 5 von 15



b) Inanspruchnahme weiterer Netzprovider 


Stand: 19.11.2003 

Bei Inanspruchnahme eines weiteren Providers ist von Seiten des auftraggebenden 

Teilnehmers sicherzustellen, dass das vom Provider zur Verfügung gestellte Netz nur 

von Teilnehmern der TG 1 genutzt werden kann. 

c) Betrieb eines eigenen Internetzugangs (bzw. weiterer Netzübergange) 

Soweit sich die Zuordnung einer staatlichen Behörde zu einem VPN nicht aus der 

fachlichen Zuordnung ergibt und der Betrieb eines eigenen Internetzugangs in begründeten 

Ausnahmefällen unabdingbar ist, wird diese Behörde für den Gültigkeitszeitraum 

der Ausnahme dem Staatlichen Neben-VPN zugeordnet. Durch die Zuordnung 

zum Staatlichen Neben-VPN wird die generelle Any-to-Any-Kommunikation im 

staatlichen Bereich für Behörden mit eigenem Internetzugang eingeschränkt, weil 

sämtlicher Verkehr vom und zum Neben-VPN über die Sicherheitsinstanz geleitet 

wird. 

Das Staatliche VPN der TG 1 untergliedert sich somit in: 

Polizei-VPN 

Justiz-VPN 

Steuer-VPN 

Staatliches Haupt-VPN 

Staatliches Neben-VPN 

3.3.2 Kommunales VPN 

Nur die Kreisverwaltungsbehörden, die Bezirke sowie die kommunalen Spitzenverbände 

werden unmittelbar über das Kommunale VPN an das Behördennetz angeschlossen. Die 

Landratsämter ermöglichen allen übrigen Teilnehmern der TG 2 im Rahmen von Kom- 

munalen Behördennetzen (KommBN) die Teilnahme am Behördennetz. 

Auch im Kommunalen VPN sind die sicherheitsrelevanten Konstellationen (Betrieb eines 

eigenen Internetzugangs, Inanspruchnahme eines weiteren Providers) vorzufinden. 

Im Kommunalen VPN gilt der Grundsatz einer Any-to-Any-Kommunikation. Dieser kann 

durch die Einrichtung einer standardisierten Access Control List (ACL) auf dem Zugangsrouter 

zum Behördennetz eingeschränkt werden. Dadurch sind nur Kommunikationsverbindungen 

möglich, die über die Sicherheitsinstanz verlaufen. 

Seite 6 von 15




Stand: 19.11.2003 

3.3.3 Logische Netztopologie 

Auf Initiative eines Teilnehmers aus TG 1 oder TG 2 können auch weitere Institutionen 

Anschluss an das Behördennetz erhalten. Sie erhalten den Zugang über das Extranet-/Dienstleister-VPN. 

Die Detailregelungen finden sich in der IT-Sicherheitsrichtlinie 

BayITSRL-09. 

3.3.4 Logische Netztopologie 

Es ergibt sich somit die folgende logische Netztopologie: 

Internet 

KommBNs 

Kommunales 

VPN 

Staatl. Neben- 

VPN 

Staatl. Haupt- 

VPN Dezentrale 

Sicherheitsinstanz 

Zentrale 


Extranet-/ 

Dienstleister- 

VPN 

Dezentrale 


Dezentrale 


Steuer-VPN 

Justiz-VPN 

Polizei-VPN 

Eine detaillierte Beschreibung der Netztopologie findet sich in der IT-Sicherheitsrichtlinie 

BayITSRL-01 "Kopplung der VPN". 

Seite 7 von 15

4 Verbindlichkeit 




Stand: 19.11.2003 

Um ein einheitlich hohes Sicherheitsniveau im Bayerischen Behördennetz halten zu können, 

sind die IT-Sicherheitsrichtlinien verpflichtend. Insbesondere gelten diese Regelungen 

für die am Kommunalen VPN angeschlossene Teilnehmergruppe 2. Eine KVB kann 

ihren zugehörigen Kommunen, Verwaltungsgemeinschaften (VG) und Einrichtungen einen 

Zugang zum Bayerischen Behördennetz ermöglichen. Diese Kommunen, VG und 

Einrichtungen bilden zusammen mit der KVB ein Kommunales Behördennetz (KommBN). 

Die KVB hat in diesem Fall sicherzustellen, dass die IT-Sicherheitsrichtlinien im KommBN 

entsprechend zur Anwendung kommen. 

Seite 8 von 15



Anlage 1 - Dokumente zur IT-Sicherheit 

(Stand: 16.03.2004) 

Grundlagendokumente zur IT-Sicherheit 


Anlage 1 

BayITSLL: IT-Sicherheitsleitlinie für die Bayer. Staatsverwaltung (Stand: 01.01.2003) 

BayITSO: Richtlinie zur IT-Sicherheitsorganisation der Bayer. Staatsverwaltung 

(Stand: 01.01.2003) 

BayITSGO: Geschäftsordnung für das Sicherheitsteam der Bayer. Staatsverwaltung 

(Stand: 01.01.2003) 

BayITSRL-GL: IT-Sicherheitsrahmenrichtlinie für BayKom-Daten (Stand: 19.11.2003) 


BayITSRL-01: Kopplung der VPN (Stand: 19.11.2003) 

BayITSRL-02: Betrieb eines Übergangs in das Internet (Stand: 19.11.2003, 

Anhang Stand: 01.02.2004) 

BayITSRL-03: Aufbau und Betrieb von Funk-LAN (WLAN) (Stand: 01.02.2004) 

BayITSRL-04: Betrieb von IP-basierenden Virtuellen Privaten Netzen (IP-VPN) 

(Stand: 19.11.2003) 

BayITSRL-05: Telearbeits- und mobile Arbeitsplätze (Stand: 19.11.2003) 

BayITSRL-06: Fernwartung und externe Anwendungen (Stand: 19.11.2003) 

BayITSRL-07: Einsatz von Personal Digital Assistent (PDA) (Stand: -) 

BayITSRL-08: Durchführung von Penetrationstests (Stand: 16.03.2004) 

BayITSRL-09: Extranet-/Dienstleister-VPN (Stand: 19.11.2003) 

BayITSRL-10: Sicherheitsrichtlinie für Wählverbindungen im Bayerischen Behördennetz 

(Stand: 01.10.2001) 

BayITSRL-11: Nutzung von Anwendungen über das Internet unter Verwendung von 

SSL/TSL (Stand: 01.02.2004) 

Seite 9 von 15

Sicherheitskonzepte 



BayITSK-01: Aufbau und Betrieb Kommunaler Behördennetze (KommBN) 

(Stand: 19.11.2003) 

Sicherheitsregeln für den einzelnen Geschäftsprozess 

BayITSR-xx: 


Anlage 1 

Seite 10 von 15



Anlage 2 - Glossar 


Anlage 2 

Account (Benutzerkonto): In einem Benutzerkonto werden alle Informationen zur Benutzerkennung zusammengefasst. 

Dazu zählen unter anderem der für die Anmeldung erforderliche Benutzername und das 

Kennwort, die Gruppen, denen der Benutzer angehört, sowie die Rechte des Benutzers. 

AH (Authentication Header): Bei Kommunikationsprotokollen Element von Übertragungsrahmen (Paketen, 

Datagrammen, Frames usw.) mit Steuernachrichten für die Abwicklung der Authentifikation. Beispiel: Authentification 

Header in den Protokollspezifikationen der IETF-Arbeitsgruppe IPSec. 

Audit: Prüfung eines Systems durch unabhängige Fachleute. 

Authentizität: Echtheit, Zuverlässigkeit, Glaubwürdigkeit, Gesichertheit. 

Authentifizierung: Auch als Authentikation bezeichnet. Allgemein für Verifizierungsverfahren zur Sicherstellung 

der Authentizität einer Person (Teilnehmer, Benutzer), einer Nachricht oder einer Einrichtung (z.B. 

Server). 

Bayerisches Behördennetz: IT-gestützte Kommunikationsinfrastruktur für die bayerische Staats- und Kommunalverwaltung. 

BayKom: Bayerische Kommunikationsnetze (Netzinfrastruktur für Sprach-, Mobilfunk-, Daten- und Internet- 

Kommunikation). 

BayKom-Daten: Datennetz der Bayerischen Kommunikationsnetze. 

BayKom-Internet: Internetanschlüsse über den Behördennetzprovider. 

Common Criteria (CC): Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit der Informationstechnik. 

Sie beschreiben abstrakt die Anforderungen, nach denen Produkten in einer Hierarchie von 

Vertrauenswürdigkeitsstufen das Sicherheitsniveau zertifiziert werden kann. Diese Evaluation Assurance 

Levels (EAL) erstrecken sich von EAL 1 (einfache Tests) bis EAL 7 (formal-logisch verifizierte Hochsicherheitslösung). 

Die Common Criteria sind als Fortentwicklung von ITSEC (Europa) und TCSEC (USA) in die 

veröffentlichte Norm ISO/IEC 15408 eingegangen und sollen die internationale Vergleichbarkeit der Zertifizierung 

von Produkten und Systemen auf dem Weltmarkt sicherstellen. 

CERT (Computer Emergency Response Team): Computer Notfall- und Aktionsteam. 

Daten: Hierunter fallen alle Informationen, die auf IT-Systemen oder Speichermedien gespeichert oder 

verarbeitet werden. 

DMZ (Demilitarized Zone): Demilitarisierte Zone ist ein Schlagwort für ein Netzsegment, das als "neutrale 

Zone" zwischen dem internen Netz eines Unternehmens und dem "äußeren" öffentlichen Netz eingerichtet 

wird. Dadurch soll verhindert werden, dass Benutzern von außen direkt auf einen Server mit Unternehmensdaten 

zugreifen können. "Perimeter Network" (Grenznetz) ist eine weitere oft verwendete Bezeichnung 

für die DMZ. Man unterscheidet zwei Varianten: Die DMZ ist entweder ein Netzwerksegment zwischen 

zwei hintereinander liegenden Firewalls oder über ein dezidiertes Interface an einer Firewall angeschlossen. 

DNS (Domain Name System): Ein spezieller Verzeichnisdienst, der für die Benennung von Objekten in 

vernetzten Systemen entworfen wurde. Im Internet dient das DNS zur Verwaltung von Rechnernamen und 

Mailadressen. 

Seite 11 von 15




Anlage 2 

ESP-Verfahren (Encapsulating Security Payload): In den Protokollspezifikationen der IETF-Arbeitsgruppe 

IPSec für getunnelte Übertragungen über IP-Netze Paketkomponente mit Aufgaben im Rahmen der Verschlüsselung 

von Nutzdaten vorgesehen. 

Extranet: Ein Extranet definiert den Informationsaustausch zwischen Intranets und Partnern über ein privates 

oder öffentliches Netz (TCP/IP-basierend). 

Fernwartung: Die Fernwartung ist ein System zur Wartung räumlich entfernt stehender Rechner. Die Verbindung 

zum fernen Computer wird üblicherweise über PC/Modem und das öffentliche Telefonnetz aufgebaut. 

Auch eine Fernwartung über Funkstrecken und das Internet ist möglich. 

FTP: Das File Transfer Protocol (RFC 959) wird benötigt, um Daten zwischen unterschiedlichen Betriebssystemen 

zu transferieren (z.B. UNIX, Windows). Mit FTP können sowohl zeichencodierte als auch binäre 

Dateien übertragen werden. 

HTTP (Hypertext Transfer Protocol): Im World Wide Web (Web) das am häufigsten verwendete Kommunikationsprotokoll. 

Das HTTP wird zur Übertragung von HTML-Seiten (Hypertext Markup Language) zwischen 

Browsern, Programmen mit grafischer Oberfläche zum Betrachten der Webseiten und Webservern 

benutzt. 

IEC (International Electronics Commission): Internationales Standardisierungsgremium auf allen Gebieten 

der Elektrotechnik und Elektronik. 

IEEE (Institute of Electrical and Electronics Engineers): Gremium, das Internet-Standards verabschiedet. 

IETF (Internet Engineering Task Force): Gremium, das Internet-Standards verabschiedet. 

Integrität: Die physische und logische Abgeschlossenheit von Informationssystemen zum Schutz vor unberechtigter 

Veränderung oder der unberechtigten Erstellung von Informationen. 

Internet: Abgeleitet von engl. international (international) und network (Netz). Globales, dezentral organisiertes 

und strukturiertes Rechnernetz mit einheitlichem Adressierungsschema, das heute weltweit mit hohen 

Zuwachsraten über 300 Mio. Benutzer miteinander verbindet und neben dem ausgebauten Telefonsystem 

die wichtigste Basisinfrastruktur für den internationalen elektronischen Austausch von Informationen 

darstellt. 

Intranet: Ein Intranet ist ein lokales Netzwerk (LAN), das auf dem Internet-Protokoll TCP/IP beruht. Ein 

Intranet wird vorwiegend nichtöffentlich in Firmen und Verwaltungen genutzt. 

IP: Das Internet Protocol (IP) ist das wichtigste Protokoll (RFC 791) der TCP/IP-Protokollfamilie der Internetschicht 

(entsprechend Schicht 3 des OSI-Referenzmodells) mit Funktionen zur Leitweg- und Flusskontrolle. 

IPSec (IP Security Protokoll): Hilfsmittel, das es erlaubt, über ein Netzwerk auf andere Computer/Netze 

gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen. 

ISO (International Standard Organization): Die Internationale Organisation für Standardisierung. 

ITSEC (Information Technique System Evaluation Criteria): Sicherheitskriterien zur Bewertung von IT- 

Systemen; Richtlinie, die 1991 die deutschen ITS-Kriterien ablöste. ITSEC gilt in mehreren europäischen 

Staaten zur Prüfung von Hardware und Software. 

KoAIuK: Ressortübergreifender Koordinierungssausschuss für grundsätzliche und geschäftsübergreifende 

Angelegenheiten der Informations- und Kommunikationstechnik (IuK) (Art. 6 IuKG). 

Seite 12 von 15




Anlage 2 

KommBN (Kommunale Behördennetze): Landkreisextranets bestehend aus den Gemeinden, Städten, 

Verwaltungsgemeinschaften sowie deren Zusammenschlüsse (z.B. Zweckverbände). 

NETBIOS(Network Basic Input/Output System): Von IBM 1984 eingeführte, hardwareunabhängige Anwendungsprogrammierschnittstelle 

(Application Program Interface, API), die sich über die Schichten 3 bis 5 des 

OSI-Referenzmodells erstreckt. Dabei ist die Schicht 3 (Network Layer) nur als Nullschicht implementiert, 

sodass Routingfunktionen nicht zur Verfügung stehen. Das inzwischen technisch überholte NetBIOS - eine 

Weiterentwicklung von NetBIOS ist das NetBEUI (NetBIOS Extended User Interface) - stellt für ein Telekommunikationsnetz 

dieselben grundlegenden Funktionen zur Verfügung wie das BIOS (Basic Input Output 

System) für einen Computer. 

NNTP (“Network News Transfer Protocol” oder “Network News Transport Protocol”): Ein zum OSI- 

Referenzmodell (Open Systems Interconnection) konformes Kommunikationsprotokoll. Das auf den Internetprotokollen 

IP und TCP aufbauende NNTP (RFC 977) dient der Übertragung von News-Artikeln. Es 

findet häufig in lokalen Netzwerken oder Wide Area Networks (WAN), beispielsweise bei Verbindungen 

zwischen Universitäten als Alternative zum UUCP (UNIX-to-UNIX Copy Program), Verwendung. 

NTP (Network Time Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll bzw. -dienst 

(RFC 1305) zur Synchronisation der Uhrzeit in den Rechnern des Internet. Das NTP ist technisch realisiert 

durch synchronisierte (Coordinated universal time) Time-Server an verschiedenen Punkten des Internet. 

OSI(Open Systems Interconnection)-Referenzmodell:. Auch als ISO-Modell, OSI-Architektur und Ebenenmodell 

bezeichnet. Ein von der ISO (International Standard Organization) entwickelter globaler Rahmen für 

die Standardisierung "Offener Kommunikation" zwischen kooperierenden Systemen. Der Rahmen zerlegt, 

losgelöst von speziellen Implementierungen, den Funktionskomplex Kommunikation in sieben schichtdiskrete 

hierarchische Teilprozesse, die in die sieben OSI-Schichten eingebettet sind. Die in den Schichten 

residierenden Instanzen der kooperierenden Systeme erbringen Kommunikationsdienste für die jeweils 

nächsthöhere Schicht. Dabei stützen sie sich auf die Dienste der darunter liegenden Schichten ab. Die 

Bedingungen für die schichtbezogene Kooperation unter den verbundenen Systemen reglementiert das 

Schichtenprotokoll. 

Penetration: Versuch der Umgehung der Sicherheitsfunktionen eines IT-Systems. 

Penetrationtest: In der Informationstechnologie (IT) und Telekommunikation (TK) ein Sicherheitscheck, in 

dem IT/TK-Systeme unter Zuhilfenahme aktueller sicherheitstechnischer Angriffsmuster untersucht werden 

und somit deren Standhaftigkeit gegenüber potenziellen Angreifern getestet werden. 

POP (Point of Presence): Zugangspunkte (Access Nodes) im Internet und den in Internet-Technologie aufgebauten 

Intranets. 

POP3 (Post Office Protocol): Standard zur Übermittlung von E-Mails. 

Port (Schnittstelle, Anschluss): Unter Port versteht man eine Schnittstelle, mit der ein Server mit dem 

Netzwerk kommuniziert. Der Port ist daher auch immer Teil der Adresse des Host-Rechners, die aber weggelassen 

werden kann, wenn es sich um den Standardport handelt. Bei HTTP lautet der Standardport 80 

und wird durch einen Doppelpunkt an die Adresse angehängt. 

RFC (Request for Comments): Sammlung von Empfehlungen, Artikeln und Standards (RFC-Standards), in 

denen netzrelevante Konventionen und allgemeine Informationen zum Internet festgehalten sind. Als RFC 

sind auch die Anregungen und Verbesserungsvorschläge bezeichnet, die die Teilnehmer des Internets 

beim so genannten RFC-Editor, http://www.rfc-editor.org, einreichen. Soll ein RFC einmal zu einem Standard 

werden, wird er vom IAB (Internet Architecture Board) geprüft und gegebenenfalls zum "Proposed 

Standard" (Standardvorschlag) erklärt. Sobald genügend Erfahrungen mit dem neuen Standard gesammelt 

wurden - frühestens aber nach einem halben Jahr - kann daraus ein "Draft Standard" (Standardentwurf) 

werden. Nach einer angemessenen Zeit kann dann daraus wiederum ein mit einer Ordnungsnummer ver- 

Seite 13 von 15




Anlage 2 

sehener Internet Standard - d.h. vollwertiger RFC-Standard - werden, von denen bislang weit über Tausend 

veröffentlicht wurden. 

Sicherheit: Schutz von Informationsquellen vor unberechtigten Änderungen, Zerstörungen oder Preisgabe 

unabhängig davon, ob sie absichtlich oder unabsichtlich erfolgten. 

Sicherheitsinstanz: Die wesentliche Komponente einer Sicherheitsinstanz ist eine Firewall. In den meisten 

Fällen muss außerdem eine DMZ eingerichtet werden. Die in der DMZ enthaltenen Server und Proxies sind 

ebenfalls als Komponenten der Sicherheitsinstanz aufzufassen. Bestandteile einer Sicherheitsinstanz können 

außerdem eine Virenschleuse und ähnliche Komponenten sein. 

SMTP (Simple Mail Transfer Protocol): In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC 

821) für die Übermittlung elektronischer Nachrichten (E-Mail). Diese werden vom Anwender zunächst mittels 

eines Mailprogramms (User Agent, UA) erzeugt und zu einem lokalen Mitteilungstransfersystemteil 

(Message Transfer Agent, MTA) geschickt, der die Nachrichten mit dem SMTP zum MTA des Zielsystems 

weiterleitet, wo der Empfänger sie mit seinem Mailprogramm lesen kann. 

SSH (Secure Shell): SSH stellt ein sicheres Remote-Login-Protokoll dar, dessen ursprüngliches Ziel es 

war, die Berkeley Remote-Dienste (rsh, rlogin, rcp, ... ) zu ersetzen. Heute wird SSH u. a. als Ersatz für 

Telnet eingesetzt und ermöglicht damit einen gesicherten Zugriff auf einen anderen Rechner unter Verwendung 

kryptografischer Mechanismen. 

SSL/TLS (Secure Socket Layer/Transport Layer Security): Hilfsmittel, das es erlaubt, über ein Netzwerk auf 

andere Computer gesichert zuzugreifen, unter Verwendung kryptografischer Mechanismen. Diese Technik 

kommt überwiegend für gesicherte Webverbindungen zum Einsatz. 

TCSEC (Trusted Computer System Evaluation Criteria): Titel eines vom US-amerikanischen Verteidigungsministerium 

(Department of Defense, DoD) im Jahr 1985 veröffentlichten Standardisierungsdokuments 

mit Evaluierungskriterien für die Prüfung und Bewertung der Sicherheit der Informationstechnik. Das 

Dokument, auch "Orange Book" genannt, spezifiziert ein System mit mehreren Sicherheitsstufen, die von 

A1 (höchste Sicherheitsstufe) bis D (niedrigste Sicherheitsstufe) reichen und jeweils die Fähigkeit angeben, 

die ein Computersystem aufweisen muss, um den Schutz der gefährdeten Daten sicherzustellen. 

Telnet: In der TCP/IP-Protokollarchitektur ein Anwendungsprotokoll (RFC 854), mit dem sich der Benutzer 

bei einem fernen Rechner (Host) im Internet anmelden kann (Remote Login). Telnet realisiert eine Client- 

Server-Beziehung zwischen der lokalen Telnet-Software (Client) und der fernen Software (Server), d. h. der 

Benutzer kann sein Terminal an seinem lokalen Rechner benutzen, um auf einem fernen Rechner zu arbeiten. 

Das Terminal erscheint auf dem fernen Rechner wie ein lokal angeschlossenes Terminal. 

Telearbeit: Arbeit am Computer in der Wohnung der Mitarbeiter, online oder offline. 

Topologie: Die Netztopologie ist die geometrische Ausdehnung der Netzknoten und der physikalischen 

Verbindungswege zwischen ihnen und stellt somit die Struktur der Nachbarschaftsbeziehungen und der 

Übertragungsmöglichkeiten in einem Netz dar. Die Topologie wird auch als Netzstruktur oder Netzform 

bezeichnet. 

Verfügbarkeit: Die Gewährleistung, dass berechtigte Nutzer innerhalb einer angemessenen Zeit Zugriff auf 

gespeicherte Informationen erhalten und diese entsprechend ihrer Zugriffsberechtigung weiterverarbeiten 

können. 

Vertraulichkeit: Der Schutz von Informationen gegen unautorisierte Zugriffe von innen und außen. 

VPN (Virtual Private Network): Virtuelles Privates Netz (Geschlossene Benutzergruppe) i. d. Regel auf Basis 

von Festverbindungen (Frame Relay, ATM) oder Internet. 

Seite 14 von 15




Anlage 2 

WLAN (Wireless Local Area Network): Allgemein für vollständig oder teilweise drahtlos aufgebautes LAN- 

System (Local Area Network), das an Stelle eines Kabels elektromagnetische oder optische Funkübertragungen 

einsetzt. Primäre Vorteile sind die schnelle und kostengünstige Installation sowie die leichte Ortsveränderung 

(ggf. sogar mobil) der Endgeräte. Standardisierungsprojekte: IEEE (802.11.). 

Seite 15 von 15

IT-Sicherheitsrahmenrichtlinie für BayKom-Daten - Landkreis Passau

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?