Академический Документы
Профессиональный Документы
Культура Документы
Der Prsident
_________________________________________________________________________________________
Vorwort
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1
Bundesamt fr Sicherheit in der Informationstechnik 2004
Der Prsident
_________________________________________________________________________________________
Hinweis:
Wird im Text die mnnliche Form verwendet, geschieht dies ausschlielich aus Grnden der
leichteren Lesbarkeit.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 2
Dankesworte 2004
_________________________________________________________________________________________
Dankesworte
Fr die Mitarbeit bei der Weiterentwicklung des IT-Grundschutzes und die engagierte Untersttzung
bei der Fortschreibung der 5. Ergnzungslieferung des IT-Grundschutzhandbuchs wird an dieser Stelle
folgenden Beteiligten gedankt:
Darber hinaus sei allen gedankt, die sich durch konstruktive Kritik und praktische Verbesserungs-
vorschlge an der Verbesserung des IT-Grundschutzhandbuchs beteiligt haben.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 3
Dankesworte 2004
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 4
Dankesworte 2004
_________________________________________________________________________________________
Folgende Autoren haben durch die Erstellung von Bausteinen ihr Fachwissen in das IT-
Grundschutzhandbuch einflieen lassen. Ihnen gebhrt besonderer Dank, da ihr Engagement die
Entstehung und Weiterentwicklung des IT-Grundschutzhandbuchs erst ermglicht hat.
Bundesministerium des Innern: Herr Jrg-Udo Aden, Herr Andr Reisen, Herr Manfred Kramer
Bundesministerium fr Bildung und Wissenschaft: Herr Frank Stefan Stumm
Bundesamt fr Sicherheit in der Informationstechnik: Herr Rainer Belz, Herr Thomas Biere, Herr Uwe
Dornseifer, Herr Gnther Ennen, Herr Olaf Erber, Herr Frank W. Felzmann, Herr Michael Frtsch,
Herr Dr. Kai Fuhrberg, Herr Dr. Dirk Hger, Herr Dr. Hartmut Isselhorst, Herr Harald Kelter, Herr
Kurt Klinner, Herr Dr. Christian Mrugalla, Frau Isabel Mnch, Herr Robert Rasten, Frau Martina
Rohde, Herr Fabian Schelo, Herr Heiner Schorn, Herr Dr. Ernst Schulte-Geers, Herr Carsten Schulz,
Herr Bernd Schweda, Frau Katja Vogel, Herr Frank Weber, Herr Helmut Weisskopf, Herr Dr. Stefan
Wolf
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 5
Inhaltsverzeichnis 2004
_________________________________________________________________________________________
Inhaltsverzeichnis
Vorwort
Inhaltsverzeichnis
Einleitung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 6
Inhaltsverzeichnis 2004
_________________________________________________________________________________________
7 Datenbertragungseinrichtungen 8 Telekommunikation
7.1 Datentrgeraustausch 8.1 TK-Anlage
7.2 Modem 8.2 Faxgert
7.3 Sicherheitsgateway (Firewall) 8.3 Anrufbeantworter
7.4 E-Mail 8.4 LAN-Anbindung eines IT-Systems ber
7.5 Web Server ISDN
7.6 Remote Access 8.5 Faxserver
7.7 Lotus Notes 8.6 Mobiltelefon
7.8 Internet Information Server 8.7 PDA
7.9 Apache Webserver
7.10 Exchange/Outlook2000
7.11 Router und Switches
9 Sonstige IT-Komponenten
9.1 Standardsoftware
9.2 Datenbanken
9.3 Telearbeit
9.4 Novell eDirectory 8.6
9.5 Archivierung
Anhang
- Hilfsmittel
- KBSt- Empfehlungen 2/95
- Bezugsdokumente
- Index
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 7
Neues 2004
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 8
Neues 2004
_________________________________________________________________________________________
nicht verndert. Auf diese Weise ist anhand der Fuzeilen direkt erkennbar, welche Seiten sich
inhaltlich gendert haben.
WWW-Seiten zum IT-Grundschutz
Das Bundesamt fr Sicherheit in der Informationstechnik ist auch ber das Internet erreichbar. Den
aktuellen Sachstand zum IT-Grundschutz knnen Sie ber die Seite http://www.bsi.bund.de/gshb
abrufen. Auf diesen Seiten ist ein Forum eingerichtet, um aktuelle Informationen zum IT-Grund-
schutzhandbuch zeitnah zu prsentieren.
IT-Grundschutz-Zertifikat
Da das IT-Grundschutzhandbuch mit seinen Empfehlungen von Standardsicherheitsmanahmen
inzwischen einen Quasi-Standard fr IT-Sicherheit darstellt, bietet es sich an, dies als allgemein aner-
kanntes Kriterienwerk fr IT-Sicherheit zu verwenden. Hufige Anfragen nach einem "bescheinigten
Sicherheitsgrad" haben im BSI zu dem Entschluss gefhrt, ein Grundschutz-Zertifikat zu entwickeln.
Der weitere Sachstand wird in Kapitel 2.7 IT-Grundschutz-Zertifikat beschrieben. Aktuelle
Informationen finden sich im Internet unter http://www.bsi.bund.de/gshb/zert.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 9
Einleitung 2004
_________________________________________________________________________________________
Einleitung
IT-Grundschutz - Basis fr IT-Sicherheit
Zunehmend werden Funktionen in der ffentlichen
Verwaltung und der Wirtschaft, aber auch im tglichen
Leben in der modernen Informations- und Kommuni-
kationsgesellschaft durch den Einsatz von Informations-
technik (IT) untersttzt. Viele Arbeitsprozesse werden
elektronisch gesteuert und groe Mengen von Infor-
mationen werden digital gespeichert, elektronisch
verarbeitet und in lokalen und ffentlichen Netzen
bermittelt. Die Wahrnehmung mancher ffentlicher oder
privatwirtschaftlicher Aufgaben ist ohne IT berhaupt
nicht, die Erfllung anderer Aufgaben nur noch teilweise mglich. Damit sind viele Institutionen in
Verwaltung und Wirtschaft von dem einwandfreien Funktionieren der eingesetzten IT abhngig. Ein
Erreichen der Behrden- und Unternehmensziele ist nur bei ordnungsgemem und sicheren IT-
Einsatz mglich.
Dabei sind die auftretenden Abhngigkeiten von einer funktionierenden IT vielfltig. Fr Unter-
nehmen hngt der wirtschaftliche Erfolg und die Konkurrenzfhigkeit von der IT ab, letztlich sind es
damit sogar Arbeitspltze, die direkt vom Funktionieren der IT abhngen. Ganze Branchen wie zum
Beispiel Banken und Versicherungen, Automobilindustrie und Logistik knnen heute nicht mehr ohne
IT betrieben werden. Letztlich hngt damit das Wohl jedes Brgers von der IT ab: sei es der Arbeits-
platz des Brgers, sei es die Erfllung des tglichen Konsumbedarfs oder seine digitale Identitt im
Zahlungsverkehr, in der Kommunikation oder zunehmend im E-Commerce. Mit der Abhngigkeit von
der IT erhht sich auch der potentielle soziale Schaden durch den Ausfall von IT. Da IT an sich nicht
frei von Schwachstellen ist, besteht ein durchaus berechtigtes Interesse, die von der IT verarbeiteten
Daten und Informationen zu schtzen und die Sicherheit der IT zu planen, zu realisieren und zu
kontrollieren.
Die Schden durch IT-Fehlfunktionen knnen verschiedenen Kategorien zugeordnet werden. Am
aufflligsten ist der Verlust der Verfgbarkeit: luft ein IT-System nicht, knnen keine Geldtrans-
aktionen durchgefhrt werden, Online-Bestellungen sind unmglich, Produktionsprozesse stehen still.
Hufig diskutiert ist auch der Verlust der Vertraulichkeit von Daten: jeder Brger wei um die
Notwendigkeit, seine personenbezogenen Daten vertraulich zu halten, jedes Unternehmen wei, dass
firmeninterne Daten ber Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessie-
ren. Aber auch der Verlust der Integritt (Korrektheit von Daten) kann schwerwiegende Folgen haben:
geflschte oder verflschte Daten fhren zu Fehlbuchungen, Produktionsprozesse stoppen wegen
fehlerhafter Lieferungen, falsche Entwicklungs- und Planungsdaten fhren zu fehlerhaften Produkten.
Seit einigen Jahren gewinnt auch der Verlust der Authentizitt als ein Teilbereich der Integritt an
Bedeutung: Daten werden einer falschen Person zugeordnet. Beispielsweise knnen Zahlungsan-
weisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale
Willenserklrungen knnen falschen Personen zugerechnet werden, die "digitale Identitt" wird
geflscht.
Dabei wird diese Abhngigkeit von der IT in Zukunft noch weiter zunehmen. Besonders erwhnens-
wert sind dabei folgende Entwicklungen:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 10
Einleitung 2004
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 11
Einleitung 2004
_________________________________________________________________________________________
Angesichts der vorgestellten Gefhrdungspotentiale und der steigenden Abhngigkeit stellen sich
damit fr jede Institution, sei es ein Unternehmen oder eine Behrde, bezglich IT-Sicherheit mehrere
zentrale Fragen:
- Wie sicher ist die IT einer Institution?
- Welche IT-Sicherheitsmanahmen mssen ergriffen werden?
- Wie mssen diese Manahmen konkret umgesetzt werden?
- Wie hlt bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
- Wie sicher ist die IT anderer Institutionen, mit denen eine Kooperation stattfindet?
Bei der Suche nach Antworten auf diese Fragen ist zu beachten, dass IT-Sicherheit nicht alleine eine
technische Fragestellung ist. Um ein ausreichend sicheres IT-System betreiben zu knnen, sind neben
den technischen auch organisatorische, personelle und baulich-infrastrukturelle Manahmen zu reali-
sieren und insbesondere ist ein IT-Sicherheitsmanagement einzufhren, das die Aufgaben zur IT-
Sicherheit konzipiert, koordiniert und berwacht.
Vergleicht man jetzt die IT-Systeme aller Institutionen im Hinblick auf obige Fragen, so kristallisiert
sich eine besondere Gruppe von IT-Systemen heraus. Die IT-Systeme in dieser Gruppe lassen sich wie
folgt charakterisieren:
- Es sind typische IT-Systeme, d. h. diese Systeme sind keine Individuallsungen, sondern sie sind
weit verbreitet im Einsatz.
- Der Schutzbedarf der IT-Systeme bezglich Vertraulichkeit, Integritt und Verfgbarkeit liegt im
Rahmen des Normalmaes.
- Zum sicheren Betrieb der IT-Systeme sind Standard-Sicherheitsmanahmen aus den Bereichen
Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge erforderlich.
Gelingt es, fr diese Gruppe der "typischen" IT-Systeme den gemeinsamen Nenner aller Sicherheits-
manahmen, die Standard-Sicherheitsmanahmen, zu beschreiben, so wrde dies die Beantwortung
obiger Fragen fr diese "typischen" IT-Systeme erheblich erleichtern. IT-Systeme, die auerhalb
dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutz-
bedarf, knnen sich dann zwar an den Standard-Sicherheitsmanahmen orientieren, bedrfen letztlich
aber einer individuellen Betrachtung.
Das IT-Grundschutzhandbuch beschreibt detailliert diese Standard-Sicherheitsmanahmen, die
praktisch fr jedes IT-System zu beachten sind. Es umfasst:
- Standardsicherheitsmanahmen fr typische IT-Systeme mit "normalem" Schutzbedarf,
- eine Darstellung der pauschal angenommenen Gefhrdungslage,
- ausfhrliche Manahmenbeschreibungen als Umsetzungshilfe,
- eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-
Sicherheitsniveaus und
- eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines
Soll-Ist-Vergleichs.
Da die Informationstechnik sehr innovativ ist und sich stndig weiterentwickelt, ist das vorliegende
Handbuch auf Aktualisierbarkeit und Erweiterbarkeit angelegt. Das Bundesamt fr Sicherheit in der
Informationstechnik aktualisiert auf der Grundlage von Anwenderbefragungen das Handbuch stndig
und erweitert es um neue Themen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 12
Einleitung 2004
_________________________________________________________________________________________
Dabei ist die Resonanz sehr positiv. Im Anhang des Handbuchs findet sich ein Auszug aus der Liste
derjenigen Institutionen, die das IT-Grundschutzhandbuch einsetzen. Sie stellt im berblick dar, in
welchen Branchen und in welchen Firmen bzw. Behrden IT-Grundschutz angewendet wird.
Da das Handbuch auch international groen Anklang findet, wird es zustzlich in einer englisch-
sprachigen Version digital zur Verfgung gestellt.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 13
Wegweiser durch das IT-Grundschutzhandbuch 1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 14
IT-Grundschutz: Ziel, Idee und Konzeption 1.1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 15
IT-Grundschutz: Ziel, Idee und Konzeption 1.1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 16
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 17
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________
"1": Diese Manahmen sind die Grundlage fr die Sicherheit innerhalb des
betrachteten Bausteins. Sie sind vorrangig umzusetzen.
"2": Diese Manahmen sind wichtig. Eine zgige Realisierung ist anzustreben.
"3": Diese Manahmen sind wichtig fr die Abrundung der IT-Sicherheit. Bei
Engpssen knnen sie zeitlich nachrangig umgesetzt werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 18
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________
Neben der eigentlichen Empfehlung, wie die einzelnen Manahmen umzusetzen sind, werden Ver-
antwortliche beispielhaft genannt. Verantwortlich fr die Initiierung bezeichnet die Personen oder
Rollen, die die Umsetzung einer Manahme typischerweise veranlassen sollten. Verantwortlich fr die
Umsetzung bezeichnet die Personen oder Rollen, die die Realisierung der Manahme durchfhren
sollten.
Weiterhin werden ergnzende Kontrollfragen angefhrt, die das behandelte Thema abrunden und
nochmals einen kritischen Blick auf die Umsetzung der Manahmen bewirken sollen. Diese ergn-
zenden Kontrollfragen erheben dabei jedoch keinen Anspruch auf Vollstndigkeit.
Der Zusammenhang zwischen den fr den IT-Grundschutz angenommenen Gefhrdungen und den
empfohlenen Manahmen kann den Manahmen-Gefhrdungstabellen entnommen werden. Diese
werden nicht abgedruckt, sondern befinden sich auf der CD-ROM zum IT-Grundschutzhandbuch
(siehe Anhang: Hilfsmittel). Fr jeden Baustein gibt es eine Manahmen-Gefhrdungstabelle.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 19
Aufbau und Lesart des Handbuchs 1.2
_________________________________________________________________________________________
Als Beispiel sei ein Auszug aus der Manahmen-Gefhrdungstabelle fr den Baustein Datentrger-
austausch angefhrt:
G G G G G G G G
1. 1. 1. 2. 2. 2. 2. 2.
Prioritt 7 8 9 3 1 1 1 1
0 7 8 9
M 1.36 2* X X
M 2.42 2 X
M 2.43 1 X X X
M 2.44 1 X X X
Alle Tabellen haben einen einheitlichen Aufbau. In der Kopfzeile sind die im dazugehrigen Baustein
aufgelisteten Gefhrdungen mit ihren Nummern eingetragen. In der ersten Spalte finden sich entspre-
chend die Nummern der Manahmen wieder. In der zweiten Spalte ist eingetragen, welche Prioritt
die einzelne Manahme fr den betrachteten Baustein besitzt. Folgt dieser Zahl ein "*", ist diese
Manahme im Baustein als "optional" gekennzeichnet.
Die brigen Spalten beschreiben den Zusammenhang zwischen Manahmen und Gefhrdungen. Ist in
einem Feld ein "X" eingetragen, so bedeutet dies, dass die korrespondierende Manahme gegen die
entsprechende Gefhrdung wirksam ist. Diese Wirkung kann schadensvorbeugender oder schadens-
mindernder Natur sein.
Fr den Fall, dass eine empfohlene Manahme nicht umgesetzt werden kann, ist es anhand dieser
Tabellen mglich zu ermitteln, welche Gefhrdungen ggf. nicht mehr ausreichend abgewehrt werden.
Es ist dann abzuwgen, ob eine Ersatzmanahme realisiert werden sollte. Keinesfalls jedoch sollten
diese Tabellen so interpretiert werden, dass eine Manahme, die besonders viele "X"-Eintrge besitzt,
auch eine besonders hohe Bedeutung besitzt. Es gibt Flle, in denen eine Manahme genau gegen eine
Gefhrdung wirkt, aber dennoch unverzichtbar ist.
Abschlieend sei erwhnt, dass smtliche Bausteine, Gefhrdungen, Manahmen, Tabellen und
Hilfsmittel auf der CD-ROM zum IT-Grundschutzhandbuch enthalten sind. Diese Texte knnen bei
der Erstellung eines Sicherheitskonzeptes und bei der Realisierung von Manahmen weiterverwendet
werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 20
Anwendungsweisen des IT-Grundschutzhandbuchs 1.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 21
Anwendungsweisen des IT-Grundschutzhandbuchs 1.3
_________________________________________________________________________________________
Die einzelnen Schritte der IT-Strukturanalyse werden im Detail in Kapitel 2.1 dieses Handbuchs in
Form einer Handlungsanweisung beschrieben.
Schutzbedarfsfeststellung
Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz fr die Informationen und die
eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden fr jede Anwendung
und die verarbeiteten Informationen die zu erwartenden Schden betrachtet, die bei einer Beeintrch-
tigung von Vertraulichkeit, Integritt oder Verfgbarkeit entstehen knnen. Wichtig ist dabei auch
eine realistische Einschtzung der mglichen Folgeschden. Bewhrt hat sich eine Einteilung in die
drei Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch". Erluterungen und
praktische Hinweise zur Schutzbedarfsfeststellung sind Gegenstand von Kapitel 2.2.
Sicherheitskonzeption
Die Informationstechnik in Behrden und Unternehmen ist heute blicherweise durch stark vernetzte
IT-Systeme geprgt. In der Regel ist es daher zweckmig, im Rahmen einer IT-Sicherheitsanalyse
bzw. IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten. Um diese
Aufgabe bewltigen zu knnen, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen
und jeweils einen Teil, eben einen IT-Verbund, getrennt zu betrachten. Voraussetzung fr die Anwen-
dung des IT-Grundschutzhandbuchs auf einen IT-Verbund sind detaillierte Unterlagen ber seine
Struktur. Diese knnen beispielsweise ber die oben beschriebene IT-Strukturanalyse gewonnen
werden. Anschlieend mssen die Bausteine des IT-Grundschutzhandbuchs in einem Modellierungs-
schritt auf die Komponenten des vorliegenden IT-Verbunds abgebildet werden.
In Kapitel 2.3 dieses Handbuchs wird beschrieben, wie die Modellierung eines IT-Verbunds durch
Bausteine des Handbuchs vorgenommen werden sollte. Wie die anschlieende IT-Grundschutzer-
hebung anhand eines Basis-Sicherheitschecks durchgefhrt werden sollte, wird in Kapitel 2.4
beschrieben.
Basis-Sicherheitscheck
Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen berblick ber
das vorhandene IT-Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status Quo eines
bestehenden (nach IT-Grundschutz modellierten) IT-Verbunds in Bezug auf den Umsetzungsgrad von
Sicherheitsmanahmen des IT-Grundschutzhandbuchs ermittelt. Als Ergebnis liegt ein Katalog vor, in
dem fr jede relevante Manahme der Umsetzungsstatus "entbehrlich", "ja", "teilweise" oder "nein"
erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Manahmen
werden Verbesserungsmglichkeiten fr die Sicherheit der betrachteten Informationstechnik auf-
gezeigt. Kapitel 2.4 beschreibt einen Aktionsplan fr die Durchfhrung eines Basis-Sicherheitschecks.
Dabei wird sowohl den organisatorischen Aspekten als auch den fachlichen Anforderungen bei der
Projektdurchfhrung Rechnung getragen.
IT-Sicherheitsrevision
Die im IT-Grundschutzhandbuch enthaltenen Sicherheitsmanahmen knnen auch fr die IT-Sicher-
heitsrevision genutzt werden. Hierzu sind exemplarisch auf der Grundlage der Bausteine
3.1 Organisation 5.5 PC unter Windows NT
3.2 Personal 5.6 PC mit Windows 95
Checklisten entwickelt worden, die das IT-Sicherheitsmanagement bei der berprfung der in einer
Behrde oder einem Unternehmen umgesetzten IT-Sicherheit untersttzen sollen. Die Checklisten
sind auf der CD-ROM zum IT-Grundschutzhandbuch enthalten (siehe Anhang: Hilfsmittel). Der
derzeitige Stand der Checklisten ist keineswegs endgltig, er bildet lediglich die Grundlage fr
Diskussionen und
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 22
Anwendungsweisen des IT-Grundschutzhandbuchs 1.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 23
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
3.0 IT-Sicherheitsmanagement
Das Kapitel zeigt einen systematischen Weg auf, wie ein funktionierendes IT-Sicherheitsmanagement
eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.
3.1 Organisation
In diesem Baustein werden die fr die IT-Sicherheit grundlegend notwendigen organisatorischen
Regelungen angefhrt. Beispiele sind Festlegung der Verantwortlichkeiten, Datentrgerverwaltung
und Regelungen zum Passwortgebrauch. Sie sind fr jedes IT-System umzusetzen.
3.2 Personal
Der Baustein "Personal" beschreibt die Manahmen im Personalbereich, die zum Erreichen von IT-
Sicherheit zu beachten sind. Beispiele sind Vertretungsregelungen, Schulungsmanahmen und gere-
gelte Verfahrensweise beim Ausscheiden von Mitarbeitern. Sie sind unabhngig von der Art der
eingesetzten IT-Systems zu beachten.
3.3 Notfallvorsorge-Konzept
Hier wird eine Vorgehensweise dargestellt, wie ein Notfallvorsorge-Konzept erstellt werden kann.
Dieser Baustein sollte insbesondere fr grere IT-Systeme bercksichtigt werden.
3.4 Datensicherungskonzept
Dieser Baustein stellt dar, wie ein fundiertes Datensicherungskonzept systematisch erarbeitet werden
kann. Dieser Baustein ist insbesondere fr grere IT-Systeme oder IT-Systeme mit groem Daten-
bestand gedacht.
3.5 Datenschutz
Die Rahmenbedingungen fr einen praxisgerechten Datenschutz und die Verbindung zur IT-Sicherheit
ber den IT-Grundschutz werden in diesem Baustein dargestellt. Das Kapitel Datenschutz wurde
federfhrend vom Bundesbeauftragten fr den Datenschutz (BfD) gemeinsam mit dem Arbeitskreis
Technik der Datenschutzbeauftragten des Bundes und der Lnder erstellt und kann beim BfD abge-
rufen werden.
3.6 Computer-Virenschutzkonzept
Ziel eines Computer-Virenschutzkonzeptes ist es, ein geeignetes Manahmenbndel zusammen-
zustellen, bei dessen Einsatz das Auftreten von Computer-Viren auf den in einer Organisation einge-
setzten IT-Systemen verhindert bzw. mglichst frh erkannt wird, um Gegenmanahmen vornehmen
zu knnen und mgliche Schden zu minimieren.
3.7 Kryptokonzept
Dieser Baustein beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die
lokal gespeicherten Daten als auch die zu bertragenen Daten wirkungsvoll durch kryptographische
Verfahren und Techniken geschtzt werden knnen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 24
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 25
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
4.4 Schutzschrnke
Fr die sichere Aufbewahrung von Datentrgern oder Hardware knnen Schutzschrnke die Schutz-
wirkung von Rumen (Serverraum, Datentrgerarchiv) zustzlich erhhen. Ggf. kann ein spezieller
Serverschrank auch als Alternative zu einem Serverraum eingesetzt werden. Die fr die Beschaffung,
die Aufstellung und die Nutzung eines Schutzschrankes erforderlichen Manahmen werden in diesem
Baustein beschrieben.
4.5 Huslicher Arbeitsplatz
In diesem Baustein werden die Manahmen beschrieben, die erforderlich sind, um einen huslichen
Arbeitsplatz mit einem adquaten Sicherheitsstandard einzurichten, so dass dieser fr dienstliche
Aufgaben genutzt werden kann.
4.6 Rechenzentrum
Als Rechenzentrum werden die fr den Betrieb einer greren, zentral fr mehrere Stellen
eingesetzten Datenverarbeitungsanlage erforderlichen Einrichtungen und Rumlichkeiten bezeichnet.
Der Baustein enthlt Manahmenempfehlungen fr ein Rechenzentrum mittlere Art und Gte, d. h. die
Sicherheitsanforderungen liegen zwischen denen eines Serverraums und denen von Hoch-
sicherheitsrechenzentren.
5.1 DOS-PC (ein Benutzer)
In diesem Baustein werden die Manahmen genannt, die beim Einsatz eines handelsblichen PCs
beachtet werden mssen, der standardmig nur von einem Benutzer betrieben wird. Beispiele sind:
Passwortschutz, Einsatz eines Viren-Suchprogramms, regelmige Datensicherung.
5.2 Unix-System
Betrachtet wird ein IT-System unter dem Betriebssystem Unix oder Linux, das entweder ohne
Verbindung zu anderen Rechnern oder als Client in einem Netz betrieben wird. Terminals oder PCs,
die als Terminal betrieben werden, knnen angeschlossen sein. Hierzu werden sowohl
organisatorische wie auch Unix-spezifische Manahmen genannt.
5.3 Tragbarer PC
Ein tragbarer PC (Laptop) erfordert gegenber dem normalen PC zustzliche IT-Sicherheitsmanah-
men, da er aufgrund der mobilen Nutzung anderen Gefhrdungen ausgesetzt ist. Beispiele fr zustz-
liche Manahmen sind: geeignete Aufbewahrung im mobilen Einsatz und der Einsatz eines
Verschlsselungsproduktes.
5.4 PCs mit wechselnden Benutzern
In diesem Baustein werden die Manahmen genannt, die beim Einsatz eines handelsblichen PCs
beachtet werden mssen, der standardmig von mehreren Benutzern betrieben wird. Beispiele sind:
PC-Sicherheitsprodukt, Passwortschutz, Einsatz eines Viren-Suchprogramms, regelmige Daten-
sicherung.
5.5 PC unter Windows NT
In diesem Baustein werden Manahmen genannt, die fr nicht vernetzte PCs mit dem Betriebssystem
Windows NT (Version 3.51 oder 4.0) erforderlich sind. Auf sicherheitsspezifische Aspekte einzelner
Windows NT-Anwendungen wird nur am Rande eingegangen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 26
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 27
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 28
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
7.4 E-Mail
Fr eine sichere E-Mail-Kommunikation werden hier die erforderlichen Manahmen sowohl auf
Seiten des Mailservers als auch auf Seiten des Mailclients aufgefhrt. Auerdem werden die von den
Benutzern einzuhaltenden Sicherheitsbestimmungen vorgestellt.
7.5 Webserver
Ein WWW-Server ist ein IT-System, das ber eine Informationsdatenbank WWW-Clients Dateien zur
Verfgung stellt. Ein WWW-Client, auch Browser genannt, zeigt die Informationen eines WWW-
Servers auf dem Benutzerrechner an. Die Sicherheit der WWW-Nutzung beruht auf der Sicherheit des
WWW-Servers, des WWW-Clients und der Kommunikationsverbindung zwischen beiden. Die fr
eine sichere WWW-Nutzung erforderlichen Manahmen werden im Baustein WWW-Server
beschrieben.
7.6 Remote Access
Um einem Benutzer entfernte Zugriffe (Remote Access) mit seinem lokalen Rechner auf ein entferntes
Rechnernetz zu ermglichen, mssen hierfr entsprechende Dienste (RAS, Remote Access Service)
eingerichtet werden. Wie die einzelnen RAS-Systemkomponenten abgesichert werden knnen und wie
hierzu ein entsprechendes RAS-Sicherheitskonzept erstellt werden kann, wird in diesem Baustein
vorgestellt.
7.7 Lotus Notes
Lotus Notes ist ein Produkt im Bereich der Workgroup-Untersttzung. Hierzu stellt es Funktionen zur
Kommunikation, Datenbertragung und Datenhaltung zur Verfgung. Der Baustein enthlt
Manahmen zur sicheren Planung, Installation, Konfiguration und zum sicheren Betrieb der Client-
und Server-seitigen Komponenten von Lotus Notes.
7.8 Internet Information Server
Der Microsoft Internet Information Server (IIS) wird standardmig mit den Serverversionen von
Windows NT 4.0 (IIS 4), Windows 2000 (IIS 5), mit Windows XP Professional (IIS 5.1) und
Windows Server 2003 (IIS 6) ausgeliefert. Er stellt die Informationsdienste WWW, FTP, NNTP und
SMTP auf der Windows-Plattform zur Verfgung. Der Baustein beschreibt Sicherheitsmanahmen fr
die IIS-Versionen 4 und 5 und ergnzt somit den Baustein 7.5 um produktspezifische Aspekte.
7.9 Apache-Webserver
Der Apache Webserver ist die am hufigsten im Internet eingesetzte Webserver-Software. Sie kann
sowohl auf Unix- als auch auf Windows-Systemen betrieben werden. Der Baustein beschreibt
Sicherheitsmanahmen fr den Apache Webserver und ergnzt somit den Baustein 7.5 um
produktspezifische Aspekte. Der Schwerpunkt liegt auf der Versionsreihe 2.0.x, die meisten
Empfehlungen knnen jedoch problemlos auf die Versionen 1.3.x bertragen werden.
7.10 Exchange 2000 / Outlook 2000
Microsoft Exchange 2000 ist ein Managementsystem unter anderem fr E-Mails, Newsgroups,
Kalender und Aufgabenlisten. In Unternehmen und Behrden wird es hufig gemeinsam mit dem
Client-Produkt Outlook 2000 eingesetzt, das Teil des Microsoft Office 2000 Pakets ist. Der Baustein
beschreibt Standard-Sicherheitsmanahmen fr Exchange 2000 und Outlook 2000 und ergnzt somit
Baustein 7.4 um produktspezifische Aspekte.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 29
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 30
Kurzdarstellung vorhandener Bausteine 1.4
_________________________________________________________________________________________
9.1 Standardsoftware
Es wird eine Vorgehensweise beschrieben, wie der Lebenszyklus von Standardsoftware, d. h. Anfor-
derungskatalog, Auswahl, Testen, Freigabe, Installation und Deinstallation, gestaltet werden kann.
Insbesondere werden Aspekte wie Tests der Funktionalitt und Sicherheitseigenschaften, Installati-
onsanweisungen und Freigabeerklrung erlutert.
9.2 Datenbanken
Die fr die Auswahl einer Datenbank, deren Installation und Konfiguration sowie fr den laufenden
Betrieb erforderlichen Manahmen wie z. B. Erstellung eines Datenbankkonzeptes, Regelung zur
Einrichtung von Datenbankbenutzern/-benutzergruppen oder Richtlinien fr Datenbank-Anfragen
werden in diesem Kapitel beschrieben.
9.3 Telearbeit
Die aus organisatorischer und personeller Sicht erforderlichen Regelungen fr die Einrichtung von
Telearbeitspltzen werden in diesem Baustein beschrieben. Weiterhin werden die sicherheitstech-
nischen Anforderungen an die Telearbeit formuliert, die durch den Einsatz geeigneter IT-Kompo-
nenten realisiert werden mssen.
9.4 Novell eDirectory
Novell eDirectory ist ein komplexes und vielseitiges Produkt, das einerseits innerhalb eines Netzes das
Management der eingebundenen Ressourcen und deren Benutzer bernehmen kann und andererseits
auch als Internet-Informationsbasis einsetzbar ist. Der Baustein verweist auf die beim Einsatz von
Novell eDirectory erforderlichen Standard-Sicherheitsmanahmen.
9.5 Archivierung
Die dauerhafte und unvernderbare Speicherung von elektronischen Dokumenten und anderen Daten
wird als Archivierung bezeichnet. Der Baustein beschreibt Sicherheitsempfehlungen unter anderem
zur systematischen Planung, Einfhrung, Betrieb und Migration von Archivsystemen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 31
Hilfsmittel 1.5
_________________________________________________________________________________________
1.5 Hilfsmittel
Mit den Empfehlungen der Standard-Sicherheitsmanahmen bietet das IT-Grundschutzhandbuch
unmittelbare Hilfe zur Umsetzung der IT-Sicherheit. Darber hinaus stehen weitere Hilfsmittel fr die
tgliche Arbeit mit IT-Sicherheit zur Verfgung. Diese Hilfsmittel lassen sich in zwei Bereiche
unterteilen: einerseits Software und Programme und andererseits weiterfhrende Dokumente.
Software-Hilfsmittel
Fr den IT-Grundschutz stehen zur Zeit folgende Software-Hilfsmittel zur Verfgung (weitere
Informationen dazu finden sich auf der BSI Webseite):
- BSI-Tool zum IT-Grundschutz: Mit diesem im Auftrag des BSI entwickelten Tool wird die
gesamte Vorgehensweise bei der Erstellung eines Sicherheitskonzepts nach IT-Grundschutz, der
Soll-Ist-Vergleich, die Umsetzung der Manahmen und die anschlieende Sicherheitsrevision
untersttzt. Darber hinaus kann aus dem Tool elektronisch auf die Texte des Handbuchs zugegrif-
fen werden. Ein individuell anpassbares Berichtswesen untersttzt den IT-Sicherheitsbeauftragten
dabei, IT-Grundschutz umzusetzen.
- Webkurs IT-Grundschutz: Dieser Selbstlern-Kurs erleichtert den Einstieg in das umfassende
Thema IT-Grundschutz. In etwa vier Stunden werden Einsteiger in leicht nachvollziehbarer Form
an das Thema IT-Grundschutz herangefhrt. Der Webkurs zeigt auf, wie fr einen IT-
Sicherheitsprozess die notwendigen Analysen durchzufhren und Dokumente auszuarbeiten sind.
Anhand eines Beispiels wird die Anwendung des IT-Grundschutzhandbuchs fr einen
vollstndigen IT-Verbund demonstriert. Durch zahlreiche Anleitungen, Beispiele, bungen und
Hilfsmittel werden die Lernenden so trainiert, dass sie eigene Sicherheitskonzepte gem IT-
Grundschutzhandbuch erstellen knnen.
- Chiasmus fr Windows: Speziell fr die Belange der deutschen Verwaltung wurde ein
Verschlsselungsprogramm, das unter der Windows-Oberflche eingesetzt werden kann, vom BSI
entwickelt. Darber hinaus knnen mit diesem Tool auch Dateien physikalisch gelscht werden.
Weiterfhrende Dokumente
Zur Ergnzung des IT-Grundschutzhandbuchs stehen eine Reihe von weiteren Dokumenten zur
Verfgung. Diese sind teilweise vom BSI erstellt worden und teilweise auch von Anwendern des
Handbuchs dem BSI zur weiteren Verbreitung kostenlos zur Verfgung gestellt worden. Eine ber-
sicht ber die verfgbaren Hilfsmittel befindet sich im Anhang.
An dieser Stelle seien einige dieser Hilfsmittel genannt:
- Muster einer IT-Sicherheitsleitlinie,
- Musterdienstanweisung fr IT-Sicherheitsbeauftragte,
- Muster einer Benutzerordnung fr elektronische Kommunikationsdienste,
- Mustervertrag zur Entsorgung von Datentrgern,
- Musterbetriebsvereinbarung fr E-Mail und Internet,
- Foliensatz zur Vorstellung von IT-Grundschutz fr Manager, IT-Verantwortliche und Mitarbeiter
und
- Formbltter fr die IT-Grundschutzerhebung.
Alle Hilfsmittel, die von Anwendern des IT-Grundschutzhandbuchs erarbeitet und anderen Anwen-
dern hier zur Verfgung gestellt werden, erspart der "Interessengemeinschaft IT-Sicherheit" erhebliche
Arbeit, indem das Rad nicht immer wieder neu erfunden werden muss. Hilfsmittel knnen dem BSI
ber die IT-Grundschutz-Hotline (01888/9582-369 oder gshb@bsi.bund.de) bermittelt werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 32
Informationsfluss und Kontakte 1.6
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 33
Informationsfluss und Kontakte 1.6
_________________________________________________________________________________________
den Informationsaustausch nur per E-Mail und per Fax abwickeln, der Postweg wird nur in seltenen
Ausnahmen genutzt.
Um Transparenz zu erzeugen, welche Branchen IT-Grundschutz einsetzen, verffentlicht das BSI im
Internet diejenigen registrierten Institutionen, die dieser Verffentlichung zustimmen. Dazu finden
regelmig Abfragen durch das BSI statt.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 34
Anwendung des IT-Grundschutzhandbuchs 2
_________________________________________________________________________________________
2.1 IT-Strukturanalyse
2.2 Schutzbedarfsfeststellung
2.3 Modellierung nach IT-Grundschutz
2.4 Basis-Sicherheitscheck
2.5 Ergnzende Sicherheitsanalyse
2.6 Realisierung von IT-Sicherheitsmanahmen
2.7 IT-Grundschutz-Zertifikat
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 35
Anwendung des IT-Grundschutzhandbuchs 2
_________________________________________________________________________________________
Abbildung: IT-Sicherheitsprozess
Weiterfhrende Informationen zum Bereich IT-Sicherheitsmanagement sind in Kapitel 3.0 dieses
Handbuchs zu finden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 36
Anwendung des IT-Grundschutzhandbuchs 2
_________________________________________________________________________________________
Nach der Erfassung der vorhandenen Informationstechnik wird eine Schutzbedarfsfeststellung durch-
gefhrt. In der anschlieenden IT-Grundschutzanalyse wird zunchst die betrachtete IT-Landschaft
durch Bausteine des Handbuchs nachgebildet. Anschlieend findet ein Soll-Ist-Vergleich zwischen
empfohlenen Standard-Sicherheitsmanahmen und den bereits realisierten Manahmen statt. Sollten
bei der Schutzbedarfsfeststellung Komponenten mit einem hohen oder sehr hohen Schutzbedarf
identifiziert worden sein, so bietet es sich an, nach der IT-Grundschutzanalyse eine ergnzende IT-
Sicherheitsanalyse durchzufhren. Dies kann ebenso fr den Fall erforderlich sein, dass im IT-Grund-
schutzhandbuch keine passenden Bausteine vorhanden sind. Den Abschluss der Erstellung eines IT-
Sicherheitskonzepts unter Verwendung des IT-Grundschutzhandbuchs bildet die Erstellung eines
Realisierungsplans fr die identifizierten und konsolidierten IT-Sicherheitsmanahmen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 37
IT-Strukturanalyse 2.1
_________________________________________________________________________________________
2.1 IT-Strukturanalyse
Die IT-Strukturanalyse dient der Vorerhebung von
Informationen, die fr die weitere Vorgehensweise in der
Erstellung eines IT-Sicherheitskonzepts nach IT-Grund-
schutz bentigt werden. Sie gliedert sich in folgende
Teilaufgaben:
- Netzplanerhebung
- Komplexittsreduktion durch Gruppenbildung
- Erhebung der IT-Systeme
- Erfassung der IT-Anwendungen und der zugehrigen
Informationen
Diese Teilaufgaben werden nachfolgend beschrieben und durch ein begleitendes Beispiel erlutert.
Eine ausfhrliche Version des Beispiels ist den Hilfsmitteln auf der CD-ROM zum IT-Grundschutz-
handbuch beigefgt.
Auswertung eines Netzplans
Einen geeigneten Ausgangspunkt fr die IT-Strukturanalyse stellt ein Netzplan (beispielsweise in
Form eines Netztopologieplans) dar. Ein Netzplan ist eine graphische bersicht ber die im betrach-
teten Bereich der Informations- und Kommunikationstechnik eingesetzten Komponenten und deren
Vernetzung. Im Einzelnen sollte der Plan folgende Objekte darstellen:
- IT-Systeme, d. h. Client- und Server-Computer, aktive Netzkomponenten (wie Hubs, Switches,
Router), Netzdrucker, etc.
- Netzverbindungen zwischen diesen Systemen, d. h. LAN-Verbindungen (wie Ethernet, Token-
Ring), Backbone-Technologien (wie FDDI, ATM), etc.
- Verbindungen des betrachteten Bereichs nach auen, d. h. Einwahl-Zugnge ber ISDN oder
Modem, Internet-Anbindungen ber analoge Techniken oder Router, Funkstrecken oder Miet-
leitungen zu entfernten Gebuden oder Liegenschaften, etc.
Zu jedem der dargestellten Objekte gehrt weiterhin ein Minimalsatz von Informationen, die einem
zugeordneten Katalog zu entnehmen sind. Fr jedes IT-System sollte zumindest
- eine eindeutige Bezeichnung (beispielsweise der vollstndige Hostname oder eine Identifikations-
nummer),
- Typ und Funktion (beispielsweise Datenbankserver fr Anwendung X),
- die zugrunde liegende Plattform (d. h. Hardware-Plattform und Betriebssystem),
- der Standort (beispielsweise Gebude- und Raumnummer),
- der zustndige Administrator sowie
- die Art der Netzanbindung und die Netzadresse
vermerkt sein. Nicht nur fr die IT-Systeme selbst, sondern auch fr die Netzverbindungen zwischen
den Systemen und fr die Verbindungen nach auen sind bestimmte Informationen erforderlich,
nmlich
- die Art der Verkabelung (z. B. Lichtwellenleiter),
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 38
IT-Strukturanalyse 2.1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 39
IT-Strukturanalyse 2.1
_________________________________________________________________________________________
Nach erfolgreicher Gruppierung werden die zusammengefassten Komponenten im Netzplan durch ein
Objekt dargestellt. Dabei sind Typ und Anzahl der Komponenten zu vermerken, die durch die Gruppe
reprsentiert werden.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 1
Im Folgenden wird anhand einer fiktiven Behrde, dem BOV, beispielhaft dargestellt, wie ein berei-
nigter Netzplan aussehen kann. Zu beachten ist, dass die IT-Struktur des BOV im Hinblick auf IT-
Sicherheit keineswegs optimal ist. Sie dient lediglich dazu, die Vorgehensweise bei der Anwendung
des IT-Grundschutzhandbuchs zu illustrieren. (Das komplette Beispiel ist den Hilfsmitteln auf der CD-
ROM beigefgt.)
Das BOV sei eine fiktive Behrde mit 150 Mitarbeitern, von denen 130 an Bildschirmarbeitspltzen
arbeiten. Rumlich besteht eine Aufteilung des Bundesamts in die Hauptstelle Bonn und eine Auen-
stelle in Berlin, wo unter anderem die Teilaufgaben Grundsatz, Normung und Koordinierung wahrge-
nommen werden. Von den insgesamt 130 Mitarbeitern mit IT-gesttzten Arbeitspltzen sind 90 in
Bonn und 40 in Berlin ttig.
Um die Dienstaufgaben leisten zu knnen, sind alle Arbeitspltze vernetzt worden. Die Auenstelle
Berlin ist ber eine angemietete Standleitung angebunden. Alle zu Grunde liegenden Normen und
Vorschriften sowie Formulare und Textbausteine sind stndig fr jeden Mitarbeiter abrufbar. Alle
relevanten Arbeitsergebnisse werden in eine zentrale Datenbank eingestellt. Entwrfe werden aus-
schlielich elektronisch erstellt, weitergeleitet und unterschrieben. Zur Realisierung und Betreuung
aller bentigten Funktionalitten ist in Bonn ein IT-Referat installiert worden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 40
IT-Strukturanalyse 2.1
_________________________________________________________________________________________
Sowohl in Berlin als auch in Bonn wurden die Clients in geeignete Gruppen zusammengefasst. Zwar
sind alle 130 Clients nahezu gleich konfiguriert, sie unterscheiden sich jedoch im Hinblick auf die
Anwendungen, die Einbindung in das Netz und die infrastrukturellen Rahmenbedingungen. Die
Gruppe C1 reprsentiert die 5 Clients in der Personalabteilung. Diese haben Zugriff auf den Server S1
der Personalabteilung in Bonn. C2 und C3 fassen die 10 Clients der Verwaltungsabteilung bzw. die 75
Clients der Fachabteilungen in Bonn zusammen. Sie unterscheiden sich lediglich im Hinblick auf die
genutzten Anwendungsprogramme. Schlielich werden durch die Gruppe C4 die Clients der Fachab-
teilungen in der Liegenschaft Berlin dargestellt. Von den Gruppen C1 bis C3 unterscheiden sie sich
durch die umgebende Infrastruktur und die abweichende Einbindung in das Gesamtnetz.
Erhebung der IT-Systeme
Im Hinblick auf die spter durchzufhrende Schutzbedarfsfeststellung und Modellierung des IT-
Verbunds wird als nchster Schritt eine Liste der vorhandenen und geplanten IT-Systeme in tabella-
rischer Form aufgestellt. Der Begriff IT-System umfasst dabei nicht nur Computer im engeren Sinn,
sondern auch aktive Netzkomponenten, Netzdrucker, TK-Anlagen, etc. Die technische Realisierung
eines IT-Systems steht im Vordergrund, beispielsweise stand-alone PC, Windows NT-Server, PC-
Client unter Windows 95, Unix-Server, TK-Anlage. An dieser Stelle soll nur das System als solches
erfasst werden (z. B. Unix-Server), nicht die einzelnen Bestandteile, aus denen das IT-System zusam-
mengesetzt ist (also nicht: Rechner, Tastatur, Bildschirm, etc.).
Zu erfassen sind sowohl die vernetzten als auch die nicht vernetzten IT-Systeme, insbesondere also
auch solche, die nicht im zuvor betrachteten Netzplan aufgefhrt sind. IT-Systeme, die bei der Berei-
nigung des Netzplans zu einer Gruppe zusammengefasst worden sind, knnen weiterhin als ein Objekt
behandelt werden. Auch bei den IT-Systemen, die nicht im Netzplan aufgefhrt sind, ist zu prfen, ob
sie sinnvoll zusammengefasst werden knnen. Mglich ist dies beispielsweise bei einer greren
Anzahl von stand-alone PCs, die die im Abschnitt "Komplexittsreduktion durch Gruppenbildung"
genannten Bedingungen fr eine Gruppierung erfllen.
Bei dieser Erfassung sollten folgende Informationen vermerkt werden, die fr die nachfolgende Arbeit
ntzlich sind:
- eine eindeutige Bezeichnung des IT-Systems,
- Beschreibung (Typ und Funktion),
- Plattform (z. B. Hardware-Architektur/Betriebssystem),
- bei Gruppen: Anzahl der zusammengefassten IT-Systeme,
- Aufstellungsort des IT-Systems,
- Status des IT-Systems (in Betrieb, im Test, in Planung) und
- Anwender/Administrator des IT-Systems.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 2
Als Beispiel ist in der folgenden Tabelle ein Auszug aus der Liste der IT-Systeme im BOV aufgefhrt.
Die vollstndige Liste ist den Hilfsmitteln auf der CD-ROM beigefgt.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 41
IT-Strukturanalyse 2.1
_________________________________________________________________________________________
Die IT-Systeme bzw. Gruppen S1, S2, C1, C2, N1, N2 und N3 sind direkt dem Netzplan entnommen.
Demgegenber hinzugekommen sind die nicht vernetzten IT-Systeme C6 (Laptop) und T1 (TK-
Anlage).
Erfassung der IT-Anwendungen und der zugehrigen Informationen
Zur Reduzierung des Aufwands werden die jeweils wichtigsten auf den betrachteten IT-Systemen
laufenden oder geplanten IT-Anwendungen erfasst. Zur effizienten Durchfhrung dieser Aufgabe kann
auf eine vollstndige Erfassung aller Anwendungen verzichtet werden, wenn sichergestellt ist, dass
zumindest diejenigen IT-Anwendungen des jeweiligen IT-Systems benannt werden,
- deren Daten bzw. Informationen und Programme den hchsten Bedarf an Geheimhaltung
(Vertraulichkeit) besitzen,
- deren Daten bzw. Informationen und Programme den hchsten Bedarf an Korrektheit und Unver-
flschtheit (Integritt) besitzen,
- die die krzeste tolerierbare Ausfallzeit (hchster Bedarf an Verfgbarkeit) haben.
Um dies sicherzustellen, sollten bei der Erfassung der IT-Anwendungen die Benutzer bzw. die fr die
IT-Anwendung Verantwortlichen nach ihrer Einschtzung befragt werden.
Es erleichtert die Definition und Erfassung der IT-Anwendungen, wenn die IT-Anwendungen orien-
tiert an den IT-Systemen zusammengetragen werden. Aufgrund ihrer Breitenwirkung sollte dabei mit
den Servern begonnen werden. Um ein mglichst ausgewogenes Bild zu bekommen, kann anschlie-
end diese Erhebung auf Seiten der Clients und Stand-alone-Systeme vervollstndigt werden.
Abschlieend sollte noch festgestellt werden, welche Netzkoppelelemente welche IT-Anwendungen
untersttzen.
Zweckmigerweise sollten die Anwendungen zu Referenzzwecken durchnummeriert werden. Da
viele IT-Sicherheitsbeauftragte gleichzeitig auch als Datenschutzbeauftragte fr den Schutz personen-
bezogener Daten zustndig sind, bietet es sich an, an dieser Stelle schon zu vermerken, ob die
beschriebene IT-Anwendung personenbezogene Daten speichert und/oder verarbeitet.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 42
IT-Strukturanalyse 2.1
_________________________________________________________________________________________
Anschlieend werden die Anwendungen jeweils denjenigen IT-Systeme zugeordnet, die fr deren
Ausfhrung bentigt werden. Dies knnen die IT-Systeme sein, auf denen die IT-Anwendungen
verarbeitet werden, oder auch diejenigen, die Daten dieser Anwendung transferieren.
Das Ergebnis ist eine bersicht, welche wichtigen IT-Anwendungen auf welchen IT-Systemen
bearbeitet oder von welchen IT-Systemen genutzt oder bertragen werden. Zur Dokumentation der
Ergebnisse bietet sich die Darstellung in tabellarischer Form an.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 3
Nachfolgend wird ein Auszug aus der Erfassung der IT-Anwendungen und der Zuordnung zu den
betroffenen IT-Systemen fr das fiktive Beispiel BOV aufgezeigt:
Beschreibung der IT-Anwendungen IT-Systeme
Anw.-Nr. IT-Anwendung/Informationen Pers.-bez. S1 S2 S3 S4 S5 S6 S7
Daten
A1 Personaldatenverarbeitung X X
A2 Beihilfeabwicklung X X
A3 Reisekostenabrechnung X X
A4 Benutzer-Authentisierung X X X
A5 Systemmanagement X
A7 zentrale Dokumentenverwaltung X
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 43
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
2.2 Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung der erfassten IT-Struktur
gliedert sich in vier Schritte. Nach der Definition der
Schutzbedarfskategorien wird anhand von typischen
Schadensszenarien zunchst der Schutzbedarf der IT-
Anwendungen bestimmt. Anschlieend wird daraus der
Schutzbedarf der einzelnen IT-Systeme abgeleitet. Aus
diesen Ergebnissen wiederum wird abschlieend der
Schutzbedarf der bertragungsstrecken und der Rume,
die fr die IT zur Verfgung stehen, abgeleitet.
Schutzbedarfsfeststellung fr IT-Anwendungen
Ziel der Schutzbedarfsfeststellung ist es, fr jede erfasste IT-Anwendung einschlielich ihrer Daten zu
entscheiden, welchen Schutzbedarf sie bezglich Vertraulichkeit, Integritt und Verfgbarkeit besitzt.
Dieser Schutzbedarf orientiert sich an den mglichen Schden, die mit einer Beeintrchtigung der
betroffenen IT-Anwendung verbunden sind.
Da der Schutzbedarf meist nicht quantifizierbar ist, beschrnkt sich das IT-Grundschutzhandbuch im
Weiteren auf eine qualitative Aussage, indem der Schutzbedarf in drei Kategorien unterteilt wird:
Schutzbedarfskategorien
"niedrig bis mittel" Die Schadensauswirkungen sind begrenzt und berschaubar.
"hoch" Die Schadensauswirkungen knnen betrchtlich sein.
"sehr hoch" Die Schadensauswirkungen knnen ein existentiell bedrohliches,
katastrophales Ausma erreichen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 44
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Um die Schutzbedarfskategorien "niedrig bis mittel", "hoch" und "sehr hoch" voneinander abgrenzen
zu knnen, bietet es sich an, die Grenzen fr die einzelnen Schadensszenarien zu bestimmen. Zur
Orientierung, welchen Schutzbedarf ein potentieller Schaden und seine Folgen erzeugen, sollten dabei
folgende Tabellen benutzt werden.
Schutzbedarfskategorie "hoch"
1. Versto gegen - Verste gegen Vorschriften und Gesetze mit erheblichen
Gesetze/Vorschriften/Vertrge Konsequenzen
- Vertragsverletzungen mit hohen Konventionalstrafen
2. Beeintrchtigung des informa- - Eine erhebliche Beeintrchtigung des informationellen Selbst-
tionellen Selbstbestimmungsrechts bestimmungsrechts des Einzelnen erscheint mglich.
- Ein mglicher Missbrauch personenbezogener Daten hat
erhebliche Auswirkungen auf die gesellschaftliche Stellung
oder die wirtschaftlichen Verhltnisse des Betroffenen.
3. Beeintrchtigung der - Eine Beeintrchtigung der persnlichen Unversehrtheit kann
persnlichen Unversehrtheit nicht absolut ausgeschlossen werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 45
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 46
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Hhe von 10.000.- Euro existentiell bedrohlich sein. Daher kann es sinnvoll sein, eine prozentuale
Gre als Grenzwert zu definieren, der sich am Gesamtumsatz, am Gesamtgewinn oder am IT-Budget
orientiert.
hnliche berlegungen knnen bezglich der Verfgbarkeitsanforderungen angestellt werden. So
kann beispielsweise ein Ausfall von 24 Stunden Dauer als noch tolerabel eingeschtzt werden. Tritt
jedoch eine Hufung dieser Ausflle ein, z. B. mehr als einmal wchentlich, so kann dies in der
Summe nicht tolerierbar sein.
Bei der Festlegung der Grenze zwischen "mittel" und "hoch" sollte bercksichtigt werden, dass fr den
mittleren Schutzbedarf die Standard-Sicherheitsmanahmen dieses Handbuchs ausreichen sollten. Die
getroffenen Festlegungen sind in geeigneter Weise im Sicherheitskonzept zu dokumentieren.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 47
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Beispiele fr Vertrge:
Dienstleistungsvertrge im Bereich Datenverarbeitung, Vertrge zur Wahrung von Betriebs-
geheimnissen.
Fragen:
Verlust der Vertraulichkeit
Erfordern gesetzliche Auflagen die Vertraulichkeit der Daten?
Ist im Falle einer Verffentlichung von Informationen mit Strafverfolgung oder Regressforderungen
zu rechnen?
Sind Vertrge einzuhalten, die die Wahrung der Vertraulichkeit bestimmter Informationen beinhalten?
Verlust der Integritt
Erfordern gesetzliche Auflagen die Integritt der Daten?
In welchem Mae wird durch einen Verlust der Integritt gegen Gesetze bzw.Vorschriften verstoen?
Verlust der Verfgbarkeit
Sind bei Ausfall der IT-Anwendung Verste gegen Vorschriften oder sogar Gesetze die Folge? Wenn
ja, in welchem Mae?
Schreiben Gesetze die dauernde Verfgbarkeit bestimmter Informationen vor?
Gibt es Termine, die bei Einsatz der IT-Anwendung zwingend einzuhalten sind?
Gibt es vertragliche Bindungen fr bestimmte einzuhaltende Termine?
Schadensszenario "Beeintrchtigung des informationellen Selbstbestimmungsrechts"
Bei der Implementation und dem Betrieb von IT-Systemen und IT-Anwendungen besteht die Gefahr
einer Verletzung des informationellen Selbstbestimmungsrechts bis hin zu einem Missbrauch perso-
nenbezogener Daten.
Beispiele fr die Beeintrchtigung des informationellen Selbstbestimmungsrechts sind:
- Unzulssige Erhebung personenbezogener Daten ohne Rechtsgrundlage oder Einwilligung,
- unbefugte Kenntnisnahme bei der Datenverarbeitung bzw. der bermittlung von personen-
bezogenen Daten,
- unbefugte Weitergabe personenbezogener Daten,
- Nutzung von personenbezogenen Daten zu einem anderen, als dem bei der Erhebung zulssigen
Zweck und
- Verflschung von personenbezogenen Daten in IT-Systemen oder bei der bertragung.
Die folgenden Fragen knnen zur Abschtzung mglicher Folgen und Schden herangezogen werden:
Fragen:
Verlust der Vertraulichkeit
Welche Schden knnen fr den Betroffenen entstehen, wenn seine personenbezogenen Daten nicht
vertraulich behandelt werden?
Werden personenbezogene Daten fr unzulssige Zwecke verarbeitet?
Ist es im Zuge einer zulssigen Verarbeitung personenbezogener Daten mglich, aus diesen Daten
z. B. auf den Gesundheitszustand oder die wirtschaftliche Situation einer Person zu schlieen?
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 48
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Welche Schden knnen durch den Missbrauch der gespeicherten personenbezogenen Daten
entstehen?
Verlust der Integritt
Welche Schden wrden fr den Betroffenen entstehen, wenn seine personenbezogenen Daten
unabsichtlich verflscht oder absichtlich manipuliert wrden?
Wann wrde der Verlust der Integritt personenbezogener Daten frhestens auffallen?
Verlust der Verfgbarkeit
Knnen bei Ausfall der IT-Anwendung oder bei einer Strung einer Datenbertragung personen-
bezogene Daten verloren gehen oder verflscht werden, so dass der Betroffene in seiner gesellschaft-
lichen Stellung beeintrchtigt wird oder gar persnliche oder wirtschaftliche Nachteile zu befrchten
hat?
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 49
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 50
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Welche Konsequenzen ergeben sich fr die Institution durch die unerlaubte Verffentlichung der fr
die IT-Anwendung gespeicherten schutzbedrftigen Daten?
Kann der Vertraulichkeitsverlust der gespeicherten Daten zu einer Schwchung der Wettbewerbs-
position fhren?
Entstehen bei Verffentlichung von vertraulichen gespeicherten Daten Zweifel an der amtlichen
Verschwiegenheit?
Knnen Verffentlichungen von Daten zur politischen oder gesellschaftlichen Verunsicherung fhren?
Verlust der Integritt
Welche Schden knnen sich durch die Verarbeitung, Verbreitung oder bermittlung falscher oder
unvollstndiger Daten ergeben?
Wird die Verflschung von Daten ffentlich bekannt?
Entstehen bei einer Verffentlichung von verflschten Daten Ansehensverluste?
Knnen Verffentlichungen von verflschten Daten zur politischen oder gesellschaftlichen Verun-
sicherung fhren?
Knnen verflschte Daten zu einer verminderten Produktqualitt und damit zu einem Ansehensverlust
fhren?
Verlust der Verfgbarkeit
Schrnkt der Ausfall der IT-Anwendung die Informationsdienstleistungen fr Externe ein?
Wird der (vorbergehende) Ausfall der IT-Anwendung extern bemerkt?
Schadensszenario "Finanzielle Auswirkungen"
Unmittelbare oder mittelbare finanzielle Schden knnen durch den Verlust der Vertraulichkeit
schutzbedrftiger Daten, die Vernderung von Daten oder den Ausfall einer IT-Anwendung entstehen.
Beispiele dafr sind:
- unerlaubte Weitergabe von Forschungs- und Entwicklungsergebnissen,
- Manipulation von finanzwirksamen Daten in einem Abrechnungssystem,
- Ausfall eines IT-gesteuerten Produktionssystems und dadurch bedingte Umsatzverluste,
- Einsichtnahme in Marketingstrategiepapiere oder Umsatzzahlen,
- Ausfall eines Buchungssystems einer Reisegesellschaft,
- Ausfall eines E-Commerce-Servers,
- Zusammenbruch des Zahlungsverkehrs einer Bank,
- Diebstahl oder Zerstrung von Hardware.
Die Hhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt entstehenden Kosten,
etwa durch Sachschden, Schadenersatzleistungen und Kosten fr zustzlichen Aufwand (z. B.
Wiederherstellung).
Fragen
Verlust der Vertraulichkeit
Kann die Verffentlichung vertraulicher Informationen Regressforderungen nach sich ziehen?
Gibt es in der IT-Anwendung Daten, aus deren Kenntnis ein Dritter (z. B. Konkurrenzunternehmen)
finanzielle Vorteile ziehen kann?
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 51
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Werden mit der IT-Anwendung Forschungsdaten gespeichert, die einen erheblichen Wert darstellen?
Was passiert, wenn sie unerlaubt kopiert und weitergegeben werden?
Knnen durch vorzeitige Verffentlichung von schutzbedrftigen Daten finanzielle Schden
entstehen?
Verlust der Integritt
Knnen durch Datenmanipulationen finanzwirksame Daten so verndert werden, dass finanzielle
Schden entstehen?
Kann die Verffentlichung falscher Informationen Regressforderungen nach sich ziehen?
Knnen durch verflschte Bestelldaten finanzielle Schden entstehen (z. B. bei Just-in-Time Produk-
tion)?
Knnen verflschte Daten zu falschen Geschftsentscheidungen fhren?
Verlust der Verfgbarkeit
Wird durch den Ausfall der IT-Anwendung die Produktion, die Lagerhaltung oder der Vertrieb
beeintrchtigt?
Ergeben sich durch den Ausfall der IT-Anwendung finanzielle Verluste aufgrund von verzgerten
Zahlungen bzw. Zinsverlusten?
Wie hoch sind die Reparatur- oder Wiederherstellungskosten bei Ausfall, Defekt, Zerstrung oder
Diebstahl des IT-Systems?
Kann es durch Ausfall der IT-Anwendung zu mangelnder Zahlungsfhigkeit oder zu Konventional-
strafen kommen?
Wieviele wichtige Kunden wren durch den Ausfall der IT-Anwendung betroffen?
Schritt 3: Dokumentation der Ergebnisse
Es bietet sich an, den oben ermittelten Schutzbedarf der einzelnen IT-Anwendungen in einer Tabelle
zu dokumentieren. Diese zentrale Dokumentation bietet den Vorteil, dass bei der nachfolgenden
Schutzbedarfsfeststellung fr IT-Systeme darauf referenziert werden kann.
Dabei ist darauf zu achten, dass nicht nur die Festlegung des Schutzbedarfs dokumentiert wird,
sondern auch die entsprechenden Begrndungen. Diese Begrndungen erlauben es spter, die Fest-
legungen nachzuvollziehen und weiterzuverwenden.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 4
In der nachfolgenden Tabelle werden die wesentlichen IT-Anwendungen, deren Schutzbedarf und die
entsprechenden Begrndungen erfasst.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 52
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
IT-Anwendung Schutzbedarfsfeststellung
Nr. Bezeichnung pers. Grund- Schutz- Begrndung
Daten wert bedarf
A1 Personaldatenverarbei X Vertrau- hoch Personaldaten sind besonders
tung lichkeit schutzbedrftige personenbezogene
Daten, deren Bekanntwerden die
Betroffenen erheblich beeintrchtigen
knnen.
Integritt mittel Der Schutzbedarf ist nur mittel, da
Fehler rasch erkannt und die Daten
nachtrglich korrigiert werden knnen.
Verfg- mittel Ausflle bis zu einer Woche knnen
barkeit mittels manueller Verfahren
berbrckt werden.
A2 Beihilfeabwicklung X Vertrau- hoch Beihilfedaten sind besonders
lichkeit schutzbedrftige personenbezogene
Daten, die z. T. auch Hinweise auf
Erkrankungen und rztliche Befunde
enthalten. Ein Bekanntwerden kann die
Betroffenen erheblich beeintrchtigen.
Integritt mittel Der Schutzbedarf ist nur mittel, da
Fehler rasch erkannt und die Daten
nachtrglich korrigiert werden knnen.
Verfg- mittel Ausflle bis zu einer Woche knnen
barkeit mittels manueller Verfahren
berbrckt werden.
An dieser Stelle kann es sinnvoll sein, ber diese Informationen hinaus den Schutzbedarf auch aus
einer gesamtheitlichen Sicht der Geschftsprozesse oder Fachaufgaben zu betrachten. Dazu bietet es
sich an, den Zweck einer IT-Anwendung in einem Geschftsprozess oder in einer Fachaufgabe zu
beschreiben und daraus wiederum deren Bedeutung abzuleiten. Diese Bedeutung kann wie folgt klas-
sifiziert werden:
Die Bedeutung der IT-Anwendung ist fr den Geschftsprozess bzw. die Fachaufgabe:
- niedrig bis mittel: Der Geschftsprozess bzw. die Fachaufgabe kann mit tolerierbarem Mehrauf-
wand mit anderen Mitteln (z. B. manuell) durchgefhrt werden.
- hoch: Der Geschftsprozess bzw. die Fachaufgabe kann nur mit deutlichem Mehraufwand mit
anderen Mitteln durchgefhrt werden.
- sehr hoch: Der Geschftsprozess bzw. die Fachaufgabe kann ohne die IT-Anwendung berhaupt
nicht durchgefhrt werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 53
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Der Vorteil, eine solche ganzheitliche Zuordnung vorzunehmen, liegt insbesondere darin, dass bei der
Schutzbedarfsfeststellung die Leitungsebene als Regulativ fr den Schutzbedarf der einzelnen IT-
Anwendungen agieren kann. So kann es sein, dass ein Verantwortlicher fr eine IT-Anwendung deren
Schutzbedarf aus seiner Sicht als "niedrig" einschtzt, die Leitungsebene aus Sicht des Geschfts-
prozesses bzw. der Fachaufgabe diese Einschtzung jedoch nach oben korrigiert.
Diese optionalen Angaben sollten ebenfalls tabellarisch dokumentiert werden.
Schutzbedarfsfeststellung fr IT-Systeme
Um den Schutzbedarf eines IT-Systems festzustellen, mssen zunchst die IT-Anwendungen betrach-
tet werden, die in direktem Zusammenhang mit dem IT-System stehen. Eine bersicht, welche IT-
Anwendungen relevant sind, wurde im Schritt "Erfassung der IT-Anwendungen und der zugehrigen
Informationen" ermittelt.
Zur Ermittlung des Schutzbedarfs des IT-Systems mssen nun die mglichen Schden der relevanten
IT-Anwendungen in ihrer Gesamtheit betrachtet werden. Im Wesentlichen bestimmt der Schaden bzw.
die Summe der Schden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-
Systems (Maximum-Prinzip).
Bei der Betrachtung der mglichen Schden und ihrer Folgen muss auch beachtet werden, dass IT-
Anwendungen eventuell Arbeitsergebnisse anderer IT-Anwendungen als Input nutzen. Eine - fr sich
betrachtet - weniger bedeutende IT-Anwendung A kann wesentlich an Wert gewinnen, wenn eine
andere, wichtige IT-Anwendung B auf ihre Ergebnisse angewiesen ist. In diesem Fall muss der
ermittelte Schutzbedarf der IT-Anwendung B auch auf die IT-Anwendung A bertragen werden.
Handelt es sich dabei um IT-Anwendungen verschiedener IT-Systeme, dann mssen Schutzbedarfs-
anforderungen des einen IT-Systems auch auf das andere bertragen werden (Beachtung von
Abhngigkeiten).
Werden mehrere IT-Anwendungen bzw. Informationen auf einem IT-System verarbeitet, so ist zu
berlegen, ob durch Kumulation mehrerer (z. B. kleinerer) Schden auf einem IT-System ein insge-
samt hherer Gesamtschaden entstehen kann. Dann erhht sich der Schutzbedarf des IT-Systems
entsprechend (Kumulationseffekt).
Beispiel: Auf einem Netz-Server befinden sich smtliche fr den Schreibdienst bentigten IT-Anwen-
dungen einer Institution. Der Schaden bei Ausfall einer dieser IT-Anwendungen wurde als gering ein-
geschtzt, da gengend Ausweichmglichkeiten vorhanden sind. Fllt jedoch der Server (und damit
alle IT-Anwendungen) aus, so ist der dadurch entstehende Schaden deutlich hher zu bewerten. Die
Aufgabenerfllung innerhalb der notwendigen Zeitspanne kann u. U. nicht mehr gewhrleistet werden.
Daher ist auch der Schutzbedarf dieser "zentralen" Komponenten entsprechend hher zu bewerten.
Auch der umgekehrte Effekt kann eintreten. So ist es mglich, dass eine IT-Anwendung einen hohen
Schutzbedarf besitzt, ihn aber deshalb nicht auf ein betrachtetes IT-System bertrgt, weil auf diesem
IT-System nur unwesentliche Teilbereiche der IT-Anwendung laufen. Hier ist der Schutzbedarf zu
relativieren (Verteilungseffekt).
Beispiele: Der Verteilungseffekt tritt hauptschlich bezglich des Grundwertes Verfgbarkeit auf. So
kann bei redundanter Auslegung von IT-Systemen der Schutzbedarf der Einzelkomponenten niedriger
sein als der Schutzbedarf der Gesamtanwendung. Auch im Bereich der Vertraulichkeit sind Vertei-
lungseffekte vorstellbar: Falls sichergestellt ist, dass ein Client nur unkritische Daten einer hochver-
traulichen Datenbankanwendung abrufen kann, so besitzt der Client im Gegensatz zum Datenbank-
server nur einen geringen Schutzbedarf.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 54
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
IT-System Schutzbedarfsfeststellung
Nr. Beschreibung Grundwert Schutz- Begrndung
bedarf
S1 Server fr Vertraulichk hoch Maximumprinzip.
Personalverwaltung eit
Integritt mittel Maximumprinzip.
Verfgbarkei mittel Maximumprinzip.
t
S2 Primrer Domnen- Vertraulichk mittel Maximumprinzip.
Controller eit
Integritt hoch Maximumprinzip.
Verfgbarkei mittel Gem der Schutzbedarfsfeststellung fr
t Anwendung A4 ist von einem hohen
Schutzbedarf fr diesen Grundwert auszugehen.
Zu bercksichtigen ist aber, dass diese
Anwendung auf zwei Rechnersysteme verteilt
ist. Eine Authentisierung ber den Backup
Domnen-Controller in Berlin ist fr die
Mitarbeiter des Bonner Standortes ebenfalls
mglich. Ein Ausfall des Primren Domnen-
Controllers kann bis zu 72 Stunden
hingenommen werden. Der Schutzbedarf ist
aufgrund dieses Verteilungseffekts daher
"mittel".
Hinweise: Besitzen die meisten IT-Anwendungen auf einem IT-System nur einen mittleren Schutz-
bedarf und sind nur eine oder wenige hochschutzbedrftig, so kann unter Kostengesichtspunkten in
Erwgung gezogen werden, diese wenigen auf ein isoliertes IT-System auszulagern. Eine solche
Alternative kann dem Management zur Entscheidung vorgelegt werden.
Hilfsmittel:
Fr die Durchfhrung der Schutzbedarfsfeststellung wurden als Hilfsmittel Formbltter entwickelt, die
sich auf der CD-ROM zum Handbuch befinden (siehe Anhang: Hilfsmittel).
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 55
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Schutzbedarfsfeststellung fr Kommunikationsverbindungen
Nachdem im vorhergehenden Abschnitt die Schutzbedarfsfeststellung fr die betrachteten IT-Systeme
abgeschlossen wurde, soll nun der Schutzbedarf bezglich der Vernetzungsstruktur erarbeitet werden.
Grundlage fr die weiteren berlegungen ist wiederum der in Kapitel 2.1 erarbeitete Netzplan des zu
untersuchenden IT-Verbunds.
Um die Entscheidungen vorzubereiten, auf welchen Kommunikationsstrecken kryptographische
Sicherheitsmanahmen eingesetzt werden sollten, welche Strecken redundant ausgelegt sein sollten
und ber welche Verbindungen Angriffe durch Innen- und Auentter zu erwarten sind, mssen nach
den IT-Systemen die Kommunikationsverbindungen betrachtet werden. Hierbei werden folgende
Kommunikationsverbindungen als kritisch gewertet:
- Kommunikationsverbindungen, die Auenverbindungen darstellen, d. h. die in oder ber
unkontrollierte Bereiche fhren (z. B. ins Internet oder ber ffentliches Gelnde). Hier besteht die
Gefahr, dass von auen Penetrationsversuche auf das zu schtzende System vorgenommen oder
dass Computer-Viren bzw. trojanische Pferde eingespielt werden. Darber hinaus kann auch ein
Innentter ber eine solche Verbindung vertrauliche Informationen nach auen bertragen.
- Kommunikationsverbindungen, ber die hochschutzbedrftige Informationen bertragen werden,
wobei dies sowohl Informationen mit einem hohen Anspruch an Vertraulichkeit wie auch Integritt
oder Verfgbarkeit sein knnen. Diese Verbindungen knnen das Angriffsziel vorstzlichen
Abhrens oder vorstzlicher Manipulation sein. Darber hinaus kann der Ausfall einer solchen
Verbindung die Funktionsfhigkeit wesentlicher Teile des IT-Verbundes beeintrchtigen.
- Kommunikationsverbindungen, ber die bestimmte hochschutzbedrftige Informationen nicht
bertragen werden drfen. Hierbei kommen insbesondere vertrauliche Informationen in Betracht.
Falls Netzkoppelelemente ungeeignet oder falsch konfiguriert sind, kann der Fall eintreten, dass
ber eine solche Verbindung die Informationen, die gerade nicht bertragen werden sollen, trotz-
dem bertragen und damit angreifbar werden.
Bei der Erfassung der kritischen Kommunikationsverbindungen kann wie folgt vorgegangen werden.
Zunchst werden smtliche "Auenverbindungen" als kritische Verbindungen identifiziert und erfasst.
Anschlieend untersucht man smtliche Verbindungen, die von einem IT-System mit hohem oder sehr
hohem Schutzbedarf ausgehen. Dabei werden diejenigen Verbindungen identifiziert, ber die hoch-
schutzbedrftige Informationen bertragen werden. Danach untersucht man die Verbindungen, ber
die diese hochschutzbedrftigen Daten weiterbertragen werden. Abschlieend sind die Kommuni-
kationsverbindungen zu identifizieren, ber die derlei Informationen nicht bertragen werden drfen.
Zu erfassen sind dabei:
- die Verbindungsstrecke,
- ob es sich um eine Auenverbindung handelt,
- ob hochschutzbedrftige Informationen bertragen werden und ob der Schutzbedarf aus der
Vertraulichkeit, Integritt oder Verfgbarkeit resultiert und
- ob hochschutzbedrftige Informationen nicht bertragen werden drfen.
Sinnvollerweise knnen die dabei erfassten Daten tabellarisch dokumentiert oder graphisch im Netz-
plan hervorgehoben werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 56
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
In der graphischen Darstellung sind die kritischen Verbindungen durch "fette" Linien markiert. Die
Zahlen neben den Linien kennzeichnen den Grund (bzw. die Grnde), warum die jeweilige Verbin-
dung kritisch ist, und sind in den Spaltenkpfen der nachfolgenden Tabelle erlutert.
Kritisch aufgrund
1 2 3 4 5
Verbindung Auen- hohe Ver- hohe hohe Ver- keine
verbindung traulichkeit Integritt fgbarkeit bertragung
N1 - Internet X
N5 - N6 X
S1 - N4 X
S3 - N3 X
S4 - N3 X
S5 - N3 X
C1 - N4 X
N1 - N2 X X
N2 - N3 X
N4 - N3 X
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 57
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Besonderer Wert sollte bei dieser Erhebung darauf gelegt werden, dass die erstellte bersicht voll-
stndig ist. Nur eine bersehene kritische Verbindung kann die Gesamtsicherheit unterlaufen. So
sollten zum Beispiel alle eingesetzten Modems erfasst sein, da von ihnen potentiell kritische Verbin-
dungen nach auen ausgehen knnen. Oftmals jedoch werden diese Modem-Auenverbindungen als
Prestige-Objekte betrachtet, deren Existenz geleugnet wird, um sich einen persnlichen Vorteil zu ver-
schaffen. Oder Modems werden als Verbrauchsmaterial beschafft und eingestuft, ohne dass IT-
Verantwortliche ber deren Einsatzzweck informiert sind. Im Sinne einer vollstndigen IT-Sicherheit
drfen derlei kritische Gerte und Verbindungen jedoch nicht bergangen werden.
Schutzbedarfsfeststellung fr IT-Rume
Fr die weitere Vorgehensweise der Modellierung nach IT-Grundschutz und fr die Planung des Soll-
Ist-Vergleichs ist es hilfreich, eine bersicht ber die Rume zu erstellen, in denen IT-Systeme
aufgestellt oder die fr den IT-Betrieb genutzt werden. Dazu gehren Rume, die ausschlielich dem
IT-Betrieb dienen (wie Serverrume, Datentrgerarchive), oder solche, in denen unter anderem IT-
Systeme betrieben werden (wie Brorume). Wenn IT-System statt in einem speziellen Technikraum
in einem Schutzschrank untergebracht sind, ist der Schutzschrank wie ein Raum zu erfassen.
Hinweis: Bei der Erfassung der IT-Systeme sind schon die Aufstellungsorte miterfasst worden.
Anschlieend sollte aus den Ergebnissen der Schutzbedarfsfeststellung der IT-Systeme abgeleitet
werden, welcher Schutzbedarf fr die jeweiligen Rume resultiert. Dieser Schutzbedarf leitet sich aus
dem Schutzbedarf der im Raum installierten IT-Systeme oder beherbergten Datentrger nach dem
Maximum-Prinzip ab. Dabei sollte zustzlich ein mglicher Kumulationseffekt bercksichtigt werden,
wenn sich in einem Raum eine grere Anzahl von IT-Systemen befindet, wie typischerweise bei
Serverrumen. Zustzlich sollte eine Begrndung der Schutzbedarfseinschtzung dokumentiert
werden.
Hilfreich ist auch hier eine tabellarische Erfassung der notwendigen Informationen.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 7
Ein Auszug aus dem Ergebnis fr das BOV ist folgende Tabelle:
Raum IT Schutzbedarf
Bezeich- Art Lokation IT-Systeme / Datentrger Vertrau- Integrit Verfg-
nung lichkeit t barkeit
R U.02 Datentrger-archiv Gebude Bonn Backup-Datentrger hoch hoch mittel
(Wochen-sicherung der
Server S1 bis S5)
R B.02 Technikraum Gebude Bonn TK-Anlage mittel mittel hoch
R 1.01 Serverraum Gebude Bonn S1, N4 hoch hoch mittel
R 1.02 - R Brorume Gebude Bonn C1 hoch mittel mittel
1.06
R 3.11 Schutzschrank im Gebude Bonn Backup-Datentrger hoch hoch mittel
Raum R 3.11 (Tagessicherung der
Server S1 bis S5)
R E.03 Serverraum Gebude Berlin S6, N6, N7 mittel hoch hoch
R 2.01 - R Brorume Gebude Berlin C4, einige mit Faxgerten mittel mittel mittel
2.40
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 58
Schutzbedarfsfeststellung 2.2
_________________________________________________________________________________________
Wird der Schutzbedarf fr ein IT-System als "mittel" definiert, so reicht es aus, die Standard-
manahmen nach IT-Grundschutz pauschal umzusetzen. Fr IT-Systeme, Netzverbindungen und
Rume mit IT-Nutzung mit "hohem" und besonders mit "sehr hohem" Schutzbedarf sollte eine
ergnzende Sicherheitsanalyse eingeplant werden. Ebenso sollte bei diesen Komponenten im Soll-Ist-
Vergleich der hohe Schutzbedarf bei der Bearbeitung von als "optional" gekennzeichneten Manah-
men bercksichtigt werden. So kann beispielsweise die Manahme M 1.10 Verwendung von Sicher-
heitstren in einem Serverraum mit mittlerem Schutzbedarf nicht notwendig, bei hohem Schutzbedarf
an Vertraulichkeit aber dringend erforderlich sein.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 59
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 60
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
Fr die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine des Handbuchs
bietet es sich an, die IT-Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 61
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 62
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
bunds unter seiner Kontrolle befinden oder der Schutzbedarf der ausgelagerten Komponenten hoch
ist.
- Der Baustein 3.1 Organisation muss fr jeden IT-Verbund mindestens einmal herangezogen wer-
den. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisationseinheit zugeordnet sind
und daher anderen Rahmenbedingungen unterliegen, sollte er auf jede Organisationseinheit ge-
trennt angewandt werden. Ein wichtiger Spezialfall dessen liegt vor, wenn Teile des IT-Verbunds
im Outsourcing betrieben werden.
- Der Baustein 3.2 Personal muss fr jeden IT-Verbund mindestens einmal herangezogen werden.
Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisation(-seinheit) zugeordnet sind
und daher anderen Rahmenbedingungen unterliegen, sollten er auf jede Organisation(-seinheit) ge-
trennt angewandt werden. Ein wichtiger Spezialfall ist hier, dass Teile des IT-Verbunds im Out-
sourcing betrieben werden.
- Der Baustein 3.3 Notfallvorsorge-Konzept ist zumindest dann anzuwenden, wenn in der Schutz-
bedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbe-
darf in Bezug auf Verfgbarkeit haben oder wenn grere IT-Systeme bzw. umfangreiche Netze
betrieben werden. Bei der Bearbeitung des Bausteins ist besonderes Augenmerk auf diese Kompo-
nenten zu richten.
- Der Baustein 3.4 Datensicherungskonzept ist fr den gesamten IT-Verbund einmal anzuwenden.
- Der Baustein 3.6 Computer-Virenschutzkonzept ist fr den gesamten IT-Verbund einmal anzu-
wenden, soweit im betrachteten IT-Verbund Systeme enthalten sind, die von Computer-Viren be-
fallen werden knnen.
- Der Baustein 3.7 Kryptokonzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfest-
stellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Be-
zug auf Vertraulichkeit oder Integritt haben, oder wenn bereits kryptographische Verfahren im
Einsatz sind.
- Der Baustein 3.8 Behandlung von Sicherheitsvorfllen ist zumindest dann anzuwenden, wenn in
der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen
Schutzbedarf in Bezug auf einen der drei Grundwerte haben, oder wenn der Ausfall des gesamten
IT-Verbunds einen Schaden in den Kategorien hoch oder sehr hoch zur Folge hat.
- Der Baustein 3.9 Hard- und Software-Management muss fr jeden IT-Verbund mindestens ein-
mal herangezogen werden. Wenn Teile des vorliegenden IT-Verbunds einer anderen Organisati-
onseinheit zugeordnet sind und daher anderen Rahmenbedingungen unterliegen, sollte er auf jede
Organisationseinheit getrennt angewandt werden. Ein wichtiger Spezialfall dessen liegt vor, wenn
Teile des IT-Verbunds im Outsourcing betrieben werden.
- Der Baustein 3.10 Outsourcing ist immer dann anzuwenden, wenn IT-Systeme, Anwendungen
oder Geschftsprozesse zu einem externen Dienstleister ausgelagert werden. Gibt es in einem IT-
Verbund verschiedene ausgelagerte Komponenten bei unterschiedlichen Dienstleistern, ist der Bau-
stein fr jeden externen Dienstleister einmal anzuwenden.
- Der Baustein 9.1 Standardsoftware sollte zumindest einmal fr den gesamten IT-Verbund ange-
wandt werden. Gibt es innerhalb des IT-Verbunds Teilbereiche mit unterschiedlichen Anforderun-
gen oder Regelungen fr die Nutzung von Standardsoftware, sollte Baustein 9.1 auf diese Teilbe-
reiche jeweils getrennt angewandt werden.
- Der Baustein 9.5 Archivierung ist auf den IT-Verbund anzuwenden, wenn aufgrund interner oder
externer Vorgaben eine Langzeitarchivierung elektronischer Dokumente erforderlich ist oder be-
reits ein System zur Langzeitarchivierung elektronischer Dokumente betrieben wird.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 63
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 64
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
Hinweis: Die Anwendung von Baustein 5.4 kann bei IT-Systemen, die mit Hilfe von Baustein 5.5,
5.6, 5.7, 5.8 oder 5.99 modelliert werden, entfallen. In diesen Bausteinen werden Sicherheitsas-
pekte bei wechselnden Benutzern explizit behandelt.
- Der Baustein 5.5 PC unter Windows NT ist auf jeden Stand-alone-Rechner oder Client anzuwen-
den, der mit diesem Betriebssystem arbeitet.
- Der Baustein 5.6 PC mit Windows 95 ist auf jeden Stand-alone-Rechner oder Client anzuwenden,
der mit diesem Betriebssystem arbeitet.
- Der Baustein 5.7 Windows 2000 Client ist auf jeden Stand-alone-Rechner oder Client anzuwen-
den, der mit diesem Betriebssystem arbeitet.
- Der Baustein 5.8 Internet-PC ist auf jeden Computer anzuwenden, der ausschlielich fr die Nut-
zung von Internet-Diensten vorgesehen ist und nicht mit dem internen Netz der Institution verbun-
den ist. In diesem speziellen Szenario brauchen keine weiteren Bausteine des IT-Grundschutzhand-
buchs auf diesen Computer (bzw. diese Gruppe) angewandt werden.
- Der Baustein 5.99 Allgemeines nicht vernetztes IT-System ist auf jedes IT-System anzuwenden,
fr das kein Betriebssystem-spezifischer Baustein im IT-Grundschutzhandbuch enthalten ist.
- Der Baustein 6.1 Servergesttztes Netz ist auf jedes IT-System anzuwenden, das Dienste (z. B.
Datei- oder Druckdienste) als Server im Netz anbietet.
- Der Baustein 6.2 Unix-Server ist auf jeden Server anzuwenden, der mit diesem Betriebssystem
arbeitet.
- Der Baustein 6.3 Peer-to-Peer-Netz ist auf jeden Client anzuwenden, der Peer-to-Peer-Dienste
(beispielsweise freigegebene Verzeichnisse) im Netz anbietet.
- Der Baustein 6.4 Windows NT Netz ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.5 Novell Netware 3.x ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.6 Novell Netware 4.x ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.9 Windows 2000 Server ist auf jeden Server anzuwenden, der mit diesem Betriebs-
system arbeitet.
- Der Baustein 6.10 s/390- und zSeries-Mainframe ist auf jedem Server anzuwenden, der mit
diesem Betriebssystem arbeitet
Hinweis: Fr jeden Server muss neben dem Betriebssystem-spezifischen Baustein immer auch
Baustein 6.1 angewandt werden, da in diesem Baustein die plattformunabhngigen Sicherheitsas-
pekte fr Server zusammengefasst sind.
- Der Baustein 8.1 ist auf jede TK-Anlage bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein 8.2 ist auf jedes Faxgert bzw. auf jede entsprechende Gruppe anzuwenden.
- Der Baustein 8.3 ist auf jeden Anrufbeantworter bzw. auf jede entsprechende Gruppe anzuwen-
den.
- Der Baustein 8.6 Mobiltelefon sollte mindestens einmal angewandt werden, wenn die Benutzung
von Mobiltelefonen in der betrachteten Organisation(-seinheit) nicht grundstzlich untersagt ist.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 65
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 66
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 67
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
Falls das Gesamtnetz in der Schicht 4 in Teilnetze aufgeteilt wurde, sollte geprft werden, ob
- jedes Teilnetz vollstndig nachgebildet wurde und
- durch die Summe aller Teilnetze das Gesamtnetz vollstndig dargestellt wird.
Wichtig ist, dass nicht nur alle Hard- und Software-Komponenten in technischer Hinsicht nachgebildet
sind, sondern dass auch die zugehrigen organisatorischen, personellen und infrastrukturellen Aspekte
vollstndig abgedeckt sind. Dies kann anhand der Tabellen in Abschnitt 2.3.2 geprft werden, in de-
nen fr einige typische Komponenten die Bausteine des IT-Grundschutzhandbuchs genannt sind, die
in der Modellierung auf jeden Fall enthalten sein sollten.
Falls sich bei der berprfung Lcken in der Modellierung zeigen, sind die entsprechenden fehlenden
Bausteine hinzuzufgen. Andernfalls besteht die Gefahr, dass wichtige Bestandteile des Gesamtsys-
tems oder wichtige Sicherheitsaspekte bei der Anwendung des IT-Grundschutzhandbuchs nicht be-
rcksichtigt werden.
Fr den Fall, dass die Modellierung nicht vollstndig durchfhrbar ist, weil entsprechende Bausteine
im IT-Grundschutzhandbuch fehlen, wird darum gebeten, den Bedarf an die IT-Grundschutz-Hotline
des BSI weiterzuleiten.
Beispiel: Bundesamt fr Organisation und Verwaltung (BOV) - Teil 8
Die folgende Tabelle ist ein Auszug aus der Modellierung fr das fiktive Bundesamt BOV:
Nr. Titel des Bausteins Zielobjekt/ Ansprech- Hinweise
Zielgruppe partner
3.1 Organisation Standort Bonn Der Baustein Organisation muss fr die Standorte Bonn und
Berlin separat bearbeitet werde, da in Berlin eigene organi-
satorische Regelungen gelten.
3.1 Organisation Standort Berlin
3.2 Personal gesamtes BOV Die Personalverwaltung des BOV erfolgt zentral in Bonn.
4.3.3 Datentrgerarchiv R U.02 (Bonn) In diesem Raum werden die Backup-Datentrger aufbewahrt
5.3 Tragbarer PC C5 Die Laptops in Bonn bzw. Berlin werden jeweils in eine
Gruppe zusammengefasst.
5.3 Tragbarer PC C6
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 68
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
- Es sollte die Skizze eines neuen Bausteins erstellt werden, in der aufgezeigt wird, in welchen
Schritten weiter vorgegangen wurde. Der Umfang dieses Ersatz-Bausteins sollte in der Beschrei-
bung kurz abgegrenzt werden.
- Es ist zu erarbeiten, welche Gefhrdungen und Manahmen neu hinzukommen oder zu ndern
sind.
- Die wesentlichen Stichworte zu diesen Gefhrdungen und Manahmen sollten kurz im Zusammen-
hang dargestellt werden.
Fr eine IT-Sicherheitsberprfung auf der Basis des IT-Grundschutzhandbuchs (Basis-Sicherheits-
check) gibt es fr jeden Baustein des IT-Grundschutzhandbuchs ein entsprechendes Formblatt. Fr
die fehlende Komponente sollte ein eigenes Erhebungsformular erstellt bzw. in ein IT-
Grundschutz-Tool eingepflegt werden. Hierbei geht es nur um die bertragung der identifizierten
Manahmen in ein Formular bzw. Tool, um einen schnellen Soll-Ist-Vergleich durchfhren zu
knnen.
- Damit sind die wichtigsten Bereiche fr einen fehlenden Baustein erzeugt worden. Dieser muss
dann noch in die Modellierung des betrachteten IT-Verbunds eingebracht werden. Dabei ist es
zweckmig, die Zuordnung des Bausteins anhand des Schichtenmodells vorzunehmen.
- Auerdem ist der ergnzte Baustein bei der Konzeption bzw. Revision eines IT-Sicherheitskon-
zepts entsprechend zu bercksichtigen.
Wenn die in dem neu erstellten Baustein betrachtete Komponente oder Vorgehensweise nicht zu spe-
ziell ist, bietet es sich an, die erarbeiteten Dokumente dem IT-Grundschutz-Team des BSI zur weiteren
Verwendung zur Verfgung zu stellen. Das BSI wird prfen, ob auch andere Anwender von den In-
halten profitieren knnen und den neuen Baustein ggf. ber die blichen Vertriebswege des IT-Grund-
schutzhandbuchs allen Anwendern zur Verfgung stellen.
Beispiele:
1. Grorechner
Ein Grorechner ist sicherlich eine Obermenge eines Servers und ist Schicht 3 des IT-Grundschutz-
Schichtenmodells zuzuordnen. Daher sollte Baustein 6.1 Servergesttztes Netz betrachtet werden.
Darber hinaus mssen eventuell zustzliche Manahmen umgesetzt sein, die nicht im IT-Grund-
schutzhandbuch beschrieben sind. Es gibt sehr viele Quellen zu spezifischen Sicherheitsmanahmen,
die hierzu herangezogen werden knnen und sollten. Es ist sinnvoll, sich zunchst beim Hersteller
bzw. Vertreiber des Betriebssystems zu informieren, welche Dokumente dort zur Sicherheit des IT-
Systems vorhanden sind bzw. welche Literatur diese empfehlen knnen.
2. PDA
hnliche Themenbereiche wie der Einsatz von PDAs oder Organizern in Behrden oder Unternehmen
finden sich in den Bausteinen 5.3 Tragbarer PC und 8.6 Mobiltelefon. Diese sollten daher als Grund-
lage fr die Erarbeitung eines Bausteins zum Thema PDA verwendet und ergnzt werden. Der neue
Baustein ist Schicht 3 des IT-Grundschutz-Schichtenmodells zuzuordnen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 69
Modellierung nach IT-Grundschutz 2.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 70
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________
2.4 Basis-Sicherheitscheck
Fr die nachfolgenden Betrachtungen wird vorausgesetzt,
dass fr einen ausgewhlten IT-Verbund folgende Teile
des IT-Sicherheitskonzepts nach IT-Grundschutz erstellt
wurden: Anhand der IT-Strukturanalyse des IT-
Verbundes wurde eine bersicht ber die vorhandene IT,
deren Einsatzorte und die untersttzten IT-Anwendungen
erstellt. Darauf aufbauend wurde anschlieend die
Schutzbedarfsfeststellung durchgefhrt, deren Ergebnis
eine bersicht ber den Schutzbedarf der IT-Anwen-
dungen, der IT-Systeme, der IT-genutzten Rume und der
Kommunikationsverbindungen ist. Mit Hilfe dieser
Informationen wurde die Modellierung des IT-Verbundes nach IT-Grundschutz durchgefhrt. Das
Ergebnis war eine Abbildung des betrachteten IT-Verbundes auf Bausteine des Handbuchs.
Diese Modellierung nach IT-Grundschutz wird nun als Prfplan benutzt, um anhand eines Soll-Ist-
Vergleichs herauszufinden, welche Standardsicherheitsmanahmen ausreichend oder nur unzu-
reichend umgesetzt sind.
Dieses Kapitel beschreibt, wie bei der zentralen Aufgabe zur Erstellung eines IT-Sicherheitskonzepts
nach IT-Grundschutz, der Durchfhrung des Basis-Sicherheitschecks, vorgegangen werden sollte.
Dieser Basis-Sicherheitscheck besteht aus drei unterschiedlichen Schritten. Im ersten Schritt werden
die organisatorischen Vorbereitungen getroffen, insbesondere die relevanten Ansprechpartner fr den
Soll-Ist-Vergleich ausgewhlt. Im zweiten Schritt wird der eigentliche Soll-Ist-Vergleich mittels
Interviews und stichprobenartiger Kontrolle durchgefhrt. Im letzten Schritt werden die erzielten
Ergebnisse des Soll-Ist-Vergleichs einschlielich der erhobenen Begrndungen dokumentiert.
Nachfolgend werden diese Schritte des Basis-Sicherheitschecks detailliert beschrieben.
2.4.1 Organisatorische Vorarbeiten
Fr die reibungslose Durchfhrung des Soll-Ist-Vergleichs sind einige Vorarbeiten erforderlich.
Zunchst sollten alle hausinternen Papiere, z. B. Organisationsverfgungen, Arbeitshinweise, Sicher-
heitsanweisungen, Manuals und "informelle" Vorgehensweisen, die die IT-sicherheitsrelevanten
Ablufe regeln, gesichtet werden. Diese Dokumente knnen bei der Ermittlung des Umsetzungsgrades
hilfreich sein, insbesondere bei Fragen nach bestehenden organisatorischen Regelungen. Weiterhin ist
zu klren, wer gegenwrtig fr deren Inhalt zustndig ist, um ggf. spter die richtigen Ansprechpartner
bestimmen zu knnen.
Als Nchstes sollte festgestellt werden, ob und in welchem Umfang externe Stellen bei der Ermittlung
des Umsetzungsstatus beteiligt werden mssen. Dies kann beispielsweise bei externen Rechenzentren,
vorgesetzten Behrden, Firmen, die Teile des IT-Betriebes in Outsourcing bernehmen, oder Bau-
behrden, die fr infrastrukturelle Manahmen zustndig sind, erforderlich sein.
Ein wichtiger Schritt vor der Durchfhrung des eigentlichen Soll-Ist-Vergleichs ist die Ermittlung
geeigneter Interviewpartner. Hierzu sollte zunchst fr jeden einzelnen Baustein, der fr die Modellie-
rung des vorliegenden IT-Verbunds herangezogen wurde, ein Hauptansprechpartner festgelegt werden.
- Bei den Bausteinen der Schicht 1 "bergeordnete Aspekte" ergibt sich ein geeigneter Ansprech-
partner in der Regel direkt aus der im Baustein behandelten Thematik. Beispielsweise sollte fr den
Baustein 3.2 Personal ein Mitarbeiter der zustndigen Personalabteilung als Ansprechpartner aus-
gewhlt werden. Bei den konzeptionellen Bausteinen, z. B. Baustein 3.4 Datensicherungskonzept,
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 71
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________
steht im Idealfall der Mitarbeiter zur Verfgung, der fr die Fortschreibung des entsprechenden
Dokuments zustndig ist. Anderenfalls sollte derjenige Mitarbeiter befragt werden, zu dessen Auf-
gabengebiet die Fortschreibung von Regelungen in dem betrachteten Bereich gehren.
- Im Bereich der Schicht 2 "Infrastruktur" sollte die Auswahl geeigneter Ansprechpartner in
Abstimmung mit der Abteilung Innerer Dienst/Haustechnik vorgenommen werden. Je nach Gre
der betrachteten Institution knnen beispielsweise unterschiedliche Ansprechpartner fr die Infra-
strukturbereiche Verkabelung und Schutzschrnke zustndig sein. In kleinen Institutionen kann in
vielen Fllen der Hausmeister Auskunft geben. Zu beachten ist im Bereich Infrastruktur, dass hier
u. U. externe Stellen zu beteiligen sind. Dies betrifft insbesondere grere Unternehmen und
Behrden.
- In Bausteinen der Schicht 3 "IT-Systeme" und Schicht 4 "Netze" werden in den zu prfenden
Sicherheitsmanahmen verstrkt technische Aspekte behandelt. In der Regel kommt daher der
Administrator derjenigen Komponente bzw. Gruppe von Komponenten, der der jeweilige Baustein
bei der Modellierung zugeordnet wurde, als Hauptansprechpartner in Frage.
- Fr die Bausteine der Schicht 5 "IT-Anwendungen" sollten die Betreuer bzw. die Verantwortlichen
der einzelnen IT-Anwendungen als Hauptansprechpartner ausgewhlt werden.
In vielen Fllen kann der Hauptansprechpartner nicht zu allen Fragen des jeweiligen Bausteins umfas-
send Auskunft geben. Dann ist es vorteilhaft, eine oder auch mehrere zustzliche Personen in das
Interview einzubeziehen. Hinweise dazu, welche Mitarbeiter u. U. hinzugezogen werden sollten,
lassen sich den Eintrgen "Verantwortlich fr Initiierung" und "Verantwortlich fr Umsetzung", die
sich am Anfang jeder Manahmenbeschreibung befinden, entnehmen.
Fr die anstehenden Interviews mit den Systemverantwortlichen, Administratoren und sonstigen
Ansprechpartnern sollte ein Terminplan - ggf. mit Ausweichterminen - erstellt werden. Besonderes
Augenmerk gilt hier der Terminkoordination mit Personen aus anderen Organisationseinheiten oder
anderen Institutionen.
Je nach Gre der Projektgruppe sollten fr die Durchfhrung der Interviews Teams mit verteilten
Aufgaben gebildet werden. Es hat sich bewhrt, in Gruppen mit je zwei Personen zu arbeiten. Dabei
notiert eine Person die Ergebnisse und Anmerkungen zu den Antworten, die andere stellt die notwen-
digen Fragen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 72
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________
Es ist nicht zu empfehlen, bei den Interviews den Text der Manahmenempfehlung vorzulesen, da er
nicht fr ein Zwiegesprch konzipiert wurde. Deshalb ist die inhaltliche Kenntnis des Bausteins fr
den Interviewer notwendig, ergnzend sollten vorher griffige Checklisten mit Stichworten erstellt
werden. Um im Zweifelsfall Unstimmigkeiten klren zu knnen, ist es jedoch sinnvoll, den Volltext
der Manahmen griffbereit zu haben. Es wird ebenfalls nicht empfohlen, whrend des Interviews die
Antworten direkt in einen PC einzugeben, da es alle Beteiligten ablenkt und fr ungewollte Unter-
brechungen der Kommunikation sorgt.
Es schafft eine entspannte, aufgelockerte und produktive Arbeitsatmosphre, das Interview mit einlei-
tenden Worten zu beginnen und den Zweck des Basis-Sicherheitschecks kurz vorzustellen. Es bietet
sich an, mit der Manahmenberschrift fortzufahren und die Manahme kurz zu erlutern. Besser als
einen Monolog zu fhren ist es, dem Gegenber die Mglichkeit zu geben, auf die bereits umgesetzten
Manahmenteile einzugehen, und danach noch offene Punkte zu besprechen.
Die Befragungstiefe richtet sich zunchst auf das Niveau von Standard-Sicherheitsmanahmen,
darber hinausgehende Aspekte hochschutzbedrftiger Anwendungen sollten erst nach Abschluss des
Basis-Sicherheitschecks betrachtet werden. Falls der Bedarf besteht, die in den Interviews gemachten
Aussagen zu verifizieren, bietet es sich an, stichprobenartig die entsprechenden Regelungen und
Konzepte zu sichten, im Bereich Infrastruktur gemeinsam mit dem Ansprechpartner die zu unter-
suchenden Objekte vor Ort zu besichtigen sowie Client- bzw. Servereinstellungen an ausgewhlten IT-
Systemen zu berprfen.
Zum Abschluss jeder Manahme sollte den Befragten mitgeteilt werden, wie das Ergebnis ausgefallen
ist (Umsetzungsstatus der Manahme: entbehrlich/ja/teilweise/nein), und diese Entscheidung erlutert
werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 73
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 74
Basis-Sicherheitscheck 2.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 75
Ergnzende Sicherheitsanalyse 2.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 76
Ergnzende Sicherheitsanalyse 2.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 77
Ergnzende Sicherheitsanalyse 2.5
_________________________________________________________________________________________
Typische hherwertige Manahmen im Bereich der IT-Systeme sind der Einsatz von zertifizierten
Betriebssystemen oder von speziellen Sicherheitsversionen der Betriebssysteme, der Einsatz von
Authentisierungstoken oder sogar die Isolation der IT-Systeme. Im Bereich der Kommunikationsver-
bindungen kommen beispielsweise folgende hherwertige Manahmen zum Einsatz: Kappung von
Auenverbindungen, Leitungs- oder Ende-zu-Ende-Verschlsselung, gepanzerte Kabeltrassen oder
druckberwachte Kabel, redundante Kommunikationsstrecken oder redundante Kabelfhrung sowie
Einsatz von mehrstufigen Firewalls kombiniert mit Intrusion Detection Tools. Im Bereich der
infrastrukturellen Sicherheit knnen beispielsweise Vereinzelungsschleusen, Brandlschtechnik,
Videoberwachung, Zutrittskontrollsysteme und Einbruchmeldeanlagen bis hin zu Backup-Rechen-
zentren eingesetzt werden.
Das BSI verffentlicht so genannte Schutzklassenmodelle, in dem fr thematisch eingegrenzte
Bereiche (z. B. TK-Anlagen) adquate hherwertige Manahmen fr den hohen und sehr hohen
Schutzbedarf zusammengestellt werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 78
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 79
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________
schtzen, aber auch in der Praxis tatschlich umsetzbar sein, drfen also z. B. nicht die Organisations-
ablufe behindern oder andere Sicherheitsmanahmen aushebeln. In solchen Fllen kann es notwendig
werden, bestimmte IT-Grundschutzmanahmen durch adquate andere IT-Sicherheitsmanahmen zu
ersetzen.
Um auch spter noch nachvollziehen zu knnen, wie die konkrete Manahmenliste erstellt und verfei-
nert wurde, sollte dies geeignet dokumentiert werden.
Beispiele:
- In einer ergnzenden Sicherheitsanalyse wurde festgestellt, dass zustzlich zu den IT-Grund-
schutzmanahmen auch eine chipkartengesttzte Authentisierung und lokale Verschlsselung der
Festplatten an NT-Clients der Personaldatenverarbeitung notwendig sind. Diese zustzliche
Manahme wrde die Manahme M 4.48 Passwortschutz unter Windows NT ersetzen.
- Im Basis-Sicherheitscheck wurde festgestellt, dass die Manahme M 1.24 Vermeidung von wasser-
fhrenden Leitungen nicht realisiert und aufgrund der baulichen Gegebenheiten nicht wirtschaftlich
umsetzbar ist. Stattdessen sollten als Ersatzmanahme unter den wasserfhrenden Leitungen
Wasser ableitende Bleche installiert werden, die gleichzeitig von einem Wassermelder berwacht
werden. Die Meldung wird beim Pfrtner aufgeschaltet, so dass im Schadensfall der entstehende
Wasserschaden zgig entdeckt und eingegrenzt werden kann.
Schritt 3: Kosten- und Aufwandsschtzung
Da das Budget zur Umsetzung von IT-Sicherheitsmanahmen praktisch immer begrenzt ist, sollte fr
jede zu realisierende Manahme festgehalten werden, welche Investitionskosten und welcher Perso-
nalaufwand dafr bentigt werden. Hierbei sollte zwischen einmaligen und wiederkehrenden Investi-
tionskosten bzw. Personalaufwnden unterschieden werden. An dieser Stelle zeigt sich hufig, dass
Einsparungen bei der Technik einen hohen fortlaufenden Personaleinsatz verursachen.
In diesem Zusammenhang ist zu ermitteln, ob alle identifizierten Manahmen wirtschaftlich umsetzbar
sind. Falls es Manahmen gibt, die nicht finanzierbar sind, sollten berlegungen angestellt werden,
durch welche Ersatzmanahmen sie ersetzt werden knnen oder ob das Restrisiko, dass durch die
fehlende Manahme entsteht, tragbar ist. Diese Entscheidung ist ebenfalls zu dokumentieren.
Stehen die geschtzten Ressourcen fr Kosten und Personaleinsatz zur Verfgung, so kann zum
nchsten Schritt bergegangen werden. In vielen Fllen muss jedoch noch eine Entscheidung herbei-
gefhrt werden, wieviel Ressourcen fr die Umsetzung der IT-Sicherheitsmanahmen eingesetzt
werden sollen. Hierfr bietet es sich an, fr die Entscheidungsebene (Management, IT-Leiter, IT-
Sicherheitsbeauftragter,...) eine Prsentation vorzubereiten, in der die Ergebnisse der Sicherheits-
untersuchung dargestellt werden. Geordnet nach Schutzbedarf sollten die festgestellten Schwach-
stellen (fehlende oder unzureichend umgesetzte IT-Sicherheitsmanahmen) zur Sensibilisierung
vorgestellt werden. Darber hinaus bietet es sich an, die fr die Realisierung der fehlenden Manah-
men der Prioritt 1, 2 und 3 entstehenden Kosten und Aufwnde aufzubereiten. Im Anschluss an diese
Prsentation sollte eine Entscheidung ber das Budget erfolgen.
Kann kein ausreichendes Budget fr die Realisierung aller fehlenden Manahmen bereitgestellt
werden, so sollte aufgezeigt werden, welches Restrisiko dadurch entsteht, dass einige Manahmen
nicht oder verzgert umgesetzt werden. Zu diesem Zweck knnen die Manahmen-Gefhrdungs-
Tabellen (s. CD-ROM: word20\tabellen) hinzugezogen werden, um zu ermitteln, welche Gefhrdun-
gen nicht mehr ausreichend abgedeckt werden. Das entstehende Restrisiko sollte fr zufllig eintre-
tende oder absichtlich herbeigefhrte Gefhrdungen transparent beschrieben und der Leitungsebene
zur Entscheidung vorgelegt werden. Die weiteren Schritte knnen erst nach der Entscheidung der
Leitungsebene, dass das Restrisiko tragbar ist, erfolgen, da die Leitungsebene die Verantwortung fr
die Konsequenzen tragen muss.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 80
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 81
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________
Darber hinaus mssen die betroffenen Mitarbeiter geschult werden, die neuen IT-Sicherheits-
manahmen korrekt um- und einzusetzen. Wird diese Schulung unterlassen, knnen die Manahmen
nicht umgesetzt werden und verlieren ihre Wirkung. Darber hinaus wrden sich die Mitarbeiter
unzureichend informiert fhlen, was oft zu einer ablehnenden Haltung gegenber IT-Sicherheit fhrt.
Nach der Realisierung und Einfhrung der neuen IT-Sicherheitsmanahmen sollte durch den IT-
Sicherheitsbeauftragten geprft werden, ob die notwendige Akzeptanz der Mitarbeiter vorhanden ist.
Stellt sich heraus, dass die neuen Manahmen nicht akzeptiert werden, ist ein Misserfolg vorpro-
grammiert. Die Ursachen sind herauszuarbeiten und ggf. ist eine zustzliche Aufklrung der Betroffe-
nen einzuleiten.
Beispiel:
Um die obigen Schritte nher zu beschreiben, wird nachfolgend ein fiktives Beispiel auszugsweise
beschrieben. Zunchst soll die Tabelle der konsolidierten, zu realisierenden Manahmen einschlielich
der Kostenschtzungen, die als Ergebnis der Schritte 1 - 3 entsteht, dargestellt werden:
Zielobjekt Bau- Manahme Prio- Kosten Bemerkung
stein ritt
1 2 3
Legende:
- Manahme
Z 1 = Zusatzmanahme 1 (zustzlich zu IT-Grundschutzmanahmen)
- Prioritten
T = teilweise erfllt, F = fehlt, ist nicht realisiert
- Kosten:
a) = einmalige Investitionskosten
b) = einmaliger Personalaufwand (AT = Arbeitstage)
c) = wiederkehrende Investitionskosten
d) = wiederkehrender Personalaufwand (AT = Arbeitstage)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 82
Realisierung von IT-Sicherheitsmanahmen 2.6
_________________________________________________________________________________________
Als nchstes wird der tabellarische Realisierungsplan dargestellt, der sich nach der Management-
entscheidung aus obiger Tabelle ergeben wrde.
Legende:
- Verantwortlich:
a) = Verantwortlich fr die Umsetzung der Manahme
b) = Verantwortlich fr die Kontrolle der Umsetzung
- Budgetrahmen: Fr die Realisierung der Manahme stehen zur Verfgung
a) = einmalige Investitionskosten
b) = einmaliger Personalaufwand (AT = Arbeitstage)
c) = wiederkehrende Investitionskosten
d) = wiederkehrender Personalaufwand (AT = Arbeitstage)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 83
IT-Grundschutz-Zertifikat 2.7
_________________________________________________________________________________________
2.7 IT-Grundschutz-Zertifikat
Aufgrund hufiger Anfragen, ob fr einen IT-Verbund, in
dem die Standardsicherheitsmanahmen nach IT-
Grundschutz umgesetzt sind, ein Zertifikat erlangt
werden kann, wird dieses Thema im BSI aufgegriffen.
Dabei sind die Interessen an einem IT-Grundschutz-
Zertifikat vielfltig:
- IT-Dienstleister mchten mit Hilfe dieses Zertifikats
einen vertrauenswrdigen Nachweis fhren, dass sie
die Manahmen nach dem IT-Grundschutzhandbuch
realisiert haben.
- Kooperierende Unternehmen mchten sich darber
informieren, welchen Grad von IT-Sicherheit ihre Geschftspartner zusichern knnen.
- Von Institutionen, die an ein Netz neu angeschlossen werden, wird der Nachweis darber verlangt,
dass sie eine ausreichende IT-Sicherheit besitzen, damit durch den Anschluss ans Netz keine
untragbaren Risiken entstehen.
- Unternehmen und Behrden mchten dem Kunden bzw. Brger gegenber ihre Bemhungen um
eine ausreichende IT-Sicherheit deutlich machen.
Da das IT-Grundschutzhandbuch mit seinen Empfehlungen von Standardsicherheitsmanahmen
inzwischen einen Quasi-Standard fr IT-Sicherheit darstellt, bietet es sich an, dies als allgemein aner-
kanntes Kriterienwerk fr IT-Sicherheit zu verwenden.
Das IT-Grundschutz-Zertifikat wird eine Institution fr einen ausgewhlten IT-Verbund erlangen
knnen, wenn eine unabhngige akkreditierte Stelle mittels eines Basis-Sicherheitschecks nachweisen
kann, dass die erforderlichen Standardsicherheitsmanahmen nach IT-Grundschutz realisiert sind. Die
Vorgehensweise entspricht dabei der in den Kapitel 2.1 bis 2.4 dargestellten Weise. Da bei der Durch-
fhrung des Basis-Sicherheitschecks zustzlich ein Sicherheitskonzept nach IT-Grundschutz als
Zwischenergebnis erstellt wird, ist die Weiterverwendbarkeit der im Zertifizierungsprozess generierten
Unterlagen sichergestellt.
Natrlich kann nicht ausgeschlossen werden, dass das Ergebnis des Basis-Sicherheitschecks die
Erteilung eines Zertifikats nicht zulsst. Fr diesen Fall wird berlegt, der Institution die Mglichkeit
einzurumen, ihre Bemhungen im IT-Sicherheitsprozess nach IT-Grundschutz zur Erlangung eines
IT-Grundschutz-Zertifikats ffentlich kund zu tun. Es ist vorgesehen, dass eine Institution im Rahmen
einer Selbsterklrung verffentlichen kann, dass sie eine noch zu definierende Einstiegsstufe
(Mindestniveau) oder darauf aufsetzende Aufbaustufe (unterhalb des IT-Grundschutzniveaus) erreicht
hat und das IT-Grundschutz-Zertifikat nach Umsetzung der fehlenden Manahmen anstrebt.
Nhere Informationen zum Diskussionsstand "IT-Grundschutz-Zertifikat" befinden sich auf dem BSI-
Server unter http://www.bsi.bund.de/gshb.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 84
IT-Grundschutz bergeordneter Komponenten 3
_________________________________________________________________________________________
3.0 IT-Sicherheitsmanagement
3.1 Organisation
3.2 Personal
3.3 Notfallvorsorge-Konzept
3.4 Datensicherungskonzept
3.5 Datenschutz
3.6 Computer-Virenschutzkonzept
3.7 Kryptokonzept
3.8 Behandlung von Sicherheitsvorfllen
3.9 Hard- und Software-Management
3.10 Outsourcing
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 85
IT-Sicherheitsmanagement 3.0
_________________________________________________________________________________________
3.0 IT-Sicherheitsmanagement
Beschreibung
Im Gleichklang mit den wachsenden Anforderungen an
die Informationstechnik ist auch deren Komplexitt
stndig gewachsen. Ein angemessenes IT-Sicherheits-
niveau kann daher in zunehmendem Mae nur durch
geplantes und organisiertes Vorgehen aller Beteiligten
durchgesetzt und aufrechterhalten werden. Voraussetzung
fr die sinnvolle Umsetzung und Erfolgskontrolle von IT-
Sicherheitsmanahmen ist somit ein durchdachter und
gesteuerter IT-Sicherheitsprozess. Diese Planungs- und
Lenkungsaufgabe wird als IT-Sicherheitsmanagement
bezeichnet. Die Etablierung eines funktionierenden IT-Sicherheitsmanagements steht notwendiger-
weise am Anfang des IT-Sicherheitsprozesses.
Ein funktionierendes IT-Sicherheitsmanagement muss in die existierenden Managementstrukturen
einer jeden Organisation eingebettet werden. Daher ist es praktisch nicht mglich, eine fr jede
Organisation unmittelbar anwendbare IT-Sicherheitsmanagement-Struktur anzugeben, vielmehr
werden hufig Anpassungen an organisationspezifische Gegebenheiten erforderlich sein.
In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein funktionierendes IT-Sicher-
heitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Die darge-
stellte Vorgehensweise soll dabei insofern Mustercharakter haben, als sich spezifische Ausprgungen
an ihr orientieren knnen.
Anmerkung: In einigen anderen Kapiteln dieses Handbuchs wird der Begriff IT-Sicherheitsmanage-
ment auch als Bezeichnung fr das IT-Sicherheitsmanagement-Team verwendet, also fr diejenige
Personengruppe, die fr den IT-Sicherheitsprozess innerhalb einer Organisation verantwortlich ist.
Gefhrdungslage
Gefhrdungen im Umfeld des IT-Sicherheitsmanagements knnen vielfltiger Natur sein. Stellver-
tretend fr diese Vielzahl der Gefhrdungen wird in diesem Kapitel die folgende typische Gefhrdung
betrachtet:
Organisatorischer Mngel:
- G 2.66 Unzureichendes IT-Sicherheitsmanagement
Manahmenempfehlungen
Zuerst ist in jedem Fall Manahme M 2.191 Etablierung des IT-Sicherheitsprozesses bearbeiten. Diese
Manahme beschreibt eine Vorgehensweise, wie ein vollstndiger IT-Sicherheitsprozess initiiert und
realisiert wird. Es werden dazu notwendige Schritte und Aktivitten beschrieben, die wiederum in den
nachfolgenden Manahmen ausfhrlich behandelt werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "IT-Sicherheitsmanagement" vorgestellt.
Organisation:
- M 2.191 (1) Etablierung des IT-Sicherheitsprozesses
- M 2.192 (1) Erstellung einer IT-Sicherheitsleitlinie
- M 2.193 (1) Aufbau einer geeigneten Organisationsstruktur fr IT-Sicherheit
- M 2.194 (1) Erstellung einer bersicht ber vorhandene IT-Systeme
- M 2.195 (1) Erstellung eines IT-Sicherheitskonzepts
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 86
IT-Sicherheitsmanagement 3.0
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 87
Organisation 3.1
_________________________________________________________________________________________
3.1 Organisation
Beschreibung
In diesem Kapitel werden allgemeine und bergreifende
Manahmen im Organisationsbereich aufgefhrt, die als
organisatorische Standardmanahmen zur Erreichung
eines Mindestschutzniveaus erforderlich sind. Spezielle
Manahmen organisatorischer Art, die in unmittelbarem
Zusammenhang mit anderen Manahmen stehen (z. B.
LAN-Administration), werden in den entsprechenden
Kapiteln aufgefhrt. Auf das ordnungsgeme
Management informationstechnischer Komponenten
(Hardware oder Software) ausgerichtete Standard-
Sicherheits-Manahmen befinden sich im Kapitel 3.9.
Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz die folgenden typischen Gefhrdungen betrachtet:
Organisatorischer Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Organisation" vorgestellt:
Organisation:
- M 2.1 (2) Festlegung von Verantwortlichkeiten und Regelungen fr den IT-Einsatz
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.5 (1) Aufgabenverteilung und Funktionstrennung
- M 2.6 (1) Vergabe von Zutrittsberechtigungen
- M 2.7 (1) Vergabe von Zugangsberechtigungen
- M 2.8 (1) Vergabe von Zugriffsrechten
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.14 (2) Schlsselverwaltung
- M 2.37 (2) "Der aufgerumte Arbeitsplatz"
- M 2.39 (2) Reaktion auf Verletzungen der Sicherheitspolitik
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.177 (2) Sicherheit bei Umzgen
- M 2.225 (2) Zuweisung der Verantwortung fr Informationen, Anwendungen und IT-
Komponenten
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 88
Personal 3.2
_________________________________________________________________________________________
3.2 Personal
Beschreibung
In diesem Kapitel werden die bergeordneten IT-Grund-
schutzmanahmen erlutert, die im Bereich Personal-
wesen standardmig durchgefhrt werden sollten.
Beginnend mit der Einstellung von Mitarbeitern bis hin
zu deren Ausscheiden ist eine Vielzahl von Manahmen
erforderlich. Personelle Manahmen, die an eine
bestimmte Funktion gebunden sind wie z. B. die
Ernennung des Systemadministrators eines LAN, werden
in den IT-spezifischen Kapiteln angefhrt.
Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz die folgenden typischen Gefhrdungen betrachtet:
Hhere Gewalt:
- G 1.1 Personalausfall
Organisatorische Mngel
- G 2.2 Unzureichende Kenntnis ber Regelungen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.8 Fehlerhafte Nutzung des IT-Systems
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.42 Social Engineering
- G 5.104 Aussphen von Informationen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Personal" vorgestellt:
Personal:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 89
Notfallvorsorge-Konzept 3.3
_________________________________________________________________________________________
3.3 Notfallvorsorge-Konzept
Beschreibung
Die Notfallvorsorge umfasst Manahmen, die auf die
Wiederherstellung der Betriebsfhigkeit nach (technisch
bedingtem bzw. durch fahrlssige oder vorstzliche
Handlungen herbeigefhrten) Ausfall eines IT-Systems
ausgerichtet sind. Abhngig vom Zeitpunkt der
Realisierung dieser Manahmen lassen sich vier Phasen
der Notfallvorsorge unterscheiden:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 90
Notfallvorsorge-Konzept 3.3
_________________________________________________________________________________________
In diesem Kapitel soll ein systematischer Weg aufgezeigt werden, wie ein Notfall-Handbuch erstellt
und dessen Anwendung gebt werden kann. Damit sind Teile der Phase 1 und die Phasen 3 und 4
betroffen. Die in Phase 2 umzusetzenden Manahmen setzen eine individuelle Betrachtung des IT-
Systems und der Einsatzumgebung voraus. Diese Manahmen werden in den jeweiligen umfeld- und
systemspezifischen Bausteinen dieses Handbuchs behandelt.
Der Aufwand zur Erstellung eines Notfallhandbuchs einschlielich der notwendigen begleitenden
Manahmen ist betrchtlich. Daher kann dieses Kapitel insbesondere fr
- IT-Systeme mit hohen Verfgbarkeitsanforderungen,
- grere IT-Systeme (Grorechner, groe Unix-Systeme, umfangreiche Netze) oder
- eine grere Anzahl rumlich konzentrierter IT-Systeme
sinnvoll eingesetzt werden.
Gefhrdungslage
In diesem Kapitel wird fr den IT-Grundschutz die Gefhrdung
stellvertretend fr alle Gefhrdungen betrachtet, durch die ein Ausfall herbeigefhrt werden kann.
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die Bearbeitung der Manahmen sollte in der angegebenen Reihenfolge geschehen, um systematisch
ein Notfall-Handbuch zu erarbeiten.
Notfallvorsorge:
- M 6.1 (2) Erstellung einer bersicht ber Verfgbarkeitsanforderungen
- M 6.2 (2) Notfall-Definition, Notfall-Verantwortlicher
- M 6.3 (2) Erstellung eines Notfall-Handbuches
- M 6.4 (2) Dokumentation der Kapazittsanforderungen der IT-Anwendungen
- M 6.5 (2) Definition des eingeschrnkten IT-Betriebs
- M 6.6 (2) Untersuchung interner und externer Ausweichmglichkeiten
- M 6.7 (2) Regelung der Verantwortung im Notfall
- M 6.8 (1) Alarmierungsplan
- M 6.9 (1) Notfall-Plne fr ausgewhlte Schadensereignisse
- M 6.10 (2) Notfall-Plan fr DF-Ausfall
- M 6.11 (2) Erstellung eines Wiederanlaufplans
- M 6.12 (1) Durchfhrung von Notfallbungen
- M 6.13 (2) Erstellung eines Datensicherungsplans
- M 6.14 (3) Ersatzbeschaffungsplan
- M 6.15 (3) Lieferantenvereinbarungen (optional)
- M 6.16 (2) Abschlieen von Versicherungen (optional)
- M 6.75 (2) Redundante Kommunikationsverbindungen (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 91
Datensicherungskonzept 3.4
_________________________________________________________________________________________
3.4 Datensicherungskonzept
Beschreibung
Durch technisches Versagen, versehentliches Lschen
oder durch Manipulation knnen gespeicherte Daten
unbrauchbar werden bzw. verloren gehen. Eine
Datensicherung soll gewhrleisten, dass durch einen
redundanten Datenbestand der IT-Betrieb kurzfristig
wiederaufgenommen werden kann, wenn Teile des
operativen Datenbestandes verloren gehen.
Die Konzeption einer angemessenen und
funktionstchtigen Datensicherung bedarf allerdings
aufgrund der Komplexitt einer geordneten Vorgehensweise. In diesem Kapitel wird ein Weg
beschrieben, wie fr ein IT-System ein Datensicherungskonzept erstellt werden kann.
Gefhrdungslage
Fr die mittels eines Datensicherungskonzepts zu schtzenden Daten wird fr den IT-Grundschutz
folgende typische Gefhrdung angenommen:
Technisches Versagen:
- G 4.13 Verlust gespeicherter Daten
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Datensicherungskonzept" vorgestellt, das
vor allem fr grere IT-Systeme oder IT-Systeme mit groem Datenvolumen sinnvoll ist. Die
Bearbeitung der Manahmen sollte in der angegebenen Reihenfolge geschehen, um systematisch ein
Datensicherungskonzept zu erarbeiten.
Notfallvorsorge:
- M 6.33 (2) Entwicklung eines Datensicherungskonzepts (optional)
- M 6.34 (2) Erhebung der Einflussfaktoren der Datensicherung (optional)
- M 6.35 (2) Festlegung der Verfahrensweise fr die Datensicherung (optional)
- M 6.36 (1) Festlegung des Minimaldatensicherungskonzeptes
- M 6.37 (2) Dokumentation der Datensicherung
- M 6.41 (1) bungen zur Datenrekonstruktion
Organisation:
- M 2.41 (2) Verpflichtung der Mitarbeiter zur Datensicherung
- M 2.137 (2) Beschaffung eines geeigneten Datensicherungssystems
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 93
Datenschutz 3.5
_________________________________________________________________________________________
3.5 Datenschutz
Beschreibung
Aufgabe des Datenschutzes ist es, den einzelnen davor zu
schtzen, dass er durch den Umgang mit seinen
personenbezogenen Daten in seinem Recht beeintrchtigt
wird, selbst ber die Preisgabe und Verwendung seiner
Daten zu bestimmen ("informationelles Selbstbestim-
mungsrecht").
Aufgrund der engen Verflechtung von Datenschutz und
IT-Sicherheit sollte es Ziel eines IT-Grundschutzkapitels
zum Thema "Datenschutz" sein, einerseits die Rahmen-
bedingungen fr den Datenschutz praxisgerecht aufzubereiten und andererseits die Verbindung zur IT-
Sicherheit ber den IT-Grundschutz aufzubauen.
Ein Vorschlag fr ein solches IT-Grundschutzkapitel "Datenschutz" wurde federfhrend vom
Bundesbeauftragten fr den Datenschutz gemeinsam mit dem Arbeitskreis Technik der
Datenschutzbeauftragten des Bundes und der Lnder erstellt. Es richtet sich an die ffentlichen Stellen
des Bundes und der Lnder, die privaten Anbieter von Telekokmmunikationsdiensten und
Postdienstleistungen.
Dieser Vorschlag kann beim Bundesbeauftragten fr den Datenschutz per E-Mail angefordert werden
unter der Adresse:
poststelle@bfd.bund.de
Darber hinaus kann dieser Vorschlag auch auf dem Internet-Server des Bundesbeauftragten fr den
Datenschutz unter der Adresse www.bfd.bund.de nachgelesen werden. In Vorbereitung befindet sich
darber hinaus eine Download-Mglichkeit dieses Vorschlagkapitels, das fr die Lose-Blattsammlung
des IT-Grundschutzhandbuchs vorformatiert ist.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 94
Computer-Virenschutzkonzept 3.6
_________________________________________________________________________________________
3.6 Computer-Virenschutzkonzept
Beschreibung
Ziel eines Computer-Virenschutzkonzeptes ist es, ein
geeignetes Manahmenbndel zusammenzustellen, bei
dessen Einsatz das Auftreten von Computer-Viren auf
den in einer Organisation eingesetzten IT-Systemen ver-
hindert bzw. mglichst frh erkannt wird, um Gegen-
manahmen vornehmen zu knnen und evtl. mgliche
Schden zu minimieren. Wesentlicher Aspekt des
Schutzes vor Computer-Viren ist die konsequente
Aufrechterhaltung der Manahmen und die stndige
Aktualisierung technischer Gegenmanahmen. Diese
Forderung begrndet sich durch die permanent neu auftauchenden Computer-Viren oder deren
Varianten. Auch durch die Weiterentwicklung von Betriebssystemen, Programmiersprachen und
Anwendungssoftware mssen die sich hieraus ergebenden mglichen Angriffspotentiale fr
Computer-Viren beachtet werden und rechtzeitig geeignete Gegenmanahmen eingeleitet werden.
Da in Behrden oder Unternehmen Rechner in zunehmendem Mae in lokale Netze integriert werden
oder ein Anschluss an ffentliche Kommunikationsnetze erfolgt, werden ber die Weitergabe ber
Disketten hinaus zustzliche Schnittstellen geschaffen, ber die eine Infektion mit Computer-Viren
erfolgen kann. Dies erfordert es oftmals, dass eine permanente Kontrolle der eingesetzten Rechner auf
Computer-Viren vorgenommen wird.
Um fr eine Gesamtorganisation einen effektiven Computer-Virenschutz zu erreichen, wird in diesem
Kapitel die Vorgehensweise zur Erstellung und Realisierung eines Viren-Schutzkonzeptes in einzelnen
Schritten erlutert. Manahmenempfehlungen zum Computer-Virenschutz fr einzelne IT-Systeme
finden sich in den entsprechenden Kapiteln 5 und 6.
Gefhrdungslage
Fr den IT-Grundschutz werden bezglich Computer-Viren die folgenden typischen Gefhrdungen
betrachtet:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.80 Hoax
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 95
Computer-Virenschutzkonzept 3.6
_________________________________________________________________________________________
Manahmenempfehlungen
Bei der Erstellung eines Computer-Viren-Schutzkonzepts (vgl.M 2.154 Erstellung eines Computer-
Virenschutzkonzept,) muss zunchst ermittelt werden, welche der vorhandenen oder geplanten IT-
Systeme in das Computer-Viren-Schutzkonzept einzubeziehen sind (siehe M 2.155 Identifikation
potentiell von Computer-Viren betroffener IT-Systeme). Fr diese IT-Systeme mssen die fr die
Umsetzung von Sicherheitsmanahmen relevanten Einflussfaktoren betrachtet werden. Darauf aufbau-
end knnen dann die technischen und organisatorischen Manahmen ausgewhlt werden. Hierzu ist
insbesondere die Auswahl geeigneter technischer Gegenmanahmen wie Computer-Viren-Suchpro-
gramme zu beachten (siehe M 2.156 Auswahl einer geeigneten Computer-Virenschutz-Strategie und
,M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms). Neben der Einrichtung eines
Meldewesens (vgl. M 2.158 Meldung von Computer-Virusinfektionen) und der Koordinierung der
Aktualisierung eingesetzter Schutzprodukte (vgl. M 2.159 Aktualisierung der eingesetzten Computer-
Viren-Suchprogramme) sind fr die Umsetzung des Konzeptes eine Reihe von Regelungen zu verein-
baren (vgl. M 2.11 Regelung des Passwortgebrauchs), in denen zustzlich notwendige Manahmen
zum Virenschutz festgelegt werden.
Eine der wichtigsten Vorbeugemanahmen gegen Schden durch Computer-Viren ist die regelmige
Datensicherung (siehe M 6.32 Regelmige Datensicherung).
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmebndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen. Als zustzliche Literatur ist Band 2 der
Schriftenreihe zur IT-Sicherheit des Bundesamtes fr Sicherheit in der Informationstechnik "
Informationen zu Computer-Viren" zu empfehlen.
Organisation:
- M 2.9 (3) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.154 (1) Erstellung eines Computer-Virenschutzkonzepts
- M 2.155 (2) Identifikation potentiell von Computer-Viren betroffener IT-Systeme
- M 2.156 (2) Auswahl einer geeigneten Computer-Virenschutz-Strategie
- M 2.157 (2) Auswahl eines geeigneten Computer-Viren-Suchprogramms
- M 2.158 (2) Meldung von Computer-Virusinfektionen
- M 2.159 (2) Aktualisierung der eingesetzten Computer-Viren-Suchprogramme
- M 2.160 (2) Regelungen zum Computer-Virenschutz
Personal:
- M 3.4 (2) Schulung vor Programmnutzung
- M 3.5 (2) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.33 (2) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.84 (2) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (2) Erstellen einer PC-Notfalldiskette
- M 6.32 (1) Regelmige Datensicherung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 96
Kryptokonzept 3.7
_________________________________________________________________________________________
3.7 Kryptokonzept
Beschreibung
Dieser Baustein beschreibt eine Vorgehensweise, wie in
einer heterogenen Umgebung sowohl die lokal gespei-
cherten Daten als auch die zu bertragenen Daten
wirkungsvoll durch kryptographische Verfahren und
Techniken geschtzt werden knnen. Dazu wird
beschrieben, wie und wo in einer heterogenen Umgebung
kryptographische Verfahren und die entsprechenden
Komponenten eingesetzt werden knnen. Da beim Ein-
satz kryptographischer Verfahren sehr viele komplexe
Einflussfaktoren zu betrachten sind, sollte hierfr ein
Kryptokonzept erstellt werden.
In diesem Baustein wird daher beschrieben, wie ein Kryptokonzept erstellt werden kann. Beginnend
mit der Bedarfsermittlung und der Erhebung der Einflussfaktoren geht es ber die Auswahl geeigneter
kryptographischer Lsungen und Produkte bis hin zur Sensibilisierung und Schulung der Anwender
und zur Krypto-Notfallvorsorge.
Dieser Baustein kann auch herangezogen werden, wenn nur ein kryptographisches Produkt fr eines
der mglichen Einsatzfelder ausgewhlt werden soll. Dann knnen einige der im folgenden beschrie-
benen Schritte ausgelassen werden und nur die fr das jeweilige Einsatzfeld relevanten Teile bearbei-
tet werden.
Fr die Umsetzung dieses Bausteins sollte ein elementares Verstndnis der grundlegenden krypto-
graphischen Mechanismen vorhanden sein. Ein berblick ber kryptographische Grundbegriffe findet
sich in M 3.23 Einfhrung in kryptographische Grundbegriffe.
Gefhrdungslage
Kryptographische Verfahren werden eingesetzt zur Gewhrleistung von
- Vertraulichkeit,
- Integritt,
- Authentizitt und
- Nichtabstreitbarkeit.
Daher werden fr den IT-Grundschutz primr die folgenden Gefhrdungen fr kryptographische
Verfahren betrachtet:
- G 4.33 Schlechte oder fehlende Authentikation
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
Werden kryptographische Verfahren eingesetzt, sollten fr den IT-Grundschutz zustzlich folgende
Gefhrdungen betrachtet werden:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 97
Kryptokonzept 3.7
_________________________________________________________________________________________
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.32 Versto gegen rechtliche Rahmenbedingungen beim Einsatz von
kryptographischen Verfahren
- G 3.33 Fehlbedienung von Kryptomodulen
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.34 Ausfall eines Kryptomoduls
- G 4.35 Unsichere kryptographische Algorithmen
- G 4.36 Fehler in verschlsselten Daten
Vorstzliche Handlungen:
- G 5.81 Unautorisierte Benutzung eines Kryptomoduls
- G 5.82 Manipulation eines Kryptomoduls
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.84 Geflschte Zertifikate
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Darber hinaus sind im Bereich kryptographische Verfahren im wesentlichen die folgenden Schritte
durchzufhren:
1. Entwicklung eines Kryptokonzepts (siehe M 2.161 Entwicklung eines Kryptokonzepts)
Der Einsatz kryptographischer Verfahren wird von einer groen Zahl von Einflussfaktoren
bestimmt. Das IT-System, das Datenvolumen, das angestrebte Sicherheitsniveau und die Verfg-
barkeitsanforderungen sind einige dieser Faktoren. Daher sollte zunchst ein Konzept entwickelt
werden, in dem alle Einflussgren und Entscheidungskriterien fr die Wahl eines konkreten
kryptographischen Verfahrens und der entsprechenden Produkte bercksichtigt werden und das
gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.
2. Ermittlung der Anforderungen an die kryptographischen Verfahren
Es muss ein Anforderungskatalog erstellt werden, in dem die Einflussgren und die Entschei-
dungskriterien beschrieben werden, die einem Einsatz von kryptographischen Verfahren zugrunde
liegen (siehe M 2.162 Bedarfserhebung fr den Einsatz kryptographischer Verfahren und Produkte
und M 2.163 Erhebung der Einflussfaktoren fr kryptographische Verfahren und Produkte).
Kryptographische Verfahren knnen auf den verschiedenen Schichten des ISO/OSI-Schichten-
modells eingesetzt werden. Je nach den festgestellten Anforderungen oder Gefhrdungen ist der
Einsatz auf bestimmten Schichten zu empfehlen (siehe auch M 4.90 Einsatz von kryptographischen
Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells).
3. Auswahl geeigneter kryptographischer Verfahren (siehe M 2.164 Auswahl eines geeigneten
kryptographischen Verfahrens)
Bei der Auswahl von kryptographischen Verfahren steht zunchst die Frage, ob symmetrische,
asymmetrische oder hybride Algorithmen geeignet sind, im Vordergrund und dann die Mechanis-
menstrke. Anschlieend sind geeignete Produkte zu bestimmen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 98
Kryptokonzept 3.7
_________________________________________________________________________________________
4. Auswahl eines geeigneten kryptographischen Produktes (siehe M 2.165 Auswahl eines geeigneten
kryptographischen Produktes )
Nachdem alle Rahmenbedingungen bestimmt worden sind, muss ein Produkt ausgewhlt werden,
das die im Kryptokonzept dargelegte Sicherheitsfunktionalitt bietet. Ein solches Produkt, im fol-
genden kurz Kryptomodul genannt, kann dabei aus Hardware, Software, Firmware oder aus einer
diesbezglichen Kombination sowie der zur Durchfhrung der Kryptoprozesse notwendigen Bau-
teilen wie Speicher, Prozessoren, Busse, Stromversorgung etc. bestehen. Ein Kryptomodul kann
zum Schutz von sensiblen Daten bzw. Informationen in unterschiedlichsten Rechner- oder Tele-
kommunikationssystemen Verwendung finden.
5. Geeigneter Einsatz der Kryptomodule (siehe M 2.166 Regelung des Einsatzes von Kryptomodulen)
Auch im laufenden Betrieb mssen eine Reihe von Sicherheitsanforderungen an ein Kryptomodul
gestellt werden. Neben der Sicherheit der durch das Kryptomodul zu schtzenden Daten geht es
schwerpunktmig auch darum, das Kryptomodul selbst gegen unmittelbare Angriffe und Fremd-
einwirkung zu schtzen.
6. Die sicherheitstechnischen Anforderungen an die IT-Systeme, auf denen die kryptographischen
Verfahren eingesetzt werden, sind den jeweiligen systemspezifischen Bausteinen zu entnehmen. So
finden sich die Bausteine fr Clients (inkl. Laptops) in Kapitel 5, die fr Server in Kapitel 6.
7. Notfallvorsorge, hierzu gehren
- die Datensicherung bei Einsatz kryptographischer Verfahren (siehe M 6.56 Datensicherung
bei Einsatz kryptographischer Verfahren), also die Sicherung der Schlssel, der
Konfigurationsdaten der eingesetzten Produkte, der verschlsselten Daten,
- die Informationsbeschaffung ber sowie die Reaktion auf Sicherheitslcken.
Nachfolgend wird das Manahmenbndel fr den Bereich "Kryptokonzept" vorgestellt. Auf eine
Wiederholung von Manahmen anderer Kapitel wird hier verzichtet.
Organisation:
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.39 (2) Reaktion auf Verletzungen der Sicherheitspolitik
- M 2.46 (2) Geeignetes Schlsselmanagement
- M 2.161 (1) Entwicklung eines Kryptokonzepts
- M 2.162 (1) Bedarfserhebung fr den Einsatz kryptographischer Verfahren und Produkte
- M 2.163 (1) Erhebung der Einflussfaktoren fr kryptographische Verfahren und Produkte
- M 2.164 (1) Auswahl eines geeigneten kryptographischen Verfahrens
- M 2.165 (1) Auswahl eines geeigneten kryptographischen Produktes
- M 2.166 (1) Regelung des Einsatzes von Kryptomodulen
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.23 (1) Einfhrung in kryptographische Grundbegriffe
Hardware/Software:
- M 4.85 (3) Geeignetes Schnittstellendesign bei Kryptomodulen (optional)
- M 4.86 (2) Sichere Rollenteilung und Konfiguration der Kryptomodule
- M 4.87 (2) Physikalische Sicherheit von Kryptomodulen (optional)
- M 4.88 (2) Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 99
Kryptokonzept 3.7
_________________________________________________________________________________________
Viele andere Bausteine enthalten Manahmen, die das Thema kryptographische Verfahren berhren
und die als Realisierungsbeispiele betrachtet werden knnen. Dazu gehren z. B.:
- M 4.29 Einsatz eines Verschlsselungsproduktes fr tragbare PCs
- M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.34 Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen
- M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.72 Datenbank-Verschlsselung
- M 5.33 Absicherung der per Modem durchgefhrten Fernwartung
- M 5.34 Einsatz von Einmalpasswrtern
- M 5.36 Verschlsselung unter Unix und Windows NT
- M 5.50 Authentisierung mittels PAP/CHAP
- M 5.52 Sicherheitstechnische Anforderungen an den Kommunikationsrechner
- M 5.63 Einsatz von GnuPG oder PGP
- M 5.64 Secure Shell
- M 5.65 Einsatz von S-HTTP
- M 5.66 Verwendung von SSL
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 100
Behandlung von Sicherheitsvorfllen 3.8
_________________________________________________________________________________________
Gefhrdungslage
Sicherheitsvorflle knnen durch eine Vielzahl von Gefhrdungen ausgelst werden. Eine groe
Sammlung von Gefhrdungen, die kleinere oder grere Sicherheitsvorflle verursachen knnen,
findet sich in den Gefhrdungskatalogen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 101
Behandlung von Sicherheitsvorfllen 3.8
_________________________________________________________________________________________
Ein groer Schaden kann durch diese Gefhrdungen dann ausgelst werden, wenn dafr keine
angemessene Herangehensweise vorgesehen ist. In diesem Kapitel wird daher stellvertretend fr alle
Gefhrdungen, die sich im Umfeld von Sicherheitsvorfllen ereignen knnen, folgende Gefhrdung
betrachtet:
- G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfllen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Um ein effektives System zur Behandlung von Sicherheitsvorfllen einzurichten, sind eine Reihe von
Schritten zu durchlaufen. Diese sind in der Manahme M 6.58 Etablierung eines Managementsystems
zur Behandlung von Sicherheitsvorfllen beschrieben und werden durch die daran anschlieenden
Manahmen erlutert. Daher sollte mit der Umsetzung der Manahme M 6.58 Etablierung eines
Managementsystems zur Behandlung von Sicherheitsvorfllen begonnen werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "Behandlung von Sicherheitsvorfllen"
vorgestellt.
Notfallvorsorge:
- M 6.58 (1) Etablierung eines Managementsystems zur Behandlung von Sicherheitsvorfllen
- M 6.59 (1) Festlegung von Verantwortlichkeiten bei Sicherheitsvorfllen
- M 6.60 (1) Verhaltensregeln und Meldewege bei Sicherheitsvorfllen
- M 6.61 (1) Eskalationsstrategie fr Sicherheitsvorflle
- M 6.62 (1) Festlegung von Prioritten fr die Behandlung von Sicherheitsvorfllen
- M 6.63 (1) Untersuchung und Bewertung eines Sicherheitsvorfalls
- M 6.64 (1) Behebung von Sicherheitsvorfllen
- M 6.65 (1) Benachrichtigung betroffener Stellen
- M 6.66 (2) Nachbereitung von Sicherheitsvorfllen
- M 6.67 (2) Einsatz von Detektionsmanahmen fr Sicherheitsvorflle (optional)
- M 6.68 (2) Effizienzprfung des Managementsystems zur Behandlung von
Sicherheitsvorfllen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 102
Hard- und Software-Management 3.9
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 103
Hard- und Software-Management 3.9
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Ein IT-Verbund besteht aus einer Vielzahl von IT-Komponenten, die zunchst als Einzelkomponenten
gem der Manahmenvorschlge aus den entsprechenden Bausteinen abgesichert werden sollten.
Damit fr alle eingesetzten IT-Komponenten das gleiche Sicherheitsniveau erreicht wird, sollten durch
das Hard- und Software-Management einheitliche Regelungen vorgegeben werden.
Im Rahmen des Hard- und Software-Managements sind unabhngig von der Art der eingesetzten IT-
Komponenten eine Reihe von Manahmen umzusetzen, beginnend mit der Konzeption ber die
Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Manahmen, die
in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgefhrt.
1. Es sollte immer mit ein Konzept erstellt werden, das auf den Sicherheitsanforderungen fr die
bereits vorhandenen IT-Systeme sowie den Anforderungen aus den geplanten Einsatzszenarien
beruht (siehe M 2.214 Konzeption des IT-Betriebs).
2. Fr die Beschaffung von IT-Systemen mssen die aus dem Konzept resultierenden Anforderungen
an die jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte
getroffen werden.
3. Die fr den sicheren Betrieb aller IT-Komponenten notwendigen Manahmen mssen in einer
Sicherheitsrichtlinie festgelegt werden. Diese sollte u. a. folgende Bereiche umfassen:
- Berechtigungskonzepte fr die IT-Nutzung
- Administration und Rollenverteilung (insbesondere bei vernetzten IT-Systemen muss die
Aufteilung der Administration klar geregelt sein)
- Identifikation und Authentikation der Benutzer
- Datenhaltung und allgemeiner Umgang mit der IT
- Festlegung von Hausstandards fr IT-Komponenten
- Gesicherte Anbindung an Fremdnetze
- Sensibilisierung und Schulung der Administratoren und Benutzer
4. Aufbauend auf der Sicherheitsrichtlinie mssen Sicherheitsmanahmen fr die Installation und
erste Konfiguration sowie fr den laufenden Betrieb der IT-Systeme festgelegt werden.
Nachfolgend wird das Manahmenbndel fr den Bereich "Hard- und Software-Management"
vorgestellt:
Infrastruktur:
- M 1.46 (3) Einsatz von Diebstahl-Sicherungen (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.11 (1) Regelung des Passwortgebrauchs
- M 2.12 (3) Betreuung und Beratung von IT-Benutzern (optional)
- M 2.30 (1) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.62 (2) Software-Abnahme- und Freigabe-Verfahren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 104
Hard- und Software-Management 3.9
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 105
Outsourcing 3.10
_________________________________________________________________________________________
3.10 Outsourcing
Beschreibung
Beim Outsourcing werden Arbeits- oder Geschftspro-
zesse einer Organisation ganz oder teilweise zu externen
Dienstleistern ausgelagert. Outsourcing kann sowohl
Nutzung und Betrieb von Hardware und Software, aber
auch Dienstleistungen betreffen. Dabei ist es unerheblich,
ob die Leistung in den Rumlichkeiten des Auftraggebers
oder in einer externen Betriebssttte des Outsourcing-
Dienstleisters erbracht wird. Typische Beispiele sind der
Betrieb eines Rechenzentrums, einer Applikation, einer
Webseite oder des Wachdienstes. Outsourcing ist ein
Oberbegriff, der oftmals durch weitere Begriffe ergnzt wird: Tasksourcing bezeichnet das Auslagern
von Teilbereichen. Werden Dienstleistungen mit Bezug zur IT-Sicherheit ausgelagert, wird von
Security Outsourcing oder Managed Security Services gesprochen. Beispiele sind die Auslagerung des
Firewall-Betriebs, die berwachung des Netzes, Virenschutz oder der Betrieb eines Virtual Private
Networks (VPN). Unter Application Service Provider (ASP) versteht man einen Dienstleister, der auf
seinen eigenen Systemen einzelne Anwendungen oder Software fr seine Kunden betreibt (E-Mail,
SAP-Anwendungen, Archivierung, Web-Shops, Beschaffung). Auftraggeber und Dienstleister sind
dabei ber das Internet oder ein VPN miteinander verbunden. Beim Application Hosting ist ebenfalls
der Betrieb von Anwendungen an einen Dienstleister ausgelagert, jedoch gehren im Gegensatz zum
ASP-Modell die Anwendungen noch dem jeweiligen Kunden. Da die Grenzen zwischen klassischem
Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen, wird im Folgenden nur noch
der Oberbegriff Outsourcing verwendet.
Das Auslagern von Geschfts- und Produktionsprozessen ist ein etablierter Bestandteil heutiger Orga-
nisationsstrategien. Speziell in den letzten beiden Jahrzehnten hat sich der Trend zum Outsourcing
enorm verstrkt, und dieser scheint auch fr die nchste Zukunft ungebrochen. Es gibt aber inzwischen
auch publizierte Beispiele fr gescheiterte Outsourcing-Projekte, wo der Auftraggeber den Outsour-
cing-Vertrag gekndigt hat und die ausgelagerten Geschftsprozesse wieder in Eigenregie betreibt
(Insourcing).
Die Grnde fr Outsourcing sind vielfltig: die Konzentration einer Organisation auf ihre Kernkom-
petenzen, die Mglichkeit einer Kostenersparnis (z. B. keine Anschaffungs- oder Betriebskosten fr
IT-Systeme), der Zugriff auf spezialisierte Kenntnisse und Ressourcen, die Freisetzung interner Res-
sourcen fr andere Aufgaben, die Straffung der internen Verwaltung, die verbesserte Skalierbarkeit
der Geschfts- und Produktionsprozesse, die Erhhung der Flexibilitt sowie der Wettbewerbsfhig-
keit einer Organisation sind nur einige Beispiele.
Beim Auslagern von IT-gesttzten Organisationsprozessen werden die IT-Systeme und Netze der
auslagernden Organisation und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbun-
den, so dass Teile von internen Geschftsprozessen unter Leitung und Kontrolle eines externen
Dienstleisters ablaufen. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt.
Durch die enge Verbindung zum Dienstleister und die entstehende Abhngigkeit von der Dienstleis-
tungsqualitt ergeben sich Risiken fr den Auftraggeber, durch die im schlimmsten Fall sogar die Ge-
schftsgrundlage des Unternehmens oder der Behrde vital gefhrdet werden knnen. (Beispielsweise
knnten sensitive Organisationsinformationen gewollt oder ungewollt nach auen preisgegeben wer-
den.) Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen
Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit
eine zentrale Rolle zu.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 107
Outsourcing 3.10
_________________________________________________________________________________________
Den Schwerpunkt dieses Bausteins bilden daher Manahmen, die sich mit IT-Sicherheitsaspekten des
Outsourcing beschftigen. Dazu zhlen ebenfalls geeignete Manahmen zur Kontrolle der vertraglich
vereinbarten Ziele und Leistungen sowie der IT-Sicherheitsmanahmen.
Gefhrdungslage
Die Gefhrdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Die Entscheidung
ber das Auslagern einer speziellen Aktivitt beeinflusst nachhaltig die strategische Ausrichtung der
Organisation, die Definition ihrer Kernkompetenzen, die Ausgestaltung der Wertschpfungskette und
betrifft viele weitere wesentliche Belange eines Organisationsmanagements. Es sollten daher alle An-
strengungen unternommen werden, um Fehlentwicklungen des Unternehmens oder der Behrde frh-
zeitig zu erkennen und zu verhindern.
Die Gefhrdungen knnen parallel auf physikalischer, technischer und auch menschlicher Ebene exis-
tieren und sind nachfolgend in den einzelnen Gefhrdungskatalogen aufgefhrt. Um die jeweils exis-
tierenden Risiken quantitativ bewerten zu knnen, mssen zuvor die organisationseigenen Werte und
Informationen entsprechend ihrer strategischen Bedeutung fr die Organisation beurteilt und klassifi-
ziert werden.
Hhere Gewalt:
- G 1.10 Ausfall eines Weitverkehrsnetzes
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.47 Ungesicherter Akten- und Datentrgertransport
- G 2.66 Unzureichendes IT-Sicherheitsmanagement
- G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten
- G 2.83 Fehlerhafte Outsourcing-Strategie
- G 2.84 Unzulngliche vertragliche Regelungen mit einem externen Dienstleister
- G 2.85 Unzureichende Regelungen fr das Ende des Outsourcing-Vorhabens
- G 2.86 Abhngigkeit von einem Outsourcing-Dienstleister
- G 2.88 Strung des Betriebsklimas durch ein Outsourcing-Vorhaben
- G 2.89 Mangelhafte IT-Sicherheit in der Outsourcing-Einfhrungsphase
- G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister
- G 2.93 Unzureichendes Notfallvorsorgekonzept beim Outsourcing
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
Technisches Versagen:
- G 4.33 Schlechte oder fehlende Authentikation
- G 4.34 Ausfall eines Kryptomoduls
- G 4.48 Ausfall der Systeme eines Outsourcing-Dienstleisters
Vorstzliche Handlungen:
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.20 Missbrauch von Administratorrechten
- G 5.42 Social Engineering
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.107 Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 108
Outsourcing 3.10
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen. Ein ausgelagerter IT-Verbund kann so-
wohl aus Komponenten bestehen, die sich ausschlielich im Einflussbereich des Outsourcing-
Dienstleisters befinden, als auch aus Komponenten beim Auftraggeber. In der Regel gibt es in diesem
Fall Schnittstellen zur Verbindung der Systeme. Fr jedes Teilsystem und fr die Schnittstellenfunkti-
onen muss IT-Grundschutz gewhrleistet sein.
Ein Outsourcing-Vorhaben besteht aus mehreren Phasen, die im Folgenden kurz dargestellt sind.
Phase 1: Strategische Planung des Outsourcing-Vorhabens
Schon im Rahmen der strategischen Entscheidung, ob und in welcher Form ein Outsourcing-Vorhaben
umgesetzt wird, mssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden. In der
Manahme M 2.250 Festlegung einer Outsourcing-Strategie werden die wesentlichen Punkte vorge-
stellt, die zu beachten sind.
Phase 2: Definition der wesentlichen Sicherheitsanforderungen
Wenn die Entscheidung zum Outsourcing gefallen ist, mssen die wesentlichen bergeordneten Si-
cherheitsanforderungen fr das Outsourcing-Vorhaben festgelegt werden. Diese Sicherheitsanforde-
rungen sind die Basis fr das Ausschreibungsverfahren (siehe M 2.251 Festlegung der
Sicherheitsanforderungen fr Outsourcing-Vorhaben).
Phase 3: Auswahl des Outsourcing-Dienstleisters
Der Wahl des Outsourcing-Dienstleisters kommt eine besondere Bedeutung zu (siehe M 2.252 Wahl
eines geeigneten Outsourcing-Dienstleisters).
Phase 4: Vertragsgestaltung
Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden, der die
gewnschten Leistungen inklusive Qualittsstandards und Fristen im Einklang mit der vorhandenen
Gesetzgebung festschreibt. Diese Vertrge werden hufig als Service Level Agreements (SLA) be-
zeichnet. In diesem Vertrag mssen auch die genauen Modalitten der Zusammenarbeit geklrt sein:
Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der IT-
Sicherheitsvorkehrungen, Umgang mit vertraulichen Informationen, Verwertungsrechte, Weitergabe
von Information an Dritte etc. (siehe hierzu M 2.253 Vertragsgestaltung mit dem Outsourcing-
Dienstleister).
Phase 5: Erstellung eines IT-Sicherheitskonzepts fr den ausgelagerten IT-Verbund
In enger Zusammenarbeit mssen Auftraggeber und Outsourcing-Dienstleister ein detailliertes Sicher-
heitskonzept (M 2.254 Erstellung eines IT-Sicherheitskonzepts fr das Outsourcing-Vorhaben), das
ein Notfallvorsorgekonzept (M 6.83 Notfallvorsorge beim Outsourcing) enthlt, erstellen.
Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden knnen,
weil sich whrend der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse
ergeben, die in das IT-Sicherheitskonzept eingearbeitet werden mssen.
Phase 6: Migrationsphase
Besonders sicherheitskritisch ist die Migrations- oder bergangsphase, die deshalb einer sorgfltigen
Planung bedarf (siehe M 2.255 Sichere Migration bei Outsourcing-Vorhaben).
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 109
Outsourcing 3.10
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 110
Infrastruktur 4
_________________________________________________________________________________________
4.1 Gebude
4.2 Verkabelung
4.3 Rume
4.3.1 Broraum
4.3.2 Serverraum
4.3.3 Datentrgerarchiv
4.3.4 Raum fr technische Infrastruktur
4.4 Schutzschrnke
4.5 Huslicher Arbeitsplatz
4.6 Rechenzentrum
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 111
Gebude 4.1
_________________________________________________________________________________________
4.1 Gebude
Beschreibung
Das Gebude umgibt die aufgestellte Informationstechnik
und gewhrleistet somit einen ueren Schutz. Weiterhin
ermglichen die Infrastruktureinrichtungen des Gebudes
erst den IT-Betrieb. Daher ist einerseits das Bauwerk,
also Wnde, Decken, Bden, Dach, Fenster und Tren zu
betrachten und andererseits alle gebudeweiten
Versorgungseinrichtungen wie Strom, Wasser, Gas,
Heizung, Rohrpost etc. Die Verkabelung in einem
Gebude wird in Kapitel 4.2 gesondert betrachtet, die
TK-Anlage in Kapitel 8.1.
Gefhrdungslage
Fr den IT-Grundschutz eines Gebudes werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.3 Blitz
- G 1.4 Feuer
- G 1.5 Wasser
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.3 Ausfall vorhandener Sicherungseinrichtungen
Vorstzliche Handlungen:
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.6 Anschlag
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 112
Gebude 4.1
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Gebude" vorgestellt:
Infrastruktur:
Stromversorgung
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.2 (2) Regelungen fr Zutritt zu Verteilern
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.4 (3) Blitzschutzeinrichtungen (optional)
- M 1.5 (3) Galvanische Trennung von Auenleitungen (optional)
Brandschutz
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.9 (1) Brandabschottung von Trassen
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
Gebudeschutz
- M 1.11 (2) Lageplne der Versorgungsleitungen
- M 1.12 (2) Vermeidung von Lagehinweisen auf schtzenswerte Gebudeteile
- M 1.13 (3) Anordnung schtzenswerter Gebudeteile (optional)
- M 1.14 (2) Selbstttige Entwsserung (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.16 (3) Geeignete Standortauswahl (optional)
- M 1.17 (3) Pfrtnerdienst (optional)
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.19 (2) Einbruchsschutz (optional)
Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.15 (2) Brandschutzbegehungen
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen (optional)
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
Notfallvorsorge:
- M 6.17 (1) Alarmierungsplan und Brandschutzbungen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 113
Verkabelung 4.2
_________________________________________________________________________________________
4.2 Verkabelung
Beschreibung
Die Verkabelung von IT-Systemen umfasst alle Kabel
und passiven Komponenten (Rangier-/Spleiverteiler) der
Netze vom evtl. vorhandenen bergabepunkt aus einem
Fremdnetz (Telefon, ISDN) bis zu den Anschlusspunkten
der Netzteilnehmer. Aktive Netzkomponenten (Repeater,
Sternkoppler, Bridges etc.) sind nicht Bestandteil dieses
Kapitels.
Gefhrdungslage
Fr den IT-Grundschutz der Verkabelung werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.6 Kabelbrand
Organisatorische Mngel:
- G 2.11 Unzureichende Trassendimensionierung
- G 2.12 Unzureichende Dokumentation der Verkabelung
- G 2.13 Unzureichend geschtzte Verteiler
- G 2.32 Unzureichende Leitungskapazitten
Menschliche Fehlhandlungen:
- G 3.4 Unzulssige Kabelverbindungen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
Technisches Versagen:
- G 4.4 Leitungsbeeintrchtigung durch Umfeldfaktoren
- G 4.5 bersprechen
- G 4.21 Ausgleichsstrme auf Schirmungen
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Verkabelung" vorgestellt:
Infrastruktur:
- M 1.9 (1) Brandabschottung von Trassen
- M 1.20 (3) Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht
- M 1.21 (2) Ausreichende Trassendimensionierung
- M 1.22 (3) Materielle Sicherung von Leitungen und Verteilern (optional)
- M 1.39 (3) Verhinderung von Ausgleichsstrmen auf Schirmungen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 114
Verkabelung 4.2
_________________________________________________________________________________________
Organisation:
- M 2.19 (2) Neutrale Dokumentation in den Verteilern
- M 2.20 (3) Kontrolle bestehender Verbindungen (optional)
Kommunikation:
- M 5.1 (3) Entfernen oder Kurzschlieen und Erden nicht bentigter Leitungen
- M 5.2 (2) Auswahl einer geeigneten Netz-Topographie
- M 5.3 (2) Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht
- M 5.4 (2) Dokumentation und Kennzeichnung der Verkabelung
- M 5.5 (2) Schadensmindernde Kabelfhrung
Notfallvorsorge:
- M 6.18 (3) Redundante Leitungsfhrung (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 115
Broraum 4.3.1
_________________________________________________________________________________________
4.3 Rume
4.3.1 Broraum
Beschreibung
Der Broraum ist ein Raum, in dem sich ein oder
mehrere Mitarbeiter aufhalten, um dort der Erledigung
ihrer Aufgaben evtl. auch IT-untersttzt nachzugehen.
Diese Aufgaben knnen aus den verschiedensten Ttig-
keiten bestehen: Erstellung von Schriftstcken, Bearbei-
tung von Karteien und Listen, Durchfhrung von
Besprechungen und Telefonaten, Lesen von Akten und
sonstigen Unterlagen.
Wird jedoch ein Broraum berwiegend zur Archivierung von Datentrgern genutzt, ist zustzlich
Kapitel 4.3.3 Datentrgerarchiv zu beachten. Ist in einem Broraum ein Server (LAN, TK-Anlage,
o. .) aufgestellt, sind zustzlich die Manahmen aus Kapitel 4.3.2 (Serverraum) zu beachten.
Gefhrdungslage
Fr den IT-Grundschutz eines Broraums werden folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.14 Beeintrchtigung der IT-Nutzung durch ungnstige Arbeitsbedingungen
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Broraum" vorgestellt:
Infrastruktur:
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.23 (1) Abgeschlossene Tren
- M 1.46 (3) Einsatz von Diebstahl-Sicherungen (optional)
Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
Personal:
- M 3.9 (3) Ergonomischer Arbeitsplatz (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 116
Serverraum 4.3.2
_________________________________________________________________________________________
4.3.2 Serverraum
Beschreibung
Der Serverraum dient in erster Linie zur Unterbringung
eines Servers, z. B. eines LAN-Servers, eines Unix-
Zentralrechners oder eines Servers fr eine TK-Anlage.
Darber hinaus knnen dort serverspezifische Unter-
lagen, Datentrger in kleinem Umfang, weitere Hardware
(Sternkoppler, Protokolldrucker, Klimatechnik) vor-
handen sein.
Im Serverraum ist kein stndig besetzter Arbeitsplatz
eingerichtet; er wird nur sporadisch und zu kurzfristigen
Arbeiten betreten. Zu beachten ist jedoch, dass im Serverraum aufgrund der Konzentration von IT-
Gerten und Daten ein deutlich hherer Schaden eintreten kann als zum Beispiel in einem Broraum.
Gefhrdungslage
Fr den IT-Grundschutz eines Serverraumes werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Auswahl und Gestaltung eines Serverraums sind eine Reihe infrastruktureller und
organisatorischer Manahmen umzusetzen, die in M 1.58 Technische und organisatorische Vorgaben
fr Serverrume beschrieben sind.
Nachfolgend wird das Manahmenbndel fr den Bereich "Serverraum" vorgestellt:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 117
Serverraum 4.3.2
_________________________________________________________________________________________
Infrastruktur:
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (3) Vermeidung von wasserfhrenden Leitungen (optional)
- M 1.25 (2) berspannungsschutz (optional)
- M 1.26 (2) Not-Aus-Schalter (optional)
- M 1.27 (2) Klimatisierung (optional)
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung (optional)
- M 1.31 (3) Fernanzeige von Strungen (optional)
- M 1.52 (3) Redundanzen in der technischen Infrastruktur (optional)
- M 1.58 (1) Technische und organisatorische Vorgaben fr Serverrume
Organisation:
- M 2.14 (1) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 118
Datentrgerarchiv 4.3.3
_________________________________________________________________________________________
4.3.3 Datentrgerarchiv
Beschreibung
Das Datentrgerarchiv dient der Lagerung von Daten-
trgern jeder Art. Im Rahmen des IT-Grundschutzes
werden an den Archivraum hinsichtlich des Brand-
schutzes keine erhhten Anforderungen gestellt. Der
Brandschutz kann entsprechend den Bedrfnissen des IT-
Betreibers durch die Behltnisse, in denen die Daten-
trger aufbewahrt werden, realisiert werden.
Bei zentralen Datentrgerarchiven und Datensicherungs-
archiven ist die Nutzung von Datensicherungsschrnken
(vgl. Kapitel 4.4) empfehlenswert, um den Brandschutz, den Schutz gegen unbefugten Zugriff und die
Durchsetzung von Zugangsberechtigungen zu untersttzen.
Gefhrdungslage
Fr den IT-Grundschutz eines Datentrgerarchivs werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Vorstzliche Handlungen:
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Datentrgerarchiv" vorgestellt:
Infrastruktur:
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (3) Vermeidung von wasserfhrenden Leitungen (optional)
- M 1.27 (2) Klimatisierung (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 119
Datentrgerarchiv 4.3.3
_________________________________________________________________________________________
Organisation:
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 120
Raum fr technische Infrastruktur 4.3.4
_________________________________________________________________________________________
Beschreibung
In Rumen fr technische Infrastruktur sind in der Regel
solche Gerte und Einrichtungen untergebracht, die keine
oder nur eine seltene Bedienung durch einen Menschen
bentigen. In der Regel wird es sich um Verteiler interner
Versorgungsnetze handeln (z. B. Postkabeleingangsraum,
Hochspannungsbergaberaum,
Mittelspannungsbergaberaum, Niederspannungshaupt-
verteiler). Eventuell werden in diesen Rumen auch die
Sicherungen der Elektroversorgung untergebracht. Auch die Aufstellung sonstiger Gerte (USV,
Sternkoppler, etc.) ist vorstellbar. Selbst ein Netzserver kann, wenn er keinen eigenen Raum hat
(Kapitel 4.3.2 Serverraum), hier untergebracht sein.
Gefhrdungslage
Fr den IT-Grundschutz eines Raums fr technische Infrastruktur werden folgende typische
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.2 Ausfall interner Versorgungsnetze
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.4 Diebstahl
- G 5.5 Vandalismus
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Raum fr technische Infrastruktur"
vorgestellt:
Infrastruktur:
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 121
Raum fr technische Infrastruktur 4.3.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 122
Schutzschrnke 4.4.1
_________________________________________________________________________________________
4.4.1 Schutzschrnke
Beschreibung
Schutzschrnke dienen zur Aufbewahrung von
Datentrgern jeder Art oder zur Unterbringung von
informationstechnischen Gerten ("Serverschrank").
Diese Schutzschrnke sollen den Inhalt gegen unbefugten
Zugriff und/oder gegen die Einwirkung von Feuer oder
schdigenden Stoffen (z. B. Staub) schtzen. Sie knnen
als Ersatz fr einen Serverraum oder ein Datentrger-
archiv (vgl. Kapitel 4.3.2 und 4.3.3) eingesetzt werden,
wenn die vorhandenen rumlichen oder organisatorischen
Gegebenheiten eigene Rume nicht zulassen.
Darber hinaus knnen Schutzschrnke auch in Serverrumen oder Datentrgerarchiven eingesetzt
werden, um die Schutzwirkung der Rume zu erhhen. Sie sind auch zu empfehlen, wenn in einem
Serverraum Server aus unterschiedlichen Organisationsbereichen aufgestellt sind, die dem jeweils
anderen Administrator nicht zugnglich sein sollen.
Da die Kosten fr Schutzschrnke nicht unerheblich sind, ist ein Kostenvergleich dringend
empfehlenswert. Zu vergleichen sind die Kosten, die die Beschaffung und der Unterhalt eines
Schutzschrankes verursachen, mit den Kosten, die fr die Errichtung eines Serverraums bzw.
Datentrgerarchivs und den Unterhalt der Rume anfallen wrden.
Um mit einem Schutzschrank einen mit den dedizierten Rumen vergleichbaren Schutz zu erreichen,
sind eine Reihe von Manahmen, beginnend mit der geeigneten Auswahl bis zur Aufstellung und
Nutzungsregelung, notwendig. Diese werden im vorliegenden Kapitel vorgestellt.
Gefhrdungslage
Fr den IT-Grundschutz eines Schutzschrankes werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
Menschliche Fehlhandlungen:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 123
Schutzschrnke 4.4.1
_________________________________________________________________________________________
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.53 Bewusste Fehlbedienung von Schutzschrnken aus Bequemlichkeit
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Schutzschrnke" vorgestellt. Es ist
gruppiert nach den Manahmen, die im Aufstellungsraum des Schutzschrankes, fr den Schutzschrank
allgemein und fr Serverschrnke speziell realisiert werden mssen.
Fr den Raum, in dem der Schutzschrank aufgestellt werden soll, sind folgende Manahmen zu
beachten:
Infrastruktur:
- M 1.7 (2) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.15 (2) Geschlossene Fenster und Tren
- M 1.18 (2) Gefahrenmeldeanlage (optional)
- M 1.24 (3) Vermeidung von wasserfhrenden Leitungen (optional)
Organisation:
- M 2.6 (1) Vergabe von Zutrittsberechtigungen
- M 2.14 (2) Schlsselverwaltung
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (2) Rauchverbot (optional)
Fr die Beschaffung und den Einsatz eines Schutzschrankes sind folgende Manahmen umzusetzen:
Infrastruktur:
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.18 (2) Gefahrenmeldeanlage (fr den Schutzschrank) (optional)
- M 1.40 (1) Geeignete Aufstellung von Schutzschrnken
Organisation:
- M 2.6 (1) Vergabe von Zutrittsberechtigungen
- M 2.14 (2) Schlsselverwaltung
- M 2.95 (1) Beschaffung geeigneter Schutzschrnke
- M 2.96 (1) Verschluss von Schutzschrnken
- M 2.97 (1) Korrekter Umgang mit Codeschlsser (falls vorhanden)
Personal:
- M 3.3 (1) Vertretungsregelungen
- M 3.5 (2) Schulung zu IT-Sicherheitsmanahmen
- M 3.20 (1) Einweisung in die Bedienung von Schutzschrnken
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 124
Schutzschrnke 4.4.1
_________________________________________________________________________________________
Soll der Schutzschrank als Serverschrank eingesetzt werden, sind zustzlich zu den oben genannten
noch folgende Manahmen im bzw. fr den Serverschrank zu realisieren:
Infrastruktur:
- M 1.25 (2) berspannungsschutz (optional)
- M 1.26 (2) Not-Aus-Schalter
- M 1.27 (2) Klimatisierung (optional)
- M 1.28 (2) Lokale unterbrechungsfreie Stromversorgung (optional)
- M 1.31 (2) Fernanzeige von Strungen (optional)
- M 1.41 (2) Schutz gegen elektromagnetische Einstrahlung (optional)
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 125
Huslicher Arbeitsplatz 4.5
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz des huslichen Arbeitsplatzes werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.5 Wasser
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
- G 2.14 Beeintrchtigung der IT-Nutzung durch ungnstige Arbeitsbedingungen
- G 2.47 Ungesicherter Akten- und Datentrgertransport
- G 2.48 Ungeeignete Entsorgung der Datentrger und Dokumente am huslichen
Arbeitsplatz
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.3 Unbefugtes Eindringen in ein Gebude
- G 5.69 Erhhte Diebstahlgefahr am huslichen Arbeitsplatz
- G 5.70 Manipulation durch Familienangehrige und Besucher
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 126
Huslicher Arbeitsplatz 4.5
_________________________________________________________________________________________
Manahmenempfehlungen:
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Huslicher Arbeitsplatz" vorgestellt.
Infrastruktur:
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.7 (3) Handfeuerlscher (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.19 (2) Einbruchsschutz (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.44 (2) Geeignete Einrichtung eines huslichen Arbeitsplatzes
- M 1.45 (1) Geeignete Aufbewahrung dienstlicher Unterlagen und Datentrger
Organisation:
- M 2.13 (1) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.37 (2) "Der aufgerumte Arbeitsplatz"
- M 2.112 (2) Regelung des Akten- und Datentrgertransports zwischen huslichem Arbeitsplatz
und Institution
- M 2.136 (2) Einhaltung von Regelungen bzgl. Arbeitsplatz und Arbeitsumgebung
Personal:
- M 3.9 (3) Ergonomischer Arbeitsplatz (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 127
Rechenzentrum 4.6
_________________________________________________________________________________________
4.6 Rechenzentrum
Beschreibung
Bedingt durch erhhte Verfgbarkeitsanforderungen, aber
auch durch Forderungen nach einheitlichen
Administrationskonzepten, meist unter dem Druck
zustzlicher Personaleinsparungen, ist eine Tendenz zur
Zentralisierung der geschftskritischen Produktiv-
Hardware einer Behrde bzw. eines Unternehmens zu
verzeichnen. Die Anforderungen an die Leistungs-
fhigkeit dieser Systeme und der Netzumgebung sind
insbesondere dort gestiegen, wo zeitkritische Zugriffe auf
zentrale Datenbanken realisiert werden mssen. Um
diesem gestiegenen Leistungsbedarf gerecht zu werden und zustzlich mittelfristig entsprechende
Reserven vorzuhalten, haben auch Unternehmen mittlerer Gre, die bislang ausschlielich auf ein
verteiltes Client-Server-Konzept vertrauten, ihre IT-Landschaft durch Rechenzentren ergnzt oder
teilweise ersetzt.
Als Rechenzentrum werden die fr den Betrieb einer greren, zentral fr mehrere Stellen
eingesetzten Datenverarbeitungsanlage erforderlichen Einrichtungen (Rechner-, Speicher-, Druck-,
Robotersysteme usw.) und Rumlichkeiten (Rechnersaal, Archiv, Lager, Aufenthaltsraum usw.)
bezeichnet. Ein Rechenzentrum ist entweder stndig personell besetzt (Schichtdienst) oder es existiert
in bedienerlosen Zeiten eine Rufbereitschaft (mit oder ohne Fernadministrationsmglichkeit). In der
Regel sttzt sich die Datenverarbeitung eines Unternehmens nicht ausschliesslich auf die zentralen IT-
Gerte in einem Rechenzentrum, sondern auf eine Vielzahl damit verbundener dezentraler IT-
Systeme. In einem Rechenzentrum kann aufgrund der Konzentration von IT-Gerten und Daten jedoch
ein deutlich hherer Schaden eintreten als bei dezentraler Datenverarbeitung. In jedem Fall ist beim
Einsatz einer Grorechenanlage der Baustein Rechenzentrum anzuwenden.
Gegenstand dieses Bausteins ist ein Rechenzentrum mittlerer Art und Gte. Die
Sicherheitsanforderungen liegen zwischen denen eines Serverraums oder "Serverparks" und denen von
Hochsicherheitsrechenzentren, wie sie beispielsweise im Bankenbereich eingesetzt werden. Neben den
hier aufgefhrten Standard-Sicherheitsmanahmen, die sich in der Praxis bewhrt haben, sind in den
meisten Fllen jedoch weitere, individuelle IT-Sicherheitsmanahmen erforderlich, die die konkreten
Anforderungen und das jeweilige Umfeld bercksichtigen. Gefhrdungen aus den Bereichen
Terrorismus oder hhere Gewalt wird durch die hier beschriebenen Standard-Sicherheitsmanahmen
nur begrenzt Rechnung getragen.
Der Baustein richtet sich einerseits an Leser, die ein Rechenzentrum betreiben und im Rahmen einer
Revision prfen mchten, ob sie geeignete Standard-Sicherheitsmanahmen umgesetzt haben. Auf der
anderen Seite kann der Baustein Rechenzentrum auch dazu verwendet werden, berblicksartig die IT-
Sicherheitsmanahmen abzuschtzen, die bei einer Zentralisierung der IT in einem mittleren
Rechenzentrum fr einen sicheren Betrieb umgesetzt werden mssen. Um den Baustein berschaubar
zu halten, wurde bewusst auf technische Details und planerische Gren verzichtet. Der Neubau eines
Rechenzentrums sollte auch von groen IT-Abteilungen nicht ohne Hilfe eines erfahrenen
Planungsstabes bzw. einer versierten Planungs- und Beratungsfirma in Betracht gezogen werden.
Beim Outsourcing von Rechenzentrumsleistungen kann dieser Baustein dazu benutzt werden, die
angebotenen Leistungen im Hinblick auf deren Sicherheitsniveau zu prfen.
Im Gegensatz zum Schutzbedarf eines Serverraums (siehe dort) werden viele IT-Sicherheits-
manahmen fr ein Rechenzentrum nicht als optional, sondern obligatorisch empfohlen. Dazu gehren
beispielsweise eine angemessene Gefahrenmeldeanlage und eine alternative
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 128
Rechenzentrum 4.6
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 129
Rechenzentrum 4.6
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Rechenzentrum" vorgestellt:
Infrastruktur:
Planung
- M 1.16 (3) Geeignete Standortauswahl (optional)
- M 1.49 (2) Technische und organisatorische Vorgaben fr das Rechenzentrum
Stromversorgung
- M 1.1 (2) Einhaltung einschlgiger DIN-Normen/VDE-Vorschriften
- M 1.2 (1) Regelungen fr Zutritt zu Verteilern
- M 1.3 (1) Angepasste Aufteilung der Stromkreise
- M 1.4 (1) Blitzschutzeinrichtungen
- M 1.5 (1) Galvanische Trennung von Auenleitungen
- M 1.25 (1) berspannungsschutz
- M 1.56 (2) Sekundr-Energieversorgung
Brandschutz
- M 1.6 (2) Einhaltung von Brandschutzvorschriften
- M 1.7 (1) Handfeuerlscher
- M 1.8 (2) Raumbelegung unter Bercksichtigung von Brandlasten
- M 1.9 (1) Brandabschottung von Trassen
- M 1.10 (2) Verwendung von Sicherheitstren und -fenstern
- M 1.26 (1) Not-Aus-Schalter
- M 1.47 (1) Eigener Brandabschnitt
- M 1.48 (1) Brandmeldeanlage
- M 1.50 (1) Rauchschutz
- M 1.51 (2) Brandlastreduzierung
- M 1.54 (2) Brandfrhesterkennung / Lschtechnik (optional)
Gebudeschutz
- M 1.11 (2) Lageplne der Versorgungsleitungen
- M 1.12 (2) Vermeidung von Lagehinweisen auf schtzenswerte Gebudeteile
- M 1.13 (3) Anordnung schtzenswerter Gebudeteile
- M 1.14 (2) Selbstttige Entwsserung (optional)
- M 1.15 (1) Geschlossene Fenster und Tren
- M 1.17 (3) Pfrtnerdienst (optional)
- M 1.18 (1) Gefahrenmeldeanlage
- M 1.19 (1) Einbruchsschutz
- M 1.23 (1) Abgeschlossene Tren
- M 1.24 (2) Vermeidung von wasserfhrenden Leitungen
- M 1.27 (1) Klimatisierung
- M 1.52 (2) Redundanzen in der technischen Infrastruktur
- M 1.53 (2) Videoberwachung (optional)
- M 1.55 (2) Perimeterschutz (optional)
- M 1.57 (2) Aktuelle Infrastruktur- und Bauplne
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 130
Rechenzentrum 4.6
_________________________________________________________________________________________
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.14 (1) Schlsselverwaltung
- M 2.15 (2) Brandschutzbegehungen
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (1) Zutrittsregelung und -kontrolle
- M 2.18 (3) Kontrollgnge (optional)
- M 2.21 (1) Rauchverbot
- M 2.52 (3) Versorgung und Kontrolle der Verbrauchsgter
- M 2.212 (2) Organisatorische Vorgaben fr die Gebudereinigung
- M 2.213 (2) Wartung der technischen Infrastruktur
Notfallvorsorge:
- M 6.16 (3) Abschlieen von Versicherungen (optional)
- M 6.17 (1) Alarmierungsplan und Brandschutzbungen
- M 6.74 (2) Notfallarchiv (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 131
Nicht vernetzte Systeme 5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 133
DOS-PC (ein Benutzer) 5.1
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz eines DOS-PC (ein Benutzer) werden folgende Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 134
DOS-PC (ein Benutzer) 5.1
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "DOS-PC (ein Benutzer)" vorgestellt:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (3) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 135
Unix-System 5.2
_________________________________________________________________________________________
5.2 Unix-System
Beschreibung
Betrachtet wird ein Unix-System, das entweder im Stand-
alone-Betrieb oder als Client in einem Netz genutzt wird.
Es knnen Terminals, Laufwerke, Drucker und andere
Gerte angeschlossen sein. Weiterhin kann eine
graphische Benutzeroberflche wie X-Windows einge-
setzt sein. Entsprechend knnen dann auch X-Terminals
und graphische Eingabegerte angeschlossen sein. Bei
den weiteren Betrachtungen wird davon ausgegangen,
dass ein Unix-System blicherweise von mehreren
Personen benutzt wird.
Gefhrdungslage
Fr den IT-Grundschutz eines Unix-Systems werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.15 Vertraulichkeitsverlust schutzbedrftiger Daten im Unix-System
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.11 Fehlende Authentisierungsmglichkeit zwischen NIS-Server und NIS-Client
- G 4.12 Fehlende Authentisierungsmglichkeit zwischen X-Server und X-Client
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 136
Unix-System 5.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 137
Unix-System 5.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 138
Tragbarer PC 5.3
_________________________________________________________________________________________
5.3 Tragbarer PC
Beschreibung
Unter einem tragbaren PC (Laptop, Notebook) wird ein
handelsblicher IBM-kompatibler PC verstanden, der mit
dem Betriebssystem DOS oder einem vergleichbaren
betrieben wird. Er verfgt ber ein Diskettenlaufwerk
und eine Festplatte. Einrichtungen zur
Datenfernbertragung (Modem) werden hier nicht
behandelt (vgl. Kap. 7.2). Von besonderer Bedeutung ist,
dass dieser PC aufgrund seiner Bauart, insbesondere mit
interner Stromversorgung, mobil genutzt werden kann.
Fr den tragbaren PC wird vorausgesetzt, dass er
innerhalb eines bestimmten Zeitraums nur von einem Benutzer gebraucht wird. Ein anschlieender
Benutzerwechsel wird bercksichtigt.
Gefhrdungslage
Fr den IT-Grundschutz eines tragbaren PC werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
Technisches Versagen:
- G 4.7 Defekte Datentrger
- G 4.9 Ausfall der internen Stromversorgung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 139
Tragbarer PC 5.3
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Tragbarer PC" vorgestellt:
Infrastruktur:
- M 1.33 (1) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
- M 1.34 (2) Geeignete Aufbewahrung tragbarer PCs im stationren Einsatz
- M 1.35 (3) Sammelaufbewahrung mehrerer tragbarer PCs (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (3) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
- M 2.36 (2) Geregelte bergabe und Rcknahme eines tragbaren PC
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.27 (1) Passwortschutz am tragbaren PC
- M 4.28 (3) Software-Reinstallation bei Benutzerwechsel eines tragbaren PC (optional)
- M 4.29 (1) Einsatz eines Verschlsselungsproduktes fr tragbare PCs (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.31 (2) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.71 (2) Datensicherung bei mobiler Nutzung des IT-Systems
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 140
PCs mit wechselnden Benutzern 5.4
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz eines PCs mit wechselnden Benutzern werden folgende typischen
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
- G 2.22 Fehlende Auswertung von Protokolldaten
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.17 Kein ordnungsgemer PC-Benutzerwechsel
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 141
PCs mit wechselnden Benutzern 5.4
_________________________________________________________________________________________
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Fr die Durchfhrung von Datensicherungen seiner persnlichen Daten ist jeder Benutzer selbst
verantwortlich. Der Virenproblematik ist bei Rechnern mit wechselnden Benutzern ganz besondere
Aufmerksamkeit zu schenken. Es sollte daher ein residentes Viren-Suchprogramm eingesetzt werden.
Ansonsten ist sicherzustellen, dass eine berprfung auf Computer-Viren vor und nach jedem
Benutzerwechsel vorgenommen wird.
Nachfolgend wird das Manahmenbndel fr den Bereich "PCs mit wechselnden Benutzern"
vorgestellt:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.5 (2) Aufgabenverteilung und Funktionstrennung
- M 2.7 (2) Vergabe von Zugangsberechtigungen
- M 2.8 (2) Vergabe von Zugriffsrechten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (3) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.37 (2) "Der aufgerumte Arbeitsplatz"
- M 2.63 (1) Einrichten der Zugriffsrechte
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.65 (1) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung fr die Beschaffung
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (1) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfllung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 142
PCs mit wechselnden Benutzern 5.4
_________________________________________________________________________________________
Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.109 (2) Software-Reinstallation bei Arbeitsplatzrechnern
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (2) Regelmige Datensicherung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 143
PC unter Windows NT 5.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 144
PC unter Windows NT 5.5
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die in den folgenden Listen mit dem Zusatz "optional" gekennzeichneten Manahmen gehen
zumindest teilweise ber den Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatz-
umgebungen. Sie sind dann zu realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind,
insbesondere dann, wenn mehrere Benutzer mit demselben System arbeiten und gegeneinander
geschtzt werden sollen bzw. wenn die Kontrolle sicherheitskritischer Funktionen nicht beim Benutzer
selbst liegt, sondern zentral verwaltet werden soll.
Nachfolgend wird das Manahmenbndel fr den Bereich "Nicht vernetzter Windows NT Rechner"
vorgestellt.
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters (optional)
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen (optional)
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile (optional)
- M 2.32 (2) Einrichtung einer eingeschrnkten Benutzerumgebung (optional)
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System (optional)
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters (optional)
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals (optional)
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (3) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.15 (2) Gesichertes Login
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.48 (1) Passwortschutz unter Windows NT/2000
- M 4.49 (1) Absicherung des Boot-Vorgangs fr ein Windows NT/2000 System
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 145
PC unter Windows NT 5.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 146
PC mit Windows 95 5.6.1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 147
PC mit Windows 95 5.6.1
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "PC mit Windows 95" vorgestellt. Die
grundlegenden berlegungen zu Anfang des Kapitels (s. o.) sollten dabei bercksichtigt werden. Die
Manahmen unterteilen sich in die folgenden Kategorien:
- Basis-Manahmen (diese sind im wesentlichen analog zu Kapitel 5.1 DOS-PC (ein Benutzer)),
- Manahmen fr den Mehrbenutzerbetrieb und
- Einschrnkungen und
- Einsatz im Netz.
Als Basis-Manahmen sind folgende Manahmen umzusetzen:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 148
PC mit Windows 95 5.6.1
_________________________________________________________________________________________
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.56 (1) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.45 (1) Datensicherung unter Windows 95
- M 6.46 (1) Erstellung von Rettungsdisketten fr Windows 95
Sollen an dem Windows 95-Rechner mehrere Benutzer arbeiten, so ist eine Administration des
Rechners und eine Benutzertrennung unumgnglich. In diesem Fall sind die folgenden Manahmen
fr den Mehrbenutzerbetrieb zustzlich umzusetzen:
Organisation:
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.63 (2) Einrichten der Zugriffsrechte
- M 2.103 (1) Einrichten von Benutzerprofilen unter Windows 95
Personal:
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.18 (1) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfllung
Soll die Benutzerumgebung benutzerspezifisch mit bestimmten Einschrnkungen versehen werden, so
sind weiterhin die folgenden Manahmen zu ergreifen (die Manahmen M 2.64 Kontrolle der
Protokolldateien und M 2.65 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System wirken
nur in Verbindung mit M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes oder M 4.42
Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung):
Organisation:
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.65 (1) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung fr die Beschaffung
- M 2.104 (1) Systemrichtlinien zur Einschrnkung der Nutzungsmglichkeiten von Windows 95
Hardware/Software:
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes
- M 4.42 (2) Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 149
PC mit Windows 95 5.6.1
_________________________________________________________________________________________
Ist der PC mit Windows 95 in einem Netz eingebunden, so ist zustzlich folgende Manahme
umzusetzen:
Hardware/Software:
- M 4.74 (1) Vernetzte Windows 95 Rechner
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 150
Windows 2000 Client 5.7
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz einzelner PCs unter dem Betriebssystem Windows 2000 werden folgende
typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.23 Automatische CD-ROM-Erkennung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 151
Windows 2000 Client 5.7
_________________________________________________________________________________________
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000
Systemen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die in den folgenden Listen mit dem Zusatz "optional" gekennzeichneten Manahmen gehen
zumindest teilweise ber den IT-Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatz-
umgebungen. Sie sind dann zu realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind,
insbesondere dann, wenn mehrere Benutzer mit demselben System arbeiten und gegeneinander
geschtzt werden sollen bzw. wenn die Kontrolle sicherheitskritischer Funktionen nicht beim Benutzer
selbst liegt, sondern zentral verwaltet werden soll.
Nach der Entscheidung, Windows 2000 als Client-Betriebssystem einzusetzen, sollte zunchst der
Einsatz von Windows 2000 geplant werden (siehe Manahme M 2.227 Planung des Windows 2000
Einsatzes). Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme M 2.228
Festlegen einer Windows 2000 Sicherheitsrichtlinie ).
Nachfolgend wird das Manahmenbndel fr den Baustein "Windows 2000 Client" vorgestellt.
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters (optional)
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen (optional)
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile (optional)
- M 2.32 (2) Einrichtung einer eingeschrnkten Benutzerumgebung (optional)
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System (optional)
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.227 (1) Planung des Windows 2000 Einsatzes
- M 2.228 (1) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.231 (1) Planung der Gruppenrichtlinien unter Windows 2000
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters (optional)
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals (optional)
- M 3.28 (1) Schulung zu Windows 2000 Sicherheitsmechanismen fr Benutzer
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 152
Windows 2000 Client 5.7
_________________________________________________________________________________________
Hardware/Software:
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern
- M 4.15 (2) Gesichertes Login
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.48 (1) Passwortschutz unter Windows NT/2000
- M 4.49 (1) Absicherung des Boot-Vorgangs fr ein Windows NT/2000 System
- M 4.52 (2) Gerteschutz unter Windows NT/2000
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (1) Schutz der Registrierung unter Windows NT/2000
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
- M 4.93 (1) Regelmige Integrittsprfung
- M 4.136 (1) Sichere Installation von Windows 2000
- M 4.148 (1) berwachung eines Windows 2000 Systems
- M 4.149 (1) Datei- und Freigabeberechtigungen unter Windows 2000
- M 4.150 (1) Konfiguration von Windows 2000 als Workstation
- M 4.200 (2) Umgang mit USB-Speichermedien (optional)
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.27 (3) Sicheres Update des BIOS
- M 6.32 (1) Regelmige Datensicherung
- M 6.77 (1) Erstellung von Rettungsdisketten fr Windows 2000
- M 6.78 (1) Datensicherung unter Windows 2000
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 153
Internet-PC 5.8
_________________________________________________________________________________________
5.8 Internet-PC
Beschreibung
Die Nutzung des Internets zur Informationsbeschaffung
und Kommunikation ist in weiten Bereichen der ffent-
lichen Verwaltung und Privatwirtschaft zur Selbstver-
stndlichkeit geworden. Auch E-Commerce- und
E-Government-Anwendungen gewinnen immer mehr an
Bedeutung. Grtmglichen Komfort bietet es dabei, den
Mitarbeitern einer Institution einen Internet-Zugang
direkt ber den Arbeitsplatz-PC zur Verfgung zu stellen.
Dieser ist jedoch meist in ein lokales Netz (LAN) einge-
bunden, so dass dadurch unter Umstnden zustzliche Bedrohungen fr die Institution entstehen.
Um diese Probleme zu umgehen oder aus anderen anwendungsspezifischen Grnden stellen viele
Behrden und Unternehmen eigenstndige "Internet-PCs" zur Verfgung. Ein Internet-PC ist ein
Computer, der ber eine Internet-Anbindung verfgt, jedoch nicht mit dem internen Netz der Insti-
tution verbunden ist. Falls es sich um mehrere Internet-PCs handelt, knnen diese Computer auch
untereinander vernetzt sein, beispielsweise um eine gemeinsame Internet-Anbindung zu nutzen. Inter-
net-PCs dienen meist dazu, Mitarbeitern die Nutzung von Internet-Diensten zu ermglichen und dabei
zustzliche Bedrohungen fr das lokale Netz zu vermeiden.
Betrachtet wird ein Internet-PC auf der Basis eines Windows-Betriebssystems oder Linux. Fr die
Nutzung der Internet-Dienste kommen gngige Browser, wie z. B. Internet Explorer, Netscape
Navigator oder Opera, sowie E-Mail-Clients, wie z. B. Microsoft Outlook, Outlook Express, Netscape
Messenger oder KMail, zum Einsatz. Je nach Einsatzszenario knnen weitere Programme fr die
Nutzung anderer Internet-Dienste, beispielsweise News, Instant Messaging oder Internet-Banking,
installiert sein.
Gefhrdungslage
Fr den IT-Grundschutz eines Internet-PCs werden die folgenden typischen Gefhrdungen ange-
nommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.37 Unproduktive Suchzeiten
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.21 Trojanische Pferde
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 154
Internet-PC 5.8
_________________________________________________________________________________________
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.48 IP-Spoofing
- G 5.78 DNS-Spoofing
- G 5.87 Web-Spoofing
- G 5.88 Missbrauch aktiver Inhalte
- G 5.91 Abschalten von Sicherheitsmechanismen fr den RAS-Zugang
- G 5.103 Missbrauch von Webmail
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Ist geplant, in einem Unternehmen bzw. in einer Behrde einen oder mehrere Internet-PCs zur Verf-
gung zu stellen, sollten im Hinblick auf die IT-Sicherheit folgende Schritte durchlaufen werden:
1. Konzeption von Internet-PCs (siehe M 2.234 Konzeption von Internet-PCs)
Zu Anfang mssen grundstzliche Fragen des Einsatzes festgelegt werden, beispielsweise welche
Internet-Dienste genutzt werden sollen und wer fr die Administration des Internet-PCs zustndig
ist.
2. Richtlinien fr die Nutzung von Internet-PCs (siehe M 2.235 Richtlinien fr die Nutzung von
Internet-PCs)
Fr die sichere Nutzung eines Internet-PCs mssen verbindliche Richtlinien festgelegt werden.
Dies umfasst beispielsweise, wer den Internet-PC wann und wofr nutzen darf und ggf. wie Daten
zwischen dem Internet-PC und dem Hausnetz transportiert werden.
3. Sichere Installation von Internet-PCs (siehe M 4.151 Sichere Installation von Internet-PCs)
Durch die Verbindung zum Internet ergeben sich fr die auf dem Internet-PC installierten
Anwendungen und fr die gespeicherten Daten zustzliche Gefhrdungen. Eine sorgfltige
Auswahl der Betriebssystem- und Software-Komponenten sowie deren sichere Installation ist daher
besonders wichtig.
4. Sichere Konfiguration der installierten Komponenten
Je nach Sicherheitsanforderungen mssen die beteiligten Software-Komponenten unterschiedlich
konfiguriert werden. Dies betrifft insbesondere den verwendeten Browser (siehe M 5.93 Sicherheit
von WWW-Browsern bei der Nutzung von Internet-PCs) den E-Mail-Client (siehe M 5.94
Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs ) und ggf. spezielle E-Business-
Software.
5. Sicherer Betrieb von Internet-PCs (siehe M 4.152 Sicherer Betrieb von Internet-PCs)
Eine der wichtigsten IT-Sicherheitsmanahmen beim Betrieb eines Internet-PCs ist das
systematische und schnellstmgliche Einspielen sicherheitsrelevanter Patches und Updates. Um
Angriffsversuche und missbruchliche Nutzung erkennen zu knnen, sollte das System auerdem
berwacht werden.
6. Datensicherung beim Einsatz von Internet-PCs (siehe M 6.79 Datensicherung beim Einsatz von
Internet-PCs)
Die Vorgehensweise und der erforderliche Umfang der Datensicherung richtet sich nach dem
Einsatzszenario des Internet-PCs.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 155
Internet-PC 5.8
_________________________________________________________________________________________
Der vorliegende Baustein gibt Empfehlungen zur Konzeption, Konfiguration und Betrieb eines
solchen Internet-PCs. Wichtig ist dabei, dass die hier aufgefhrten Manahmen nicht ausreichend sind
fr einen Standard-Arbeitsplatz-PC, auf dem in der Regel mehrere unterschiedliche Anwendungen
betrieben und mit dem schtzenswerte Daten verarbeitet werden. Dieses Manahmenbndel richtet
sich ausschlielich an das spezielle Einsatzszenario "Internet-PC". Geeignete IT-Sicherheitsempfeh-
lungen fr Standard-Arbeitsplatz-PCs sind in anderen Bausteinen des Kapitels 5 beschrieben.
Nachfolgend wird das Manahmenbndel fr den Baustein "Internet-PC" vorgestellt.
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.234 (1) Konzeption von Internet-PCs
- M 2.235 (2) Richtlinien fr die Nutzung von Internet-PCs
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.3 (1) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.41 (1) Einsatz eines angemessenen PC-Sicherheitsproduktes (optional)
- M 4.44 (1) Prfung eingehender Dateien auf Makro-Viren
- M 4.151 (1) Sichere Installation von Internet-PCs
- M 4.152 (2) Sicherer Betrieb von Internet-PCs
Kommunikation:
- M 5.59 (1) Schutz vor DNS-Spoofing
- M 5.66 (2) Verwendung von SSL
- M 5.91 (3) Einsatz von Personal Firewalls fr Internet-PCs (optional)
- M 5.92 (1) Sichere Internet-Anbindung von Internet-PCs
- M 5.93 (1) Sicherheit von WWW-Browsern bei der Nutzung von Internet-PCs
- M 5.94 (2) Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs
- M 5.95 (2) Sicherer E-Commerce bei der Nutzung von Internet-PCs
- M 5.96 (1) Sichere Nutzung von Webmail
- M 5.98 (2) Schutz vor Missbrauch kostenpflichtiger Einwahlnummern
Notfallvorsorge:
- M 6.79 (1) Datensicherung beim Einsatz von Internet-PCs
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 156
Allgemeines nicht vernetztes IT-System 5.99.1
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz eines allgemeinen nicht vernetzten IT-Systems werden folgende
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.7 Defekte Datentrger
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 157
Allgemeines nicht vernetztes IT-System 5.99.1
_________________________________________________________________________________________
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Allgemeines nicht vernetztes IT-System"
vorgestellt. Die Manahmen unterteilen sich in
- Basis-Manahmen und
- Manahmen fr den Mehrbenutzerbetrieb.
Abhngig vom eingesetzten Betriebssystem sind bei der Anwendung dieses Bausteins ggf. weitere
Manahmen erforderlich.
Als Basis-Manahmen sind folgende Manahmen umzusetzen:
Infrastruktur:
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (3) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.24 (3) Einfhrung eines PC-Checkheftes (optional)
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.4 (2) Geeigneter Umgang mit Laufwerken fr Wechselmedien und externen
Datenspeichern (optional)
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
(optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.84 (1) Nutzung der BIOS-Sicherheitsmechanismen
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.24 (3) Erstellen einer PC-Notfalldiskette
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 158
Allgemeines nicht vernetztes IT-System 5.99.1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 159
Vernetzte Systeme 6
_________________________________________________________________________________________
6 Vernetzte Systeme
In diesem Kapitel wird der IT-Grundschutz fr vernetzte Systeme definiert. Als Grundlage dient
Kapitel 6.1, das betriebssystemunabhngig notwendige Manahmen aufzeigt. Es wird ergnzt um die
betriebssystem-spezifischen Manahmen der Kapitel 6.2, 6.4, 6.5, 6.6 und 6.9. Wird zustzlich eine
Peer-to-Peer-Funktionalitt benutzt, ist zustzlich Kapitel 6.3 zu beachten.
Werden heterogene Netze miteinander gekoppelt, ist das Kapitel 6.7 zustzlich zu beachten.
Die Manahmen zu den angeschlossenen Clients sind Kapitel 5 zu entnehmen.
Folgende Kapitel sind vorhanden:
6.1 Servergesttztes Netz
6.2 Unix-Server
6.3 Peer-to-Peer-Dienste
6.4 Windows NT Netz
6.5 Novell Netware 3.x
6.6 Novell Netware Version 4.x
6.7 Heterogene Netze
6.8 Netz- und Systemmanagement
6.9 Windows 2000 Server
6.10 S/390- und zSeries-Mainframe
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 160
Servergesttztes Netz 6.1
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz eines servergesttzten Netzes werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.32 Unzureichende Leitungskapazitten
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.31 Unstrukturierte Datenhaltung
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
- G 4.7 Defekte Datentrger
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 161
Servergesttztes Netz 6.1
_________________________________________________________________________________________
- G 5.4 Diebstahl
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.26 Analyse des Nachrichtenflusses
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Servergesttztes Netz" vorgestellt.
Es wird vorausgesetzt, dass der Server in einem Serverraum (vgl. Kapitel 4.3.2) bzw. in einem
Serverschrank (vgl. Kapitel 4.4) untergebracht ist. Die fr die Netzbetriebssysteme umzusetzenden
Manahmen sind den ergnzenden Kapitel des Handbuchs zu entnehmen. Dies gilt analog auch fr die
angeschlossenen Clients.
Darber hinaus sind folgende weitere Manahmen umzusetzen:
Infrastruktur:
- M 1.28 (2) Lokale unterbrechungsfreie Stromversorgung
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
- M 1.32 (1) Geeignete Aufstellung von Konsole, Gerten mit austauschbaren Datentrgern und
Druckern
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (3) berprfung des Hard- und Software-Bestandes
- M 2.13 (2) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.32 (3) Einrichtung einer eingeschrnkten Benutzerumgebung (optional)
- M 2.34 (2) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.38 (2) Aufteilung der Administrationsttigkeiten
- M 2.138 (2) Strukturierte Datenhaltung
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 162
Servergesttztes Netz 6.1
_________________________________________________________________________________________
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
- M 4.1 (1) Passwortschutz fr IT-Systeme
- M 4.2 (1) Bildschirmsperre
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.15 (2) Gesichertes Login
- M 4.16 (2) Zugangsbeschrnkungen fr Accounts und / oder Terminals
- M 4.17 (2) Sperren und Lschen nicht bentigter Accounts und Terminals
- M 4.24 (2) Sicherstellung einer konsistenten Systemverwaltung
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.65 (2) Test neuer Hard- und Software
- M 4.93 (1) Regelmige Integrittsprfung
Kommunikation:
- M 5.6 (1) Obligatorischer Einsatz eines Netzpasswortes
- M 5.7 (1) Netzverwaltung
- M 5.8 (1) Monatlicher Sicherheitscheck des Netzes
- M 5.9 (2) Protokollierung am Server
- M 5.10 (1) Restriktive Rechtevergabe
- M 5.13 (1) Geeigneter Einsatz von Elementen zur Netzkopplung
Notfallvorsorge:
- M 6.20 (2) Geeignete Aufbewahrung der Backup-Datentrger
- M 6.21 (3) Sicherungskopie der eingesetzten Software
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.25 (1) Regelmige Datensicherung der Server-Festplatte
- M 6.31 (2) Verhaltensregeln nach Verlust der Systemintegritt
- M 6.32 (1) Regelmige Datensicherung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 163
Unix-Server 6.2
_________________________________________________________________________________________
6.2 Unix-Server
Beschreibung
Unix-Server sind Rechner mit dem Betriebssystem Unix,
die in einem Netz Dienste anbieten, die von anderen IT-
Systemen in Anspruch genommen werden knnen.
In diesem Kapitel werden ausschlielich die fr einen
Unix-Server spezifischen Gefhrdungen und Manahmen
beschrieben, daher sind zustzlich noch diejenigen fr
servergesttzte Netze aus Kapitel 6.1 zu betrachten.
Gefhrdungslage
Fr den IT-Grundschutz eines Unix-Servers werden
folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.15 Vertraulichkeitsverlust schutzbedrftiger Daten im Unix-System
- G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergesttztes Netz
- G 2.65 Komplexitt der SAMBA-Konfiguration
Menschliche Fehlhandlungen:
- G 3.10 Falsches Exportieren von Dateisystemen unter Unix
- G 3.11 Fehlerhafte Konfiguration von sendmail
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.11 Fehlende Authentisierungsmglichkeit zwischen NIS-Server und NIS-Client
- G 4.12 Fehlende Authentisierungsmglichkeit zwischen X-Server und X-Client
Vorstzliche Handlungen:
- G 5.40 Abhren von Rumen mittels Rechner mit Mikrofon
- G 5.41 Mibruchliche Nutzung eines Unix-Systems mit Hilfe von uucp
- G 5.89 Hijacking von Netz-Verbindungen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich Unix-Server vorgestellt.
Einige Manahmen beziehen sich auf die Konfiguration der einzelnen Server, andere Manahmen
mssen auf Servern und Clients eingesetzt werden, um wirksam zu werden. Fr eventuell ange-
schlossene Clients sind die in Kapitel 5 beschriebenen Manahmen zu realisieren.
Es ist sinnvoll, den Server in einem separaten Serverraum aufzustellen. Zu realisierende Manahmen
sind in Kapitel 4.3.2 beschrieben. Steht kein Serverraum zur Verfgung, sollte ein Serverschrank
verwendet werden, vgl. Kapitel 4.4.
Darber hinaus sind folgende weitere Manahmen umzusetzen:
Infrastruktur:
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 164
Unix-Server 6.2
_________________________________________________________________________________________
Organisation:
- M 2.33 (2) Aufteilung der Administrationsttigkeiten unter Unix
Hardware/Software:
Zugang zum Unix-System
- M 4.13 (1) Sorgfltige Vergabe von IDs
- M 4.14 (1) Obligatorischer Passwortschutz unter Unix
- M 4.18 (1) Administrative und technische Absicherung des Zugangs zum Monitor- und
Single-User-Modus
- M 4.105 (1) Erste Manahmen nach einer Unix-Standardinstallation
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 165
Peer-to-Peer-Dienste 6.3
_________________________________________________________________________________________
6.3 Peer-to-Peer-Dienste
Beschreibung
Peer-to-Peer-Dienste sind Funktionen auf Arbeitsplatz-
Computern, die anderen IT-Systemen im lokalen Netz
Ressourcen zur Verfgung stellen, beispielsweise
gemeinsamen Zugriff auf die Festplatte oder auf Drucker.
Solche Dienste werden von den gngigen Betriebssyste-
men untersttzt. In diesem Baustein werden die Betriebs-
systeme Windows fr Workgroups (WfW),
Windows 95/NT/2000 und Unix betrachtet, bercksich-
tigt wird hier aber nur die reine Peer-to-Peer-Funktiona-
litt dieser Betriebssysteme. Auf sicherheitsspezifische
Aspekte einzelner Anwendungen bei der Benutzung von Peer-to-Peer-Funktionalitten, zum Beispiel
bezglich Mail, Exchange, Schedule+, Direct-Data-Exchange (DDE) oder Remote Access Service
(RAS), wird nur am Rande eingegangen. Weiterhin werden in diesem Kapitel ausschlielich die fr
Peer-to-Peer-Dienste spezifischen Gefhrdungen und Manahmen beschrieben, daher sind zustzlich
noch die betriebssystemspezifischen Bausteine aus Kapitel 5 zu betrachten. Peer-to-Peer-Kommuni-
kation ber das Internet ist nicht Gegenstand dieses Bausteins.
Da Peer-to-Peer-Dienste wesentlich geringere Sicherheitsfunktionalitten bieten als durch dedizierte
Server bereitgestellte Dienste, sollten Peer-to-Peer-Dienste innerhalb servergesttzter Netze nicht
verwendet werden.
Gefhrdungslage
Fr den IT-Grundschutz von Peer-to-Peer-Diensten werden folgende typische Gefhrdungen
angenommen:
Organisatorische Mngel:
- G 2.25 Einschrnkung der bertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-
to-Peer-Funktionalitten
- G 2.65 Komplexitt der SAMBA-Konfiguration
Menschliche Fehlhandlungen:
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.18 Freigabe von Verzeichnissen, Druckern oder der Ablagemappe
- G 3.19 Speichern von Passwrtern unter WfW und Windows 95
- G 3.20 Ungewollte Freigabe des Leserechtes bei Schedule+
Vorstzliche Handlungen:
- G 5.45 Ausprobieren von Passwrtern unter WfW und Windows 95
- G 5.46 Maskerade unter WfW
- G 5.47 Lschen des Post-Office unter WfW
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 167
Peer-to-Peer-Dienste 6.3
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Bearbeitung der originren Peer-to-Peer-Manahmen sollte zuerst anhand von Manahme
M 2.67 Festlegung einer Sicherheitsstrategie fr Peer-to-Peer-Dienste eine Sicherheitsstrategie
ausgearbeitet werden, da diese die Grundlage fr die weiteren Manahmen ist.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 168
Windows NT Netz 6.4
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz eines servergesttzten Netzes unter dem Betriebssystem Windows NT
werden folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergesttztes Netz
- G 2.25 Einschrnkung der bertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-
to-Peer-Funktionalitten
- G 2.30 Unzureichende Domnenplanung
- G 2.31 Unzureichender Schutz des Windows NT Systems
Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.23 Automatische CD-ROM-Erkennung
Vorstzliche Handlungen:
- G 5.23 Computer-Viren
- G 5.40 Abhren von Rumen mittels Rechner mit Mikrofon
- G 5.43 Makro-Viren
- G 5.52 Missbrauch von Administratorrechten im Windows NT/2000 System
- G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows NT/2000
Systemen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Bei der Bearbeitung der originren Windows NT Manahmen sollte zuerst anhand der Manahme
M 2.91 Festlegung einer Sicherheitsstrategie fr das Windows NT Client-Server-Net und zustzlich,
soweit Peer-to-Peer Funktionalitt genutzt wird, auch der Manahme M 2.67 Festlegung einer
Sicherheitsstrategie fr Peer-to-Peer-Dienste eine Sicherheitsstrategie ausgearbeitet werden, da diese
die Grundlage fr die weiteren Manahmen ist.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 169
Windows NT Netz 6.4
_________________________________________________________________________________________
Die eigentliche Planung des Windows NT Netzes sollte dann, wie in der Manahme M 2.93 Planung
des Windows NT Netzes , durchgefhrt werden. Entsprechend den dabei erarbeiteten Vorgaben sollte
zunchst ein Server installiert und mit einer kleinen Anzahl von Clients ausgetestet werden, um die
festgelegten Strukturen optimieren und anpassen zu knnen, ehe sie in der Breite eingesetzt werden.
Fr die unter Windows NT vernetzten Systeme sind, neben den hier genannten Manahmen, die in
Kapitel 6.1 beschriebenen Manahmen zu realisieren. Sinnvoll erscheint es, den Fileserver in einem
separaten Serverraum aufzustellen. Zu realisierende Manahmen sind in Kapitel 4.3.2 beschrieben.
Alternativ ist die Verwendung eines Serverschrankes, vgl. Kapitel 4.4.
Fr angeschlossene Clients sind die in Kapitel 5 beschriebenen Manahmen zu realisieren. Soweit
auch die Peer-to-Peer Funktionalitt von Windows NT genutzt wird, sind auerdem die in Kapitel 6.3
genannten Manahmen zu realisieren.
Die mit dem Zusatz "optional" gekennzeichneten Manahmen gehen zumindest teilweise ber den IT-
Grundschutz hinaus, oder sie beziehen sich auf spezielle Einsatzumgebungen. Sie sind dann zu
realisieren, wenn die betreffenden Einsatzbedingungen gegeben sind und/oder spezifische, durch diese
Manahmen abgewehrte Bedrohungen zu erwarten sind.
Nachfolgend wird das Manahmenbndel fr den Bereich "Windows NT Netz" vorgestellt:
Organisation:
- M 2.91 (1) Festlegung einer Sicherheitsstrategie fr das Windows NT Client-Server-Netz
- M 2.92 (2) Durchfhrung von Sicherheitskontrollen im Windows NT Client-Server-Netz
- M 2.93 (1) Planung des Windows NT Netzes
- M 2.94 (3) Freigabe von Verzeichnissen unter Windows NT
Hardware/Software:
- M 4.40 (3) Verhinderung der unautorisierten Nutzung des Rechnermikrofons
- M 4.48 (1) Passwortschutz unter Windows NT/2000
- M 4.49 (1) Absicherung des Boot-Vorgangs fr ein Windows NT/2000 System
- M 4.50 (2) Strukturierte Systemverwaltung unter Windows NT (optional)
- M 4.51 (3) Benutzerprofile zur Einschrnkung der Nutzungsmglichkeiten von Windows NT
(optional)
- M 4.52 (2) Gerteschutz unter Windows NT/2000
- M 4.53 (2) Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter
Windows NT
- M 4.54 (2) Protokollierung unter Windows NT
- M 4.55 (2) Sichere Installation von Windows NT
- M 4.56 (3) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.57 (2) Deaktivieren der automatischen CD-ROM-Erkennung
- M 4.75 (1) Schutz der Registrierung unter Windows NT/2000
- M 4.76 (2) Sichere Systemversion von Windows NT
- M 4.77 (1) Schutz der Administratorkonten unter Windows NT
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 170
Windows NT Netz 6.4
_________________________________________________________________________________________
Kommunikation:
- M 5.36 (3) Verschlsselung unter Unix und Windows NT (optional)
- M 5.37 (3) Einschrnken der Peer-to-Peer-Funktionalitten in einem servergesttzten Netz
- M 5.40 (1) Sichere Einbindung von DOS-PCs in ein Windows NT Netz
- M 5.41 (2) Sichere Konfiguration des Fernzugriffs unter Windows NT
- M 5.42 (2) Sichere Konfiguration der TCP/IP-Netzverwaltung unter Windows NT
- M 5.43 (2) Sichere Konfiguration der TCP/IP-Netzdienste unter Windows NT
Notfallvorsorge:
- M 6.32 (1) Regelmige Datensicherung
- M 6.42 (2) Erstellung von Rettungsdisketten fr Windows NT
- M 6.43 (3) Einsatz redundanter Windows NT/2000 Server (optional)
- M 6.44 (1) Datensicherung unter Windows NT
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 171
Novell Netware 3.x 6.5
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT-Grundschutz werden die folgenden typischen Gefhrdungen betrachtet:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern
- G 2.34 Fehlende oder unzureichende Aktivierung von Novell Netware
Sicherheitsmechanismen
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
Vorstzliche Handlungen:
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.54 Vorstzliches Herbeifhren eines Abnormal End
- G 5.55 Login Bypass
- G 5.56 Temporr frei zugngliche Accounts
- G 5.57 Netzanalyse-Tools
- G 5.58 "Hacking Novell Netware"
- G 5.59 Missbrauch von Administratorrechten unter Novell Netware 3.x
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 172
Novell Netware 3.x 6.5
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Fr die vernetzten PCs sind die in Kapitel 5 beschriebenen Manahmen zu realisieren. Zu beachten ist,
dass das hier vorgestellte Manahmenbndel, das nur die Besonderheiten des Netzbetriebssystems
Novell Netware 3.x bercksichtigt, um die allgemeinen Netzsicherheitsmanahmen des Kapitels 6.1
"Servergesttztes Netz" ergnzt werden muss.
Nachfolgend wird das Manahmenbndel fr den Bereich "Novell Netware 3.x" vorgestellt.
Infrastruktur:
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
- M 1.42 (1) Gesicherte Aufstellung von Novell Netware Servern
Organisation:
- M 2.98 (2) Sichere Installation von Novell Netware Servern
- M 2.99 (1) Sichere Einrichtung von Novell Netware Servern
- M 2.100 (1) Sicherer Betrieb von Novell Netware Servern
- M 2.101 (2) Revision von Novell Netware Servern
- M 2.102 (3) Verzicht auf die Aktivierung der Remote Console (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 173
Novell Netware Version 4.x 6.6
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 174
Novell Netware Version 4.x 6.6
_________________________________________________________________________________________
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
Vorstzliche Handlungen:
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
- G 5.55 Login Bypass
- G 5.56 Temporr frei zugngliche Accounts
- G 5.57 Netzanalyse-Tools
- G 5.58 "Hacking Novell Netware"
- G 5.59 Missbrauch von Administratorrechten unter Novell Netware 3.x
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Fr die vernetzten PCs sind die im Kapitel 5 beschriebenen Manahmen zu realisieren. Zu beachten
ist, dass das hier vorgestellte Manahmenbndel, das nur die Besonderheiten des Netzbetriebssystems
Novell Netware 4.x bercksichtigt, um die allgemeinen Netzsicherheitsmanahmen des Kapitels 6.1
ergnzt werden muss.
Darber hinaus werden folgende weitere Manahmen vorgeschlagen:
Infrastruktur:
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
- M 1.42 (1) Gesicherte Aufstellung von Novell Netware Servern
Organisation:
- M 2.102 (2) Verzicht auf die Aktivierung der Remote Console (optional)
- M 2.147 (1) Sichere Migration von Novell Netware 3.x Servern in Novell Netware 4.x Netze
- M 2.148 (1) Sichere Einrichtung von Novell Netware 4.x Netzen
- M 2.149 (2) Sicherer Betrieb von Novell Netware 4.x Netzen
- M 2.150 (1) Revision von Novell Netware 4.x Netzen
- M 2.151 (1) Entwurf eines NDS-Konzeptes
- M 2.152 (2) Entwurf eines Zeitsynchronisations-Konzeptes
- M 2.153 (1) Dokumentation von Novell Netware 4.x Netzen
Hardware/Software:
- M 4.102 (2) C2-Sicherheit unter Novell 4.11 (optional)
- M 4.103 (1) DHCP-Server unter Novell Netware 4.x (optional)
- M 4.104 (2) LDAP Services for NDS (optional)
- M 4.108 (2) Vereinfachtes und sicheres Netzmanagement mit DNS Services unter Novell
NetWare 4.11 (optional)
Notfallvorsorge:
- M 6.55 (2) Reduzierung der Wiederanlaufzeit fr Novell Netware Server
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 175
Heterogene Netze 6.7
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 176
Heterogene Netze 6.7
_________________________________________________________________________________________
Organisatorische Mngel:
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.32 Unzureichende Leitungskapazitten
- G 2.44 Inkompatible aktive und passive Netzkomponenten
- G 2.45 Konzeptionelle Schwchen des Netzes
- G 2.46 berschreiten der zulssigen Kabel- bzw. Buslnge oder der Ringgre
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten
- G 3.29 Fehlende oder ungeeignete Segmentierung
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.31 Ausfall oder Strung von Netzkomponenten
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.6 Anschlag
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.28 Verhinderung von Diensten
- G 5.66 Unberechtigter Anschluss von IT-Systemen an ein Netz
- G 5.67 Unberechtigte Ausfhrung von Netzmanagement-Funktionen
- G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
An dieser Stelle sei nochmals darauf hingewiesen, dass ein ausreichender Schutz fr ein LAN im
Sinne des IT-Grundschutzhandbuchs nur dann gewhrleistet werden kann, wenn zustzlich die
Manahmenbndel aus Kapitel 4.2 Verkabelung, Kapitel 6.1 Servergesttztes Netz und ggf. die
betriebssystem-spezifischen Ergnzungen und Kapitel 6.8 Netz- und Systemmanagement umgesetzt
werden.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 177
Heterogene Netze 6.7
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 178
Heterogene Netze 6.7
_________________________________________________________________________________________
Infrastruktur:
- M 1.25 (1) berspannungsschutz
- M 1.27 (2) Klimatisierung
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
- M 1.32 (1) Geeignete Aufstellung von Konsole, Gerten mit austauschbaren Datentrgern und
Druckern
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.34 (1) Dokumentation der Vernderungen an einem bestehenden System
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.38 (2) Aufteilung der Administrationsttigkeiten
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.139 (1) Ist-Aufnahme der aktuellen Netzsituation
- M 2.140 (1) Analyse der aktuellen Netzsituation (optional)
- M 2.141 (1) Entwicklung eines Netzkonzeptes
- M 2.142 (1) Entwicklung eines Netz-Realisierungsplans
- M 2.143 (1) Entwicklung eines Netzmanagementkonzeptes
- M 2.144 (1) Geeignete Auswahl eines Netzmanagement-Protokolls
- M 2.145 (2) Anforderungen an ein Netzmanagement-Tool
- M 2.146 (1) Sicherer Betrieb eines Netzmanagementsystems
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.15 (2) Gesichertes Login
- M 4.24 (1) Sicherstellung einer konsistenten Systemverwaltung
- M 4.79 (1) Sichere Zugriffsmechanismen bei lokaler Administration
- M 4.80 (1) Sichere Zugriffsmechanismen bei Fernadministration
- M 4.81 (2) Audit und Protokollierung der Aktivitten im Netz
- M 4.82 (1) Sichere Konfiguration der aktiven Netzkomponenten
- M 4.83 (3) Update/Upgrade von Soft- und Hardware im Netzbereich
Kommunikation:
- M 5.2 (1) Auswahl einer geeigneten Netz-Topographie
- M 5.7 (1) Netzverwaltung
- M 5.12 (2) Einrichtung eines zustzlichen Netzadministrators
- M 5.13 (1) Geeigneter Einsatz von Elementen zur Netzkopplung
- M 5.60 (1) Auswahl einer geeigneten Backbone-Technologie
- M 5.61 (1) Geeignete physikalische Segmentierung
- M 5.62 (1) Geeignete logische Segmentierung (optional)
- M 5.77 (1) Bildung von Teilnetzen (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 179
Heterogene Netze 6.7
_________________________________________________________________________________________
Notfallvorsorge:
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.52 (1) Regelmige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
- M 6.53 (1) Redundante Auslegung der Netzkomponenten
- M 6.54 (3) Verhaltensregeln nach Verlust der Netzintegritt
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 180
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 181
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________
Aufgrund der Heterogenitt von Hard- und Software heutiger Netze ist Systemmanagement eine sehr
komplexe Aufgabe. Erschwert wird Systemmanagement zustzlich dadurch, dass die Management-
software und die Software, die verwaltet werden soll, sehr eng zusammenarbeiten mssen. In der
Regel ist heute erhltliche Software jedoch nicht darauf eingerichtet, mit einem Managementsystem
zusammenzuarbeiten. Dies liegt zum einen an fehlenden Standards, die z. B. ausreichende Sicherheit
garantieren, zum anderen daran, dass grere Softwarepakete mit eigenem, proprietrem Management
ausgestattet sind, da Interna ber die Software, die zum Verwalten dieser ntig sind, nicht offengelegt
werden sollen. Beispielsweise existiert fr den Microsoft Internet Explorer eine Managementsoftware,
das "Internet Explorer Administration Kit (IEAK)", welches z. B. die Vorgabe von Sicher-
heitseinstellungen durch den Administrator erlaubt, die vom Benutzer nachtrglich nicht mehr oder
nur im Rahmen vorgegebener Werte verndert werden knnen. Die Funktionsweise dieses Tools ist
proprietr und unterliegt keinem Standard.
Prinzipiell ist die Architektur von Managementsoftware zentralistisch aufgebaut: es gibt eine zentrale
Managementstation oder -konsole, von der aus der Systemadministrator das ihm anvertraute Netz mit
den darin befindlichen Hard- und Software-Komponenten verwalten kann. Insbesondere die Systeme
zum Netzmanagement bauen darauf auf. Durch die fehlenden Standards im Bereich Systemmanage-
ment findet man hier in den erhltlichen Produkten in vielen Fllen zwar die zentralistische Architek-
tur, die jedoch im Detail proprietr realisiert ist, so dass hier keine weitere generelle Architektur-
aussage gemacht werden kann.
Einem Netzmanagementsystem liegt i. d. R. ein Modell zugrunde, das zwischen "Manager", "Agent"
(auch "Managementagent") und "verwalteten Objekten" (auch "managed objects") unterscheidet. Die
weiteren Bestandteile sind das zur Kommunikation verwendete Protokoll zwischen Manager und den
Agenten, sowie eine Informationsdatenbank, die so genannte "MIB" (Management Information Base).
Die MIB muss sowohl dem Manager als auch jedem Managementagenten zur Verfgung stehen.
Konzeptionell werden Managementagenten und deren MIB als Teil des verwalteten Systems ange-
sehen.
Ein Agent ist fr ein oder mehrere zu verwaltende Objekte zustndig. Es ist mglich, die Agenten
hierarchisch zu organisieren: Ein Agent ist dann fr die ihm zugeordneten Unteragenten zustndig.
Am Ende einer jeden auf diese Art entstehenden Befehlskette steht immer ein zu verwaltendes Objekt.
Ein zu verwaltendes Objekt ist entweder ein physikalisch vorhandenes Objekt (Gert), wie ein
Rechner, ein Drucker oder ein Router, oder ein Softwareobjekt, wie z. B. ein Hintergrundproze zur
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 182
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________
Verwaltung von Druckauftrgen. Bei Gerten, die ber ein Managementsystem verwaltet werden
knnen, ist der Managementagent i. d. R. schon vom Hersteller in das Gert "fest" eingebaut. Versteht
dieser das vom Manager verwendete Kommunikationsprotokoll nicht, ist z. B. ein Software-
Managementagent ntig, der die Protokollumsetzung beherrscht. In hnlicher Weise knnen Software-
Komponenten den Managementagenten schon enthalten, oder es wird ein spezieller Managementagent
bentigt, der fr die Verwaltung dieser Software-Komponente konzipiert ist.
Um die einzelnen Komponenten des zu verwaltenden Systems anzusprechen, tauschen der Manager
und die jeweiligen Agenten Informationen aus. Die Art des zur Kommunikation verwendeten Proto-
kolls bestimmt mageblich die Mchtigkeit und insbesondere die Sicherheit des Managementsystems.
Prinzipiell knnen Managementsysteme bezglich des verwendeten Kommunikationsprotokolls in drei
Kategorien unterteilt werden (siehe auch M 2.144 Geeignete Auswahl eines Netzmanagement-
Protokolls):
1. Es wird SNMP (Simple Network Management Protocol) benutzt, das weit verbreitete Standard-
protokoll des TCP/IP-basierten Systemmanagements.
2. Es wird CMIP (Common Management Information Protocol) benutzt, das seltener benutzte
Standardprotokoll des ISO/OSI-basierten Systemmanagements.
3. Es wird ein herstellerspezifisches Protokoll benutzt. Es existiert meist die Mglichkeit, so genannte
Adapter zum Einbinden der Standardprotokolle zu verwenden, wobei in der Regel lediglich eine
SNMP-Anbindung existiert.
Das am hufigsten benutzte Protokoll ist SNMP. SNMP ist ein sehr einfaches Protokoll, das nur fnf
Nachrichtentypen kennt und daher auch einfach zu implementieren ist. CMIP wird hauptschlich zum
Management von Telekommunikationsnetzen verwandt, und hat im Inter- und Intranet-basierten
Management keine Bedeutung, da es den OSI-Protokollstack verwendet und nicht den TCP/IP-Stack.
Systemmanagementsysteme sind zwar in der Regel auch zentralistisch ausgelegt, um das Verwalten
des Systems von einer Managementstation aus zu erlauben, die konkrete Architektur hngt jedoch
davon ab, wie gro die Systeme, die verwaltet werden knnen, sein drfen und welcher Funktions-
umfang angeboten wird. Hier reicht die Palette von einfachen Sammlungen von Management-Tools,
die ohne Integration nebeneinander in kleinen Netzen eingesetzt werden, bis hin zu Managementplatt-
formen, die ein weltumspannendes Firmennetz mit mehreren Tausend Rechnern verwalten knnen.
Bestimmte Managementplattformen benutzen proprietre Protokolle zur Kommunikation zwischen
den Komponenten. Diese Systeme weisen in der Regel ein wesentlich hheres Leistungsspektrum auf
und dienen nicht nur dem Netz- und Systemmanagement, sondern bieten unternehmens- bzw. behr-
denweites Ressourcenmanagement an. Durch die unzureichend spezifizierten Sicherheitsmechanismen
in den wenigen existierenden Standards, erlauben proprietre Lsungen zudem die (zwar nicht
standardisierte) Verfgbarkeit sicherheitsrelevanter Mechanismen, wie z. B. Verschlsselungs-
verfahren.
Gefhrdungslage
Fr den IT-Grundschutz eines Managementsystems werden die folgenden typischen Gefhrdungen
angenommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.59 Betreiben von nicht angemeldeten Komponenten
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 183
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 184
Netz- und Systemmanagement 6.8
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 185
Windows 2000 Server 6.9
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 186
Windows 2000 Server 6.9
_________________________________________________________________________________________
Eine der wichtigsten neuen Komponenten unter Windows 2000 ist das Active Directory. Dabei
handelt es sich um eine verteilte Datenbank, die die Benutzer- und Konfigurationsdaten einer Domne
auf mehrere Domnen-Controller verteilt. nderungen knnen an jedem Domnen-Controller
vorgenommen werden. Die Domnen-Controller replizieren diese nderungen untereinander. Durch
die Verwendung des Active Directory werden grere Domnen mglich als bei Windows NT. Zum
einen kann die Active Directory Datenbank wesentlich mehr Eintrge fassen, als die SAM-
Benutzerdatenbank eines Windows NT Domnen-Controllers. Zum anderen lsst sich aufgrund der
verteilten Struktur des Active Directories die Last besser auf mehrere Domnen-Controller verteilen,
als dies bei Windows NT der Fall ist.
Unter Sicherheitsaspekten spielt das Active Directory eine wichtige Rolle, da es
- viele sicherheitsrelevante Daten enthlt,
- ber eigene, dem Dateisystem sehr hnliche Zugriffskontrollmechanismen verfgt, sowie
- die Basis fr das wichtigste Konfigurationswerkzeug fr Zugriffsrechte und Privilegien in
Windows 2000 bildet: die Gruppenrichtlinien.
Weitere sicherheitsspezifische Neuerungen von Windows 2000 sind
- die Dateiverschlsselung durch EFS (Encrypting File System),
- die Untersttzung von Chipkarten zur Anmeldung an Windows 2000 Benutzerkonten,
- die in Windows 2000 integrierte PKI-Funktionalitt, die eine eigene Zertifikatsausgabestelle
beinhaltet, sowie
- die Untersttzung von IPSec zur Netzverschlsselung.
Ein weiterer Punkt, in dem sich Windows NT und Windows 2000 unterscheiden, ist die
Voreinstellung der Zugriffsrechte auf das Dateisystem: Unter Windows 2000 lassen sich diese
Zugriffsrechte restriktiver konfigurieren als unter Windows NT. Eine solche restriktive Konfiguration
ist nicht zwingend erforderlich, unter Sicherheitsgesichtspunkten jedoch wnschenswert. Ihre
Verwendung kann jedoch zu Problemen mit Windows NT Applikationen fhren, die fr eine solche
Rechtekonfiguration nicht ausgelegt sind.
Gefhrdungslage
Wie jedes IT-System ist auch ein Netz von Microsoft Windows 2000 Rechnern vielfltigen Gefahren
ausgesetzt. Dabei sind neben Angriffen von auen auch Angriffe von innen mglich. Oft nutzen
erfolgreiche Angriffe Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten. Daher
kommt der korrekten Konfiguration des Systems und seiner Komponenten eine wichtige Rolle zu.
Generell gilt, dass die Gefhrdungslage einzelner Rechner immer auch vom Einsatzszenario abhngt
und diese Einzelgefhrdungen auch in die Gefhrdung des Gesamtsystems eingehen.
Fr den IT-Grundschutz eines servergesttzten Netzes unter dem Betriebssystem Microsoft Windows
2000 werden die folgenden typischen Gefhrdungen angenommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 187
Windows 2000 Server 6.9
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 188
Windows 2000 Server 6.9
_________________________________________________________________________________________
Sicherheit von EFS von der korrekten Konfiguration und Nutzung abhngt. Hinweise dazu
finden sich unter M 4.147 Sichere Nutzung von EFS unter Windows 2000.
2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt wurden, kann die
Installation des Windows 2000-Systems erfolgen. Dabei sind die folgenden Manahmen zu
beachten:
- Schon die Installation muss mit besonderer Sorgfalt durchgefhrt werden, da insbesondere
die Sicherheitskonfiguration whrend der Installation noch nicht erfolgt ist. In M 4.136
Sichere Installation von Windows 2000 sind die relevanten Empfehlungen zusammengefasst.
- Nach der reinen Installation muss ein Windows 2000 System konfiguriert werden. Die dabei
zu beachtenden Aspekte finden sich in M 4.137 Sichere Konfiguration von Windows 2000.
Dabei kommt u. a. auch zum tragen, fr welchen Einsatzzweck ein Windows 2000 Rechner
geplant ist, auf die jeweils relevanten Manahmen wird dort entsprechend verwiesen.
- Die sichere Konfiguration eines Windows 2000 Systems hngt nicht nur von der sicheren
Konfiguration des Betriebssystems ab, die Windows 2000 Sicherheit hngt auch wesentlich
von systemnahen Diensten ab. Die relevanten Dienste sowie Verweise auf dienstespezifische
Manahmen finden sich in M 4.140 Sichere Konfiguration wichtiger Windows 2000
Dienste.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Ein Windows 2000 System ndert sich in der Regel tglich. Dabei muss bei jeder nderung
sichergestellt werden, dass die Sicherheit auch nach der nderung nicht beeintrchtigt wird.
Die dabei zu beachtenden Aspekte sind in M 4.146 Sicherer Betrieb von Windows 2000
zusammengefasst.
- Ein Mittel im Rahmen der Aufrechterhaltung der Sicherheit eines Windows 2000 Netzes ist
die berwachung des Systems bzw. seiner Einzelkomponenten. Die hier relevanten
Manahmen finden sich in M 4.148 berwachung eines Windows 2000 Systems. Dabei
spielen auch insbesondere Datenschutzaspekte eine Rolle.
- Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine
wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur
Notfallvorsorge finden sich in M 6.76 Erstellen eines Notfallplans fr den Ausfall eines
Windows 2000 Netzes.
Nachfolgend wird nun das Manahmenbndel fr den Baustein "Windows 2000" vorgestellt.
Organisation:
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.227 (1) Planung des Windows 2000 Einsatzes
- M 2.228 (1) Festlegen einer Windows 2000 Sicherheitsrichtlinie
- M 2.229 (1) Planung des Active Directory
- M 2.230 (1) Planung der Active Directory-Administration
- M 2.231 (1) Planung der Gruppenrichtlinien unter Windows 2000
- M 2.232 (2) Planung der Windows 2000 CA-Struktur
- M 2.233 (1) Planung der Migration von Windows NT auf Windows 2000
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 189
Windows 2000 Server 6.9
_________________________________________________________________________________________
Personal:
- M 3.27 (1) Schulung zur Active Directory-Verwaltung
Hardware / Software:
- M 4.56 (3) Sicheres Lschen unter Windows-Betriebssystemen
- M 4.136 (1) Sichere Installation von Windows 2000
- M 4.137 (1) Sichere Konfiguration von Windows 2000
- M 4.138 (1) Konfiguration von Windows 2000 als Domnen-Controller
- M 4.139 (1) Konfiguration von Windows 2000 als Server
- M 4.140 (1) Sichere Konfiguration wichtiger Windows 2000 Dienste
- M 4.141 (1) Sichere Konfiguration des DDNS unter Windows 2000
- M 4.142 (2) Sichere Konfiguration des WINS unter Windows 2000
- M 4.143 (2) Sichere Konfiguration des DHCP unter Windows 2000
- M 4.144 (2) Nutzung der Windows 2000 CA
- M 4.145 (2) Sichere Konfiguration von RRAS unter Windows 2000
- M 4.146 (1) Sicherer Betrieb von Windows 2000
- M 4.147 (2) Sichere Nutzung von EFS unter Windows 2000
- M 4.148 (1) berwachung eines Windows 2000 Systems
- M 4.149 (1) Datei- und Freigabeberechtigungen unter Windows 2000
Kommunikation:
- M 5.37 (3) Einschrnken der Peer-to-Peer-Funktionalitten in einem servergesttzten Netz
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
- M 5.89 (1) Konfiguration des sicheren Kanals unter Windows 2000
- M 5.90 (2) Einsatz von IPSec unter Windows 2000
Notfallvorsorge:
- M 6.32 (1) Regelmige Datensicherung
- M 6.43 (1) Einsatz redundanter Windows NT/2000 Server
- M 6.76 (1) Erstellen eines Notfallplans fr den Ausfall eines Windows 2000 Netzes
- M 6.77 (2) Erstellung von Rettungsdisketten fr Windows 2000
- M 6.78 (1) Datensicherung unter Windows 2000
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 190
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 191
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 192
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
Eine bersicht ber die zSeries- und z/OS-Architektur und Erklrungen zu der Terminologie finden
sich in den folgenden Manahmen:
- M 3.39 Einfhrung in die zSeries-Plattform
- M 3.40 Einfhrung in das z/OS-Betriebssystem
- M 3.41 Einfhrung in Linux und z/VM fr zSeries-Systeme
Gefhrdungslage
Generell hngt die Gefhrdungslage vom Einsatzszenario ab. Ein z/OS-System mit SNA-Anschluss an
einem isolierten behrden- oder firmeninternen Netz ist z. B. in der Regel weniger gefhrdet als ein
z/OS-System, das an das Internet angeschlossen ist und dort Web-Services anbietet. Darber hinaus
spielt es eine Rolle, ob auf Daten nur lesend zugegriffen werden soll (z. B. bei einem
Auskunftssystem) oder ob die Daten bearbeitet werden knnen. Gerade durch den Einsatz von Web-
Servern oder Web-Applikationen mit Internet-Anbindung hat sich die Gefhrdungslage der frher als
"sehr sicher" geltenden Mainframe-Systeme stark erhht.
Aufgrund der ffentlichen Netzanbindung von Mainframe-Systemen ergeben sich wesentlich strkere
Gefhrdungen durch unsachgeme oder fehlerhafte Konfiguration der Systeme oder durch fehlende
oder unvollstndig etablierte Prozesse, als es frher der Fall war.
Dies gilt sowohl fr externe Anbindungen und darber mgliche Angriffe, als auch fr den internen
Bereich. Mainframe-Systeme sind heute hnlichen Gefhrdungen ausgesetzt wie Unix- oder
Windows-Systeme.
Organisatorische Mngel:
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.54 Vertraulichkeitsverlust durch Restinformationen
- G 2.99 Unzureichende oder fehlerhafte Konfiguration der zSeries-Systemumgebung
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.66 Fehlerhafte Zeichensatzkonvertierung beim Einsatz von z/OS
- G 3.67 Unzureichende oder fehlerhafte Konfiguration des z/OS-Betriebssystems
- G 3.68 Unzureichende oder fehlerhafte Konfiguration des z/OS-Webservers
- G 3.69 Fehlerhafte Konfiguration der Unix System Services unter z/OS
- G 3.70 Unzureichender Dateischutz des z/OS-Systems
- G 3.71 Fehlerhafte Systemzeit bei z/OS-Systemen
- G 3.72 Fehlerhafte Konfiguration des z/OS-Sicherheitssystems RACF
- G 3.73 Fehlbedienung der z/OS-Systemfunktionen
- G 3.74 Unzureichender Schutz der z/OS-Systemeinstellungen vor dynamischen
nderungen
- G 3.75 Mangelhafte Kontrolle der Batch-Jobs bei z/OS
Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.50 berlastung des z/OS-Betriebssystems
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 193
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.21 Trojanische Pferde
- G 5.28 Verhinderung von Diensten
- G 5.57 Netzanalyse-Tools
- G 5.116 Manipulation der z/OS-Systemsteuerung
- G 5.117 Verschleiern von Manipulationen unter z/OS
- G 5.118 Unbefugtes Erlangen hherer Rechte im RACF
- G 5.119 Benutzung fremder Kennungen unter z/OS-Systemen
- G 5.120 Manipulation der Linux/zSeries Systemsteuerung
- G 5.121 Angriffe ber TCP/IP auf z/OS-Systeme
- G 5.122 Missbrauch von RACF-Attributen unter z/OS
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") gem den Ergebnissen der im Kapitel 2.3 beschriebenen Modellierung auszuwhlen.
Fr den erfolgreichen Aufbau eines z/OS-Mainframe-Systems sind eine Reihe von Manahmen
umzusetzen, beginnend mit der strategischen Entscheidung, ber Konzeption und Installation bis zum
Betrieb. Nicht vergessen werden darf dabei die ordnungsgeme Aussonderung eines Systems, wenn
das Ende der Betriebsphase erreicht wird.
Parallel zur Betriebsphase muss die Notfallvorsorge sicherstellen, dass der Betrieb auch im Notfall
aufrecht erhalten werden kann. IT-Sicherheitsmanagement und Revision stellen sicher, dass das
Regelwerk auch eingehalten wird.
Die Schritte, die dabei zu durchlaufen sind, sowie die Manahmen, die in den jeweiligen Phasen
beachtet werden sollten, sind im Folgenden aufgefhrt:
Strategie
Vor Beginn einer jeden Planung findet eine Phase der strategischen Orientierung statt, die weitgehend
auf den Anforderungen der Anwendungseigner basiert. Hier ist zu prfen, ob die z/OS-Plattform fr
die Lsung der jeweiligen Aufgabenstellung geeignet ist.
Darber hinaus kommt es auf die generelle Ausrichtung der IT-Landschaft des Rechenzentrums an.
Gibt es noch keine z/OS-Plattform im Betrieb, muss der Aufbau des notwendigen Wissens des
Betriebspersonals entsprechend vorbereitet werden. Als Hilfestellung fr die strategische Planung
dienen die Manahmen
- M 3.39 Einfhrung in die zSeries-Plattform,
- M 3.40 Einfhrung in das z/OS-Betriebssystem und
- M 3.41 Einfhrung in Linux und z/VM fr zSeries-Systeme.
Sie geben einen berblick ber die einzelnen Funktionen von Hard- und Software und untersttzen
damit das Verstndnis fr die z/OS-Plattform.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 194
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
Konzeption
Sollte die strategische Entscheidung fr den Einsatz eines z/OS-Mainframe-Systems gefallen sein,
muss sich eine detaillierte Planung fr den Einsatz dieses Systems anschlieen. Die folgenden
Manahmen sind dabei zu bercksichtigen:
- Vor der Anschaffung und Inbetriebnahme von zSeries-Systemen mssen verschiedene planerische
Ttigkeiten durchgefhrt werden (siehe M 2.286 Planung und Einsatz von zSeries-Systeme).
- Bei hheren Ansprchen an die Verfgbarkeit oder die Skalierbarkeit empfiehlt sich der Einsatz
eines Parallel-Sysplex-Clusters (siehe M 4.221 Parallel-Sysplex unter z/OS).
- Es mssen Sicherheitsrichtlinien fr das z/OS-System und besonders auch fr das
Sicherheitssystem RACF (Resource Access Control Facility) geplant und festgelegt werden (siehe
M 2.288 Erstellung von Sicherheitsrichtlinien fr z/OS-Systeme).
- Es mssen Standards fr die z/OS-Systemdefinitionen festgelegt werden (siehe M 2.285
Festlegung von Standards fr z/OS-Systemdefinitionen).
- Es sollte ein Rollenkonzept fr die Systemverwaltung von z/OS-Systemen eingefhrt werden
(siehe M 2.295 Systemverwaltung von z/OS-Systemen).
Umsetzung
Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt worden sind, kann die
Installation der zSeries-Hardware und des z/OS-Betriebssystems erfolgen. Dabei sind die folgenden
Manahmen zu beachten:
- Es ist eine sichere Grundkonfiguration der Autorisierungsmechanismen des z/OS-Betriebssystems
erforderlich (siehe M 4.209 Sichere Grundkonfiguration von z/OS-Systemen).
- Wesentlich fr die Absicherung der z/OS-Umgebung ist die entsprechende Konfiguration des
Sicherheitssystems (siehe M 4.211 Einsatz des z/OS-Sicherheitssystems RACF).
- Fr die Umsetzung der z/OS-Steuerung einschlielich der Fernsteuerungskonsole RSF (Remote
Support Facility) sind die Empfehlungen in Manahme M 4.207 Einsatz und Sicherung
systemnaher z/OS-Terminals zu beachten.
Betrieb
Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Die Bereitstellung der Funktionalitten des z/OS-Betriebssystems setzt einen sicheren Betrieb des
z/OS-Betriebssystems voraus (siehe M 4.210 Sicherer Betrieb des z/OS-Betriebssystems).
- Es mssen die Dienstprogramme abgesichert werden, die zur Untersttzung von betrieblichen
Funktionen des z/OS-Betriebssystems dienen und eine hohe Autorisierung bentigen (siehe
M 4.215 Absicherung sicherheitskritischer z/OS-Dienstprogramme).
- Die erforderlichen Wartungsaktivitten eines z/OS-Systems sind in der Manahme M 2.293
Wartung von zSeries-Systemen beschrieben.
- z/OS-Systeme oder Parallel-Sysplex-Cluster mssen im laufenden Betrieb berwacht werden
(siehe M 2.292 berwachung von z/OS-Systemen).
Aussonderung
Empfehlungen zur Deinstallation von z/OS-Systemen, etwa nach Abschluss des Regelbetriebs, finden
sich in der Manahme M 2.297 Deinstallation von z/OS-Systemen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 195
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
Notfallvorsorge
Empfehlungen zur Notfallvorsorge finden sich in der Manahme M 6.93 Notfallvorsorge fr z/OS-
Systeme.
IT-Sicherheitsmanagement und Revision
Das IT-Sicherheitsmanagement sollte den kompletten Lebenszyklus eines z/OS-Systems begleiten.
Die folgenden Punkte sollten besonders beachtet werden:
- Bei der Vergabe und der Revision von Autorisierungen ist zu prfen, ob die entsprechenden
Mitarbeiter diese fr ihre Ttigkeit bentigen. Dies gilt besonders fr hohe Autorisierungen (siehe
Manahme M 2.289 Einsatz restriktiver z/OS-Kennungen).
- Beim Betrieb eines z/OS-Systems ist regelmig zu kontrollieren, ob die Sicherheitsvorgaben
eingehalten werden (siehe Manahme M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS).
Nachfolgend wird das Manahmenbndel fr den Baustein "S/390- und zSeries-Mainframe"
vorgestellt.
Organisation:
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.30 (1) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.31 (2) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.285 (1) Festlegung von Standards fr z/OS-Systemdefinitionen (optional)
- M 2.286 (1) Planung und Einsatz von zSeries-Systemen (optional)
- M 2.287 (3) Batch-Job-Planung fr z/OS-Systeme (optional)
- M 2.288 (1) Erstellung von Sicherheitsrichtlinien fr z/OS-Systeme
- M 2.289 (1) Einsatz restriktiver z/OS-Kennungen
- M 2.290 (2) Einsatz von RACF-Exits (optional)
- M 2.291 (2) Sicherheits-Berichtswesen und -Audits unter z/OS
- M 2.292 (1) berwachung von z/OS-Systemen
- M 2.293 (1) Wartung von zSeries-Systemen
- M 2.294 (1) Synchronisierung von z/OS-Passwrtern und RACF-Kommandos (optional)
- M 2.295 (1) Systemverwaltung von z/OS-Systemen
- M 2.296 (3) Grundstzliche berlegungen zu z/OS-Transaktionsmonitoren (optional)
- M 2.297 (2) Deinstallation von z/OS-Systemen
Personal:
- M 3.39 (1) Einfhrung in die zSeries-Plattform
- M 3.40 (1) Einfhrung in das z/OS-Betriebssystem
- M 3.41 (1) Einfhrung in Linux und z/VM fr zSeries-Systeme
- M 3.42 (1) Schulung des z/OS-Bedienungspersonals
Hardware/Software:
- M 4.15 (2) Gesichertes Login
- M 4.207 (1) Einsatz und Sicherung systemnaher z/OS-Terminals
- M 4.208 (2) Absichern des Start-Vorgangs von z/OS-Systemen
- M 4.209 (1) Sichere Grundkonfiguration von z/OS-Systemen
- M 4.210 (2) Sicherer Betrieb des z/OS-Betriebssystems
- M 4.211 (1) Einsatz des z/OS-Sicherheitssystems RACF
- M 4.212 (3) Absicherung von Linux fr zSeries (optional)
- M 4.213 (1) Absichern des Login-Vorgangs unter z/OS
- M 4.214 (1) Datentrgerverwaltung unter z/OS-Systemen
- M 4.215 (1) Absicherung sicherheitskritischer z/OS-Dienstprogramme
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 196
S/390- und zSeries-Mainframe 6.10
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 197
Datenbertragungseinrichtungen 7
_________________________________________________________________________________________
7 Datenbertragungseinrichtungen
In diesem Kapitel wird der IT-Grundschutz fr Einrichtungen zur Datenbertragung dargestellt:
7.1 Datentrgeraustausch
7.2 Modem
7.3 Sicherheitsgateway (Firewall)
7.4 E-Mail
7.5 Webserver
7.6 Remote Access
7.7 Lotus Notes
7.8 Internet Information Server
7.9 Apache Webserver
7.10 Exchange 2000 / Outlook 2000
7.11 Router und Switches
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 198
Datentrgeraustausch 7.1
_________________________________________________________________________________________
7.1 Datentrgeraustausch
Beschreibung
Betrachtet wird der Austausch von Datentrgern zur
Datenbertragung zwischen nicht vernetzten IT-
Systemen. Bercksichtigte Datentrger sind Disketten,
Wechselplatten (magnetisch, magneto-optisch), CD-
ROMs, Magnetbnder und Kassetten. Daneben wird auch
die Speicherung der Daten auf dem Sender- und
Empfnger-System, soweit es in direktem Zusammen-
hang mit dem Datentrgeraustausch steht, sowie der
Umgang mit den Datentrgern vor bzw. nach dem
Versand bercksichtigt.
Gefhrdungslage
Fr den IT-Grundschutz im Rahmen des Austausches von Datentrgern werden folgende typische
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.7 Unzulssige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung
- G 1.9 Datenverlust durch starke Magnetfelder
Organisatorische Mngel:
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.10 Nicht fristgerecht verfgbare Datentrger
- G 2.17 Mangelhafte Kennzeichnung der Datentrger
- G 2.18 Ungeordnete Zustellung der Datentrger
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.12 Verlust der Datentrger beim Versand
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
Technisches Versagen:
- G 4.7 Defekte Datentrger
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.9 Unberechtigte IT-Nutzung
- G 5.23 Computer-Viren
- G 5.29 Unberechtigtes Kopieren der Datentrger
- G 5.43 Makro-Viren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 199
Datentrgeraustausch 7.1
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Datentrgeraustausch" vorgestellt.
Infrastruktur:
- M 1.36 (2) Sichere Aufbewahrung der Datentrger vor und nach Versand (optional)
Organisation:
- M 2.3 (2) Datentrgerverwaltung
- M 2.42 (2) Festlegung der mglichen Kommunikationspartner
- M 2.43 (1) Ausreichende Kennzeichnung der Datentrger beim Versand
- M 2.44 (1) Sichere Verpackung der Datentrger
- M 2.45 (1) Regelung des Datentrgeraustausches
- M 2.46 (2) Geeignetes Schlsselmanagement (optional)
Personal:
- M 3.14 (2) Einweisung des Personals in den geregelten Ablauf eines Datentrgeraustausches
(optional)
(optional)
Hardware/Software:
- M 4.32 (2) Physikalisches Lschen der Datentrger vor und nach Verwendung
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.34 (1) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.35 (3) Verifizieren der zu bertragenden Daten vor Versand (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
Kommunikation:
- M 5.22 (2) Kompatibilittsprfung des Sender- und Empfngersystems (optional)
- M 5.23 (2) Auswahl einer geeigneten Versandart fr den Datentrger
Notfallvorsorge:
- M 6.38 (2) Sicherungskopie der bermittelten Daten (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 200
Modem 7.2
_________________________________________________________________________________________
7.2 Modem
Beschreibung
ber ein Modem wird eine Datenendeinrichtung, z. B.
ein PC, ber das ffentliche Telefonnetz mit anderen
Datenendeinrichtungen verbunden, um Informationen
austauschen zu knnen. Ein Modem wandelt die digitalen
Signale aus der Datenendeinrichtung in analoge
elektrische Signale um, die ber das Telefonnetz
bertragen werden knnen. Damit zwei IT-Systeme ber
Modem kommunizieren knnen, muss auf den IT-
Systemen die entsprechende Kommunikationssoftware
installiert sein.
Unterschieden werden externe, interne und PCMCIA-Modems. Ein externes Modem ist ein
eigenstndiges Gert mit eigener Stromversorgung, das blicherweise ber eine serielle Schnittstelle
mit dem IT-System verbunden wird. Als internes Modem werden Steckkarten mit Modem-
Funktionalitt, die ber keine eigene Stromversorgung verfgen, bezeichnet. Ein PCMCIA-Modem ist
eine scheckkartengroe Einsteckkarte, die ber eine PCMCIA-Schnittstelle blicherweise in Laptops
eingesetzt wird.
In diesem Kapitel wird Datenbertragung ber ISDN nicht betrachtet, dazu siehe Kapitel 8.1 TK-
Anlage.
Gefhrdungslage
In diesem Kapitel werden fr den IT-Grundschutz beim Einsatz eines Modems folgende
Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.2 Ausfall des IT-Systems
Menschliche Fehlhandlungen:
- G 3.2 Fahrlssige Zerstrung von Gert oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.5 Unbeabsichtigte Leitungsbeschdigung
Technisches Versagen:
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.12 Abhren von Telefongesprchen und Datenbertragungen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.23 Computer-Viren
- G 5.25 Maskerade
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.43 Makro-Viren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 201
Modem 7.2
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Modem" vorgestellt.
Infrastruktur:
- M 1.25 (3) berspannungsschutz (optional)
- M 1.38 (1) Geeignete Aufstellung eines Modems
Organisation:
- M 2.25 (2) Dokumentation der Systemkonfiguration
- M 2.42 (2) Festlegung der mglichen Kommunikationspartner
- M 2.46 (2) Geeignetes Schlsselmanagement (optional)
- M 2.59 (1) Auswahl eines geeigneten Modems in der Beschaffung
- M 2.60 (1) Sichere Administration eines Modems
- M 2.61 (2) Regelung des Modem-Einsatzes
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge
Personal:
- M 3.17 (1) Einweisung des Personals in die Modem-Benutzung
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
Kommunikation:
- M 5.30 (1) Aktivierung einer vorhandenen Callback-Option
- M 5.31 (1) Geeignete Modem-Konfiguration
- M 5.32 (1) Sicherer Einsatz von Kommunikationssoftware
- M 5.33 (1) Absicherung der per Modem durchgefhrten Fernwartung
- M 5.44 (2) Einseitiger Verbindungsaufbau (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 202
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.11 Fehlende Authentisierungsmglichkeit zwischen NIS-Server und NIS-Client
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 203
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 204
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________
- Auswahl der Dienste (Vor der Diensteauswahl sollten die Erluterungen und
Randbedingungen aus M 5.39 Sicherer Einsatz der Protokolle und Dienste gelesen werden.)
- Organisatorische Regelungen
3. Beschaffung der Komponenten des Sicherheitsgateways:
- Auswahl des Grundaufbaus des Sicherheitsgateways (siehe M 2.73 Auswahl geeigneter
Grundstrukturen fr Sicherheitsgateways)
- Beschaffungskriterien (siehe M 2.74 Geeignete Auswahl eines Paketfilters und M 2.75
Geeignete Auswahl eines Application-Level-Gateways)
4. Sicherheitsrichtlinie fr das Sicherheitsgateway (siehe M 2.299 Erstellung einer Sicherheitsleitlinie
fr ein Sicherheitsgateway)
- Regelungen und Hinweise zum sicheren Betrieb und zur sicheren Administration des
Sicherheitsgateways bzw. seiner einzelnen Komponenten
5. Aufbau des Sicherheitsgateways:
- Filterregeln aufstellen und implementieren (siehe M 2.76 Auswahl und Einrichtung
geeigneter Filterregeln)
- Umsetzung der IT-Grundschutz-Manahmen fr die Komponenten des Sicherheitsgateways
(siehe Kapitel 6.2 Unix-Server)
- Umsetzung der IT-Grundschutz-Manahmen, die IT-Systeme des internen Netzes
berprfen (siehe z. B. siehe Kapitel 6.1 Servergesttztes Netz, 6.2 Unix-Server und 6.3
Peer-to-Peer-Dienste)
- Randbedingungen fr sicheren Einsatz der einzelnen Protokolle und Dienste beachten (siehe
M 5.39 Sicherer Einsatz der Protokolle und Dienste)
- Einbindung weiterer Komponenten (siehe M 2.77 Integration von Servern in das
Sicherheitsgateway)
6. Betrieb des Sicherheitsgateways: (siehe M 2.78 Sicherer Betrieb eines Sicherheitsgateways)
- Regelmige Kontrolle
- Anpassung an nderungen und Tests
- Protokollierung der Sicherheitsgateway-Aktivitten (siehe M 4.47 Protokollierung der
Sicherheitsgateway-Aktivitten)
- Notfallvorsorge fr das Sicherheitsgateway (ergnzend siehe Kapitel 3.3 Notfallvorsorge-
Konzept)
- Datensicherung (siehe Kapitel 3.4 Datensicherungskonzept)
7. Betrieb der an das Sicherheitsgateway angeschlossenen Clients
Auf Seite der Clients ist - neben den in Kapitel 5 beschriebenen Manahmen - zustzlich die
Manahme M 5.45 Sicherheit von WWW-Browsern zu beachten.
Es kann verschiedene Grnde geben, sich gegen den Einsatz eines Sicherheitsgateways zu
entscheiden. Dies knnen die Anschaffungskosten oder der Administrationsaufwand sein, aber auch
die Tatsache, dass die bestehenden Restrisiken nicht in Kauf genommen werden knnen. Falls
trotzdem ein Anschluss an das Internet gewnscht ist, kann alternativ ein Stand-alone-System
eingesetzt werden (siehe M 5.46 Einsatz von Stand-alone-Systemen zur Nutzung des Internets).
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 205
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 206
Sicherheitsgateway (Firewall) 7.3
_________________________________________________________________________________________
- M 5.119 (1) Integration einer Web-Anwendung mit Web-, Applikations- und Datenbank-Server
in ein Sicherheitsgateway (optional)
- M 5.120 (1) Behandlung von ICMP am Sicherheitsgateway
Notfallvorsorge:
- M 6.94 (3) Notfallvorsorge bei Sicherheitsgateways
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 207
E-Mail 7.4
_________________________________________________________________________________________
7.4 E-Mail
Beschreibung
Der Dienst "Electronic Mail", kurz E-Mail, erlaubt es,
elektronische Nachrichten innerhalb krzester Zeit welt-
weit zu versenden und zu empfangen. Eine E-Mail hat im
Allgemeinen neben den Adressangaben (From/To) eine
Titel- oder Betreffzeile (Subject), einen Textkrper und
eventuell ein oder mehrere Anhnge (Attachments).
Mittels E-Mail knnen nicht nur kurze Informationen
schnell, bequem und informell weitergegeben werden,
sondern es knnen auch Geschftsvorflle zur Weiterbe-
arbeitung an andere Bearbeiter weitergeleitet werden. Ab-
hngig davon, fr welchen Einsatzzweck E-Mail eingesetzt wird, unterscheiden sich auch die Anspr-
che an Vertraulichkeit, Verfgbarkeit, Integritt und Verbindlichkeit der zu bertragenden Daten so-
wie des eingesetzten E-Mail-Programms.
Gefhrdungslage
Fr den IT-Grundschutz im Rahmen des elektronischen Dateiaustausches ber E-Mail werden
folgende typische Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.54 Vertraulichkeitsverlust durch Restinformationen
- G 2.55 Ungeordnete E-Mail-Nutzung
- G 2.56 Mangelhafte Beschreibung von Dateien
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
Technisches Versagen:
- G 4.13 Verlust gespeicherter Daten
- G 4.20 Datenverlust bei erschpftem Speichermedium
- G 4.32 Nichtzustellung einer Nachricht
- G 4.37 Mangelnde Authentizitt und Vertraulichkeit von E-Mail
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.26 Analyse des Nachrichtenflusses
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 208
E-Mail 7.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 209
E-Mail 7.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 210
Webserver 7.5
_________________________________________________________________________________________
7.5 Webserver
Beschreibung
Das World Wide Web (WWW) ist eines der zentralen
Medien der heutigen Informationsgesellschaft. Die In-
formationsangebote im WWW werden von Servern be-
reitgestellt, die Daten, meist Dokumente in Form von
HTML-Seiten, an entsprechende Clientprogramme aus-
liefern. Dies erfolgt typischerweise ber die Protokolle
HTTP (Hypertext Transfer Protocol) oder HTTPS (HTTP
ber SSL bzw. TLS, d. h. HTTP geschtzt durch eine
verschlsselte Verbindung). Neben dem Einsatz im Inter-
net werden Webserver auch in zunehmendem Mae fr interne Informationen und Anwendungen in
Firmennetzen (Intranet) eingesetzt. Ein Grund dafr ist, dass sie eine einfache und standardisierte
Schnittstelle zwischen Server-Anwendungen und Benutzern bieten und entsprechende Client-Software
(Webbrowser) fr praktisch jede Betriebssystemumgebung kostenlos verfgbar ist.
Die Bezeichnung Webserver (oder auch WWW-Server) wird meist sowohl fr das Programm benutzt,
welches die HTTP-Anfragen beantwortet, als auch fr den Rechner, auf dem dieses Programm luft.
Bei Webservern sind verschiedene Sicherheitsaspekte zu beachten.
Da ein Webserver ein ffentlich zugngliches System darstellt, sind eine sorgfltige Planung vor dem
Aufbau eines Webservers und die sichere Installation und Konfiguration des Systems und seiner Netz-
umgebung von groer Bedeutung. Das Thema Sicherheit umfasst bei Webservern auch deswegen eine
relativ groe Anzahl von Gebieten, weil auf einem Webserver meist neben der reinen Webserver-An-
wendung noch weitere Serveranwendungen vorhanden sind, die zum Betrieb des Webservers erfor-
derlich sind und deren sicherer Betrieb ebenfalls gewhrleistet sein muss. Beispielsweise werden die
Daten meist ber das Netz (etwa per ftp oder scp) auf den Server bertragen oder es wird Zugriff auf
eine Datenbank bentigt.
Einige der relevanten Aspekte sollen an dieser Stelle kurz erlutert werden.
Planung des Webauftritts
Ein wichtiger Aspekt der Sicherheit eines Webservers ist bereits relevant, bevor dieser berhaupt
existiert: Planung und Organisation des Webangebots. Nur dann, wenn geklrt ist, welche Ziele mit
dem Webangebot erreicht werden sollen (handelt es sich um ein reines Informationsangebot, um ein
E-Commerce- oder ein E-Government-Angebot?) und welche Inhalte oder Anwendungen zu diesem
Zweck angeboten werden, kann durch entsprechende Manahmen dafr gesorgt werden, dass Sicher-
heitsprobleme so weit wie mglich vermieden werden.
Der Aspekt der Sicherheit muss bereits sehr frh in der Planungsphase bercksichtigt werden, um die
entstehende Architektur entsprechend sicher auslegen zu knnen.
Organisation
Bei der Betreuung eines Webangebots sind oft mehrere Organisationseinheiten beteiligt, hufig wer-
den die technische und die inhaltliche Betreuung von verschiedenen Stellen bernommen. Manchmal
wird der Server gar nicht mehr in der Organisation selbst betrieben, sondern bei einem externen
Dienstleister untergebracht. Fr das mglichst reibungslose Funktionieren des Webangebots mssen
daher entsprechende organisatorische Rahmenbedingungen geschaffen werden. Idealerweise sollte
eine Redaktion fr das Webangebot eingerichtet werden (siehe M 2.272 Einrichtung eines WWW-
Redaktionsteams).
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 211
Webserver 7.5
_________________________________________________________________________________________
Auch bei der Festlegung der organisatorischen Rahmenbedingungen eines Webangebots sollte das
Thema Sicherheit eine Rolle spielen. Davon hngt insbesondere eine schnelle und effektive Reaktion
auf Probleme ab.
Sicherheit von Datenbertragung und Authentisierungsmechanismen
Generell wird ein Webserver von auen ber die HTTP-Schnittstelle angesprochen. Abhngig davon,
welches Ziel das Webangebot hat und welche Inhalte und Anwendungen angeboten werden, sind die
folgenden Fragen von Bedeutung:
- Muss die Integritt der Daten bei der bertragung vom Webserver zum Client geschtzt
werden?
- Muss die Vertraulichkeit der Daten bei der bertragung vom Webserver zum Client gewhr-
leistet werden?
- Ist eine Authentisierung des Webservers dem Client gegenber erforderlich?
- Ist eine Authentisierung der Clients gegenber dem Webserver erforderlich?
Bei einem reinen Informationsangebot, das ffentlich zugnglich sein soll, werden alle diese Fragen
normalerweise verneint werden knnen. Handelt es sich jedoch um ein E-Commerce- oder
E-Government-Angebot, so werden sicherlich mehrere Fragen bejaht.
Im Wesentlichen betreffen diese Fragen nur Eigenschaften der verwendeten bertragungsprotokolle
HTTP oder HTTPS. Spezifisch fr den einzelnen Webserver ist dabei nur, inwieweit der Webserver
diese Protokolle untersttzt. Diese Punkte knnen daher als Kriterien fr die Auswahl eines Webser-
ver-Produktes herangezogen werden.
Sicherheit der Inhalte und Anwendungen auf dem Webserver
Um die Inhalte und Anwendungen auf dem Server vor unbefugtem Zugriff oder Vernderung zu
schtzen, ist es wichtig, die Rechte der verschiedenen beteiligten Benutzer klar festzulegen. Die orga-
nisatorische und technische Realisierung der Trennung zwischen verschiedenen Benutzern, die even-
tuell Inhalte auf dem Server einstellen bzw. pflegen drfen, oder gar zwischen verschiedenen Weban-
geboten, die gemeinsam auf einem Server beheimatet sind, ist ein wichtiger Aspekt der Sicherheit
eines Webangebots.
Technische Sicherheit des Servers
Die Kompromittierung eines Webservers kann erhebliche finanzielle Verluste oder Imageschden
nach sich ziehen. Da es in der Regel keine oder nur wenige (vertrauenswrdige) Anwender auf einem
Web-Server gibt, werden die meisten Angriffe nicht lokal, sondern ber das Netz ausgefhrt. Daher
spielt der Schutz des Webservers gegen Angriffe ber das Netz (also z. B. ber das Internet, aber auch
aus dem Intranet heraus) eine sehr wichtige Rolle. Neben Angriffen auf die Webserver-Anwendung
sind auch Angriffe auf Schwachstellen des verwendeten Betriebssystems oder anderer Programme
mglich, beispielsweise auf eine nicht ausreichend gesicherte Datenbankanbindung, auf einen eventu-
ell vorhandenen ftp-Zugang oder auf per NFS oder SMB freigegebene Verzeichnisse. Oft wird zur
Realisierung eines Webangebots auch der Zugriff auf weitere IT-Systeme, etwa einen Datenbankser-
ver, bentigt. Da immer mehr Webangebote nicht mehr ausschlielich aus statischen HTML-Seiten
bestehen, sondern beispielsweise ber entsprechende Anwendungen Zugriff auf Datenbanken bieten,
spielt auerdem die Sicherheit dieser Programme eine zunehmende Rolle.
Gefhrdungslage
Fr den IT-Grundschutz werden pauschal die folgenden Gefhrdungen als typisch im Zusammenhang
mit einem Webserver und der Nutzung des WWW angenommen:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 212
Webserver 7.5
_________________________________________________________________________________________
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.28 Verste gegen das Urheberrecht
- G 2.32 Unzureichende Leitungskapazitten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.96 Veraltete oder falsche Informationen in einem Webangebot
- G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.37 Unproduktive Suchzeiten
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.39 Software-Konzeptionsfehler
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren
- G 5.48 IP-Spoofing
- G 5.78 DNS-Spoofing
- G 5.87 Web-Spoofing
- G 5.88 Missbrauch aktiver Inhalte
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
In diesem Kapitel werden die fr einen Webserver spezifischen Gefhrdungen und Manahmen be-
schrieben. Darber hinaus muss fr die Sicherheit des organisationseigenen Netzes Baustein 6.1
Servergesttztes Netz umgesetzt werden, sowie je nach dem eingesetzten Betriebssystem beispiels-
weise die Bausteine 6.2 Unix-Server oder 6.9 Windows 2000 Server. Falls das Webangebot Inhalte
enthlt, die von einer Webanwendung dynamisch aus einer Datenbank erzeugt werden, ist auch der
Baustein 9.2 Datenbanken zu bercksichtigen. Insbesondere dann, wenn der Webserver aus dem Inter-
net heraus angesprochen werden kann, sollte auch Baustein 3.8 Behandlung von Sicherheitsvorfllen
beachtet werden.
Fr die sichere Anbindung eines Webservers an ffentliche Netze (z. B. das Internet) ist Baustein 7.3
Firewall zu betrachten, ebenso wie fr den Zusammenschluss mehrerer Intranets zu einem bergrei-
fenden Intranet. Die kontrollierte Anbindung externer Anschlusspunkte (z. B. von Telearbeitspltzen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 213
Webserver 7.5
_________________________________________________________________________________________
via ISDN) wird im Baustein 9.3 Telearbeit behandelt. Ein Webserver sollte in einem separaten Server-
raum aufgestellt werden. Hierbei zu realisierende Manahmen sind in Baustein 4.3.2 Serverraum
beschrieben. Wenn kein Serverraum zur Verfgung steht, kann der Webserver alternativ in einem
Serverschrank aufgestellt werden (vgl. Baustein 4.4 Schutzschrnke). Wird der Webserver nicht bei
der Organisation selbst, sondern bei einem externen Dienstleister betrieben, so muss Baustein 3.10
Outsourcing betrachtet werden.
Fr den erfolgreichen und sicheren Aufbau eines Webservers sind eine Reihe von Manahmen umzu-
setzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Manahmen, die in den jeweili-
gen Schritten beachtet werden sollten, sind im folgenden aufgefhrt.
1. Planung des Einsatzes (siehe M 2.172 Entwicklung eines Konzeptes fr die WWW-Nutzung) und
Festlegung einer WWW-Sicherheitsstrategie (siehe M 2.173 Festlegung einer WWW-Sicherheits-
strategie):
- Festlegung des Einsatzzwecks des Webservers
- Festlegung der Sicherheitsziele
- Gegebenenfalls Auswahl geeigneter Authentisierungsmechanismen
- Anpassung der Netzstruktur
- Organisatorische Regelungen
2. Einrichtung des Webservers (siehe M 2.175 Aufbau eines WWW-Servers):
- Umsetzung der IT-Grundschutz-Manahmen fr den Serverrechner (siehe z. B. Baustein 6.2
fr Webserver auf Unix-Basis) oder Umsetzung der Manahmen des Bausteins 3.10
Outsourcing, falls der Betrieb des Webservers von einem externen Dienstleister
bernommen wird.
- Gegebenenfalls Nutzung sicherer Kommunikationsverbindungen (siehe M 5.66 Verwendung
von SSL beziehungsweise M 5.64 Secure Shell)
- Vermeidung von Java, ActiveX und anderen aktiven Inhalten im eigenen Webangebot (siehe
auch M 5.69 Schutz vor aktiven Inhalten)
3. Betrieb des Webservers (siehe M 2.174 Sicherer Betrieb eines WWW-Servers):
- regelmige Kontrolle
- Anpassung an nderungen und Tests
- Zugriffsschutz auf WWW-Dateien (M 4.94 Schutz der WWW-Dateien)
- Protokollierung am Webserver
- Notfallvorsorge fr den Webserver (siehe M 6.88 Erstellen eines Notfallplans fr den
Webserver und ergnzend auch Baustein 3.3 Notfallvorsorge-Konzept)
- Datensicherung (siehe Baustein 3.4 Datensicherungskonzept)
4. Sicherer Betrieb von WWW-Clients
Obwohl der sichere Betrieb von WWW-Clients (Arbeitsplatzrechner) nicht direkt zum Thema
Webserver gehrt, sollen an dieser Stelle einige Hinweise zur Sicherheit von Webbrowsern gege-
ben werden. Fr jeden (Client-) Rechner, der mit dem Internet verbunden wird, mssen die ent-
sprechenden Manahmen aus Kapitel 5 umgesetzt werden. Fr den sicheren Zugriff auf das WWW
sind auerdem folgende Manahmen zu beachten:
- Sichere Konfiguration und Nutzung der WWW-Client Software (Webbrowser) (siehe
M 5.45 Sicherheit von WWW-Browsern)
- Schutz vor Viren, Makro-Viren, aktiven Inhalten (siehe M 4.33 Einsatz eines Viren-Suchpro-
gramms bei Datentrgeraustausch und Datenbertragung, M 5.69 Schutz vor aktiven
Inhalten)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 214
Webserver 7.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 215
Remote Access 7.6
_________________________________________________________________________________________
Generell lassen sich fr den Einsatz von RAS im Wesentlichen folgende Szenarien unterscheiden:
- das Anbinden einzelner stationrer Arbeitsplatzrechner (z. B. fr Telearbeit einzelner Mitarbeiter),
- das Anbinden mobiler Rechner (z. B. zur Untersttzung von Mitarbeitern im Auendienst oder auf
Dienstreise),
- das Anbinden von ganzen LANs (z. B. zur Anbindung von lokalen Netzen von Auenstellen oder
Filialen),
- der Managementzugriff auf entfernte Rechner (z. B. zur Fernwartung).
Fr diese Szenarien bietet RAS eine einfache Lsung: der entfernte Benutzer verbindet sich z. B. ber
das Telefonnetz mit Hilfe eines Modems mit dem Firmennetz. Diese Direktverbindung kann solange
wie ntig bestehen bleiben und als Standleitung angesehen werden, die nur bei Bedarf geschaltet wird.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 216
Remote Access 7.6
_________________________________________________________________________________________
daher mindestens ein Telefonanschluss und ein entsprechendes Modem bentigt. Je nach RAS-
Architektur kommen serverseitig unterschiedliche Anbindungstechniken zum Einsatz.
Der RAS-Dienst ist als Client-Server-Architektur realisiert: Der RAS-Client kann so konfiguriert
werden, dass er die RAS-Verbindung automatisch aufbaut, wenn Ressourcen des Firmennetzes
bentigt werden. Dies geschieht dadurch, dass er die Telefonnummer des Rechners anwhlt, auf dem
die RAS-Server-Software installiert ist. Alternativ kann die RAS-Verbindung auch "von Hand" vom
Benutzer initiiert werden. Einige Betriebssysteme erlauben auch das Aktivieren des RAS-Dienstes
schon bei der Systemanmeldung, beispielsweise Windows NT.
Fr die Verbindungsaufnahme zum entfernten LAN kommen im Wesentlichen zwei Verfahren zum
Einsatz (siehe Manahme M 2.185 Auswahl einer geeigneten RAS-Systemarchitektur):
1. das direkte Anwhlen des Zugangsservers, der in diesem Fall Teil des entfernten LANs ist,
2. das Anwhlen eines Zugangsservers eines Internetdienstanbieters (Internet Service Provider - ISP)
und Zugang zum entfernten LAN ber das Internet.
Unter dem Gesichtspunkt der Sicherheit sind fr RAS-Zugnge folgende Sicherheitsziele zu
unterscheiden:
1. Zugangssicherheit: Der entfernte Benutzer muss durch das RAS-System eindeutig zu identifizieren
sein. Die Identitt des Benutzers muss durch einen Authentisierungsmechanismus bei jedem
Verbindungsaufbau zum lokalen Netz sichergestellt werden. Im Rahmen des Systemzugangs
mssen weitere Kontrollmechanismen angewandt werden, um den Systemzugang fr entfernte
Benutzer reglementieren zu knnen (z. B. zeitliche Beschrnkungen oder Einschrnkung auf
erlaubte entfernte Verbindungspunkte).
2. Zugriffskontrolle: Ist der entfernte Benutzer authentisiert, so muss das System in der Lage sein, die
entfernten Zugriffe des Benutzers auch zu kontrollieren. Dazu mssen die Berechtigungen und
Einschrnkungen, die fr lokale Netzressourcen durch befugte Administratoren festgelegt wurden,
auch fr den entfernten Benutzer durchgesetzt werden.
3. Kommunikationssicherheit: Bei einem entfernten Zugriff auf lokale Ressourcen sollen im
Allgemeinen auch ber die aufgebaute RAS-Verbindung Nutzdaten bertragen werden. Generell
sollen auch fr Daten, die ber RAS-Verbindungen bertragen werden, die im lokalen Netz
geltenden Sicherheitsanforderungen bezglich Kommunikationsabsicherung (Vertraulichkeit,
Integritt, Authentizitt) durchsetzbar sein. Der Absicherung der RAS-Kommunikation kommt
jedoch eine besondere Bedeutung zu, da zur Abwicklung der Kommunikation verschiedene
Kommunikationsmedien in Frage kommen, die in der Regel nicht dem Hoheitsbereich des
Betreibers des lokalen Netzes zuzurechnen sind.
4. Verfgbarkeit: Wird der RAS-Zugang im produktiven Betrieb genutzt, so ist die Verfgbarkeit des
RAS-Zugangs von besonderer Bedeutung. Der reibungslose Ablauf von Geschftsprozessen kann
bei Totalausfall des RAS-Zugangs oder bei Verbindungen mit nicht ausreichender Bandbreite unter
Umstnden beeintrchtigt werden. Durch die Nutzung von alternativen oder redundanten RAS-
Zugngen kann diese Gefahr bis zu einem gewissen Grad verringert werden. Dies gilt insbesondere
fr RAS-Zugnge, die das Internet als Kommunikationsmedium nutzen, da hier in der Regel keine
Verbindungs- oder Bandbreitengarantien gegeben werden.
Gefhrdungslage
Durch die Client-Server-Architektur von RAS-Systemen ergeben sich fr RAS-Client und RAS-
Server jeweils spezifische Gefahren durch die Art des Einsatzumfeldes und die Nutzungsweise.
- RAS-Clients knnen stationr (heimischer PC), aber auch mobil (Laptop) verwendet werden. In der
Regel unterliegt der Client-Standort jedoch nicht der Kontrolle des LAN-Betreibers, so dass
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 217
Remote Access 7.6
_________________________________________________________________________________________
insbesondere fr den mobilen Einsatz von einem unsicheren Umfeld mit spezifischen
Gefhrdungen ausgegangen werden muss. Hier mssen insbesondere auch physische Gefahren
(Diebstahl, Beschdigung, usw.) in Betracht gezogen werden. Hierzu knnen auch die Kapitel 4.5
Huslicher Arbeitsplatz, Kapitel 5.3 Tragbarer PC und Kapitel 9.3 Telearbeit betrachtet werden.
RAS-Server sind in der Regel Teil des LANs, mit dem sich entfernte Benutzer verbinden wollen.
Sie sind im Hoheits- und Kontrollbereich des LAN-Betreibers angesiedelt und knnen damit durch
die lokal geltenden Sicherheitsvorschriften erfasst werden. Da die Hauptaufgabe des RAS-Servers
darin besteht, nur berechtigten Benutzern den Zugriff auf das angeschlossene LAN zu gewhren,
sind die Gefahren fr RAS-Server eher im Bereich von Angriffen zu sehen, die den unberechtigten
Zugang zum LAN zum Ziel haben.
Von einer vollstndig getrennten Betrachtung der Client- und Server-seitigen Gefhrdungen soll an
dieser Stelle abgesehen werden, da sich z. B. durch die Gefahr der Kompromittierung eines RAS-
Clients automatisch eine Gefhrdung fr den RAS-Server ergibt. Ferner ist zu bedenken, dass sich
z. B. im Windows-Umfeld jeder RAS-Client auch als RAS-Server betreiben lsst, so dass sich hier die
Gefhrdungen kumulieren.
Fr den IT-Grundschutz eines RAS-Systems werden die folgenden typischen Gefhrdungen
angenommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
- G 1.10 Ausfall eines Weitverkehrsnetzes
Organisatorische Mngel:
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.44 Inkompatible aktive und passive Netzkomponenten
- G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
- G 2.64 Fehlende Regelungen fr das RAS-System
Menschliche Fehlhandlungen:
- G 3.30 Unerlaubte private Nutzung des dienstlichen Telearbeitsrechners
- G 3.39 Fehlerhafte Administration des RAS-Systems
- G 3.40 Ungeeignete Nutzung von Authentisierungsdiensten bei Remote Access
- G 3.41 Fehlverhalten bei der Nutzung von RAS-Diensten
- G 3.42 Unsichere Konfiguration der RAS-Clients
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
Technisches Versagen:
- G 4.35 Unsichere kryptographische Algorithmen
- G 4.40 Ungeeignete Ausrstung der Betriebsumgebung des RAS-Clients
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.8 Manipulation an Leitungen
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.71 Vertraulichkeitsverlust schtzenswerter Informationen
- G 5.83 Kompromittierung kryptographischer Schlssel
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 218
Remote Access 7.6
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 219
Remote Access 7.6
_________________________________________________________________________________________
2. Die Beschaffung des RAS-Systems erfordert, die aus dem RAS-Konzept resultierenden
Anforderungen an das RAS-Produkt zu formulieren und basierend darauf die Auswahl eines
geeigneten RAS-Produktes zu treffen (s. M 2.186 Geeignete Auswahl eines RAS-Produktes).
3. Die sicherheitsrelevanten Manahmen fr die Umsetzung des RAS-Konzepts untergliedern
sich in die Bereiche:
3.1 Definition der Sicherheitsrichtlinie fr den RAS-Einsatz (siehe M 2.187 Festlegen einer
RAS-Sicherheitsrichtlinie),
3.2 Installation und erste Konfiguration (siehe M 4.110 Sichere Installation des RAS-Systems
und M 4.111 Sichere Konfiguration des RAS-Systems) und
3.3 den laufenden Betrieb des RAS-Systems (siehe M 4.112 Sicherer Betrieb des RAS-Systems,).
Typischerweise muss fr RAS-Systeme immer eine Betrachtung von RAS-Servern und
RAS-Clients erfolgen. Da die Benutzer eines RAS-Systems wesentlich zu dessen sicheren
Betrieb beitragen, mssen sie auf die Nutzung des RAS-Zugangs vorbereitet werden und den
Umgang mit der RAS-Software erlernen. Hier muss insbesondere auf die Gefahren aufmerk-
sam gemacht werden, die sich bei der Nutzung des RAS-Zugangs von zu Hause oder von
unterwegs ergeben (siehe M 3.4 Schulung vor Programmnutzung und M 3.5 Schulung zu IT-
Sicherheitsmanahmen).
Zur Absicherung von RAS-Verbindungen werden in vielen Fllen so genannte Tunnel-
Protokolle eingesetzt. Diese erlauben es, aufbauend auf einer bestehenden Verbindung einen
durch Zugriffskontrolle und Verschlsselung abgeschotteten Kommunikationskanal
zwischen IT-Systemen oder Netzen herzustellen. Aufgrund dieser Abschottung gegen die
Auenwelt wird hier auch hufig von Virtuellen Privaten Netzen (VPN) gesprochen (siehe
M 5.76 Einsatz geeigneter Tunnel-Protokolle fr die RAS-Kommunikation).
Nachfolgend wird das Manahmenbndel fr den Baustein "Remote Access" vorgestellt.
Infrastruktur:
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems
Organisation:
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.183 (1) Durchfhrung einer RAS-Anforderungsanalyse
- M 2.184 (1) Entwicklung eines RAS-Konzeptes
- M 2.185 (1) Auswahl einer geeigneten RAS-Systemarchitektur
- M 2.186 (1) Geeignete Auswahl eines RAS-Produktes
- M 2.187 (1) Festlegen einer RAS-Sicherheitsrichtlinie
- M 2.205 (1) bertragung und Abruf personenbezogener Daten
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
Hardware / Software:
- M 4.110 (1) Sichere Installation des RAS-Systems
- M 4.111 (1) Sichere Konfiguration des RAS-Systems
- M 4.112 (1) Sicherer Betrieb des RAS-Systems
- M 4.113 (2) Nutzung eines Authentisierungsservers beim RAS-Einsatz
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 220
Remote Access 7.6
_________________________________________________________________________________________
Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
- M 5.76 (2) Einsatz geeigneter Tunnel-Protokolle fr die RAS-Kommunikation
Notfallvorsorge:
- M 6.70 (2) Erstellen eines Notfallplans fr den Ausfall des RAS-Systems
- M 6.71 (2) Datensicherung bei mobiler Nutzung des IT-Systems
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 221
Lotus Notes 7.7
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 222
Lotus Notes 7.7
_________________________________________________________________________________________
Client-Produkte:
- Notes Client: Dies ist der "klassische" Client fr den Zugriff auf den Domino/Notes Server sowie
zur Bearbeitung von E-Mail, Terminen, Kontakten und vielem mehr. Der Notes Client enthlt auch
eine Browser-Komponente, mit der Web-Inhalte angezeigt werden knnen, die auf Grund der
Client-Anfrage durch den "Web-Retriever" vom jeweiligen Web-Server geladen und an den Client
weitergereicht werden.
- Domino Administrator Client: Der Domino Administrator Client ist kein eigenstndiger Client,
sondern ist als optionaler Bestandteil in Domino Server R5 und in Domino Designer R5 enthalten.
Der Domino Administrator Client ist zentrales Werkzeug fr die Sicherheitsadministration des
Domino Servers.
- Domino Designer: Domino Designer ist ein Entwicklungswerkzeug zur Erstellung von Web-
Anwendungen. Domino-Applikationen knnen hierbei unter Verwendung von Java, JavaScript,
HTML4, C++, CORBA/IIOP, OLE und LotusScript erstellt werden.
Unter dem Gesichtspunkt der Sicherheit sind fr Lotus Notes Aspekte aus den folgenden Kategorien
zu unterscheiden:
1. Zugangssicherheit: Die auf einem Notes-Server gehaltenen Daten drfen nur berechtigten Benut-
zern zugnglich gemacht werden. Dazu wird vom Notes-Server eine Zugangskontrolle zum Server
selbst bereitgestellt. Dadurch kann gesteuert werden, welche Benutzer prinzipiell auf welchen
Notes-Server zugreifen drfen.
2. Zugriffskontrolle: Neben der Kontrolle des Serverzugriffs stellt die Zugriffskontrolle auf Daten-
bankebene einen wichtigen Sicherheitsmechanismus zur Verfgung. Durch die von Lotus Notes
bereitgestellten Methoden ist eine detaillierte Kontrolle mglich, welche Benutzer (oder welche
Benutzergruppen) welche Aktionen auf einer bestimmten Datenbank ausfhren drfen.
3. Kommunikationssicherheit: Wenn ein Client auf eine Datenbank auf einem Server zugreift, werden
die abgerufenen Daten ber eine Netzverbindung bertragen. Um die Vertraulichkeit und Integritt
der Daten zu sichern, stellt Lotus Notes Verschlsselungsverfahren zur Verfgung.
4. Verfgbarkeit: Wird ein Notes-System fr Unternehmensbereiche als Brokommunikations-
medium eingesetzt, so mssen auch Anforderungen an die Verfgbarkeit gestellt werden. Dies
betrifft zum einen die Schadensminderung bei Ausfall durch redundante Datenhaltung oder physi-
kalische Redundanz von Rechnern und zum anderen das Erstellen eines Notfallvorsorgeplanes, der
bei einem Ausfall Anleitungen und Hinweise fr eine schnelle Wiederherstellung des Systems gibt.
Gefhrdungslage
Fr den IT-Grundschutz eines Notes-Systems werden die folgenden typischen Gefhrdungen ange-
nommen:
Hhere Gewalt
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 223
Lotus Notes 7.7
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 224
Lotus Notes 7.7
_________________________________________________________________________________________
Fr den erfolgreichen Aufbau eines Notes-Systems sind eine Reihe von Manahmen umzusetzen,
beginnend mit der Konzeption ber die Installation bis zum Betrieb. Die Schritte, die dabei zu durch-
laufen sind, sowie die Manahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im
folgenden aufgefhrt.
1. Nach der Entscheidung, Lotus Notes als internes Kommunikationssystem einzusetzen, muss die
Beschaffung der Software und eventuell zustzlich bentigter Hardware erfolgen. Da Lotus Notes
in verschiedenen Konfigurationsvarianten angeboten wird (siehe oben), hngt die zu beschaffende
Software auch von den geplanten Einsatzszenarien ab. Daher sind folgende Manahmen durchzu-
fhren:
- Zunchst muss der Einsatz fr das Notes System geplant werden (siehe Manahme M 2.206
Planung des Einsatzes von Lotus Notes).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme M 2.207 Festlegen
einer Sicherheitsrichtlinie fr Lotus Notes), die einerseits die bereits bestehenden
Sicherheitsrichtlinien im Kontext von Lotus Notes umsetzt und andererseits Notes-
spezifische Erweiterungen definiert.
- Vor der tatschlichen Einfhrung des Notes-Systems mssen die Benutzer und
Administratoren auf den Umgang mit Lotus Notes durch eine Schulung vorbereitet werden.
Insbesondere fr Administratoren empfiehlt sich aufgrund der Komplexitt der Verwaltung
eines Notes-Systems eine intensive Schulung. Die Administratoren sollen dabei detaillierte
Systemkenntnisse erwerben (siehe M 3.24 Schulung zur Lotus Notes Systemarchitektur fr
Administratoren), so dass eine konsistente und korrekte Systemverwaltung gewhrleistet ist.
Benutzern sollte die Nutzung der Sicherheitsmechanismen von Lotus Notes vermittelt
werden (siehe M 3.25 Schulung zu Lotus Notes Sicherheitsmechanismen fr Benutzer).
2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt wurden, kann die
Installation des Notes-Systems erfolgen. Dabei sind folgenden Manahmen zu beachten:
- Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die Lotus Notes
Systeme in einen sicheren Zustand gebracht wurden (siehe M 4.116 Sichere Installation von
Lotus Notes). Dadurch wird sichergestellt, dass in der folgenden Konfigurationsphase nur
berechtigte Administratoren auf das Notes System zugreifen knnen.
- Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des Notes-Systems, das aus
den Servern (siehe M 4.117 Sichere Konfiguration eines Lotus Notes Servers) und den
Clients (siehe M 4.126 Sichere Konfiguration eines Lotus Notes Clients und M 4.127
Sichere Browser-Konfiguration fr den Zugriff auf Lotus Notes ) besteht.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter
Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:
- Ein Notes-System ist in der Regel stndigen Vernderungen unterworfen. Daher mssen
sicherheitsrelevante Konfigurationsparameter kontinuierlich angepasst werden. Daneben
hngt die Sicherheit in einem Client-Server-basierten System auch von der Sicherheit aller
Teilsysteme - hier auch insbesondere der Clients - ab. Die fr den sicheren Betrieb
relevanten Manahmen sind in M 4.128 Sicherer Betrieb von Lotus Notes und den
Manahmen zur Kommunikationsabsicherung (siehe M 5.84 Einsatz von
Verschlsselungsverfahren fr die Lotus Notes Kommunikation, M 5.85 Einsatz von
Verschlsselungsverfahren fr Lotus Notes E-Mail und M 5.86 Einsatz von
Verschlsselungsverfahren beim Browser-Zugriff auf Lotus Notes) zusammengefasst.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 225
Lotus Notes 7.7
_________________________________________________________________________________________
- Neben der Absicherung im laufenden Betrieb spielt jedoch auch die Notfallvorsorge eine
wichtige Rolle, da nur so der Schaden im Notfall verringert werden kann. Hinweise zur
Notfallvorsorge finden sich in M 6.73 Erstellen eines Notfallplans fr den Ausfall des Lotus
Notes-Systems.
Nachfolgend wird nun das Manahmenbndel fr den Baustein "Lotus Notes" vorgestellt.
Infrastruktur:
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems
- M 1.29 (1) Geeignete Aufstellung eines IT-Systems (Server)
Organisation:
- M 2.2 (2) Betriebsmittelverwaltung
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.206 (1) Planung des Einsatzes von Lotus Notes
- M 2.207 (1) Festlegen einer Sicherheitsrichtlinie fr Lotus Notes
- M 2.208 (1) Planung der Domnen und der Zertifikatshierarchie von Lotus Notes
- M 2.209 (1) Planung des Einsatzes von Lotus Notes im Intranet
- M 2.210 (2) Planung des Einsatzes von Lotus Notes im Intranet mit Browser-Zugriff
- M 2.211 (2) Planung des Einsatzes von Lotus Notes in einer DMZ
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.24 (1) Schulung zur Lotus Notes Systemarchitektur fr Administratoren
- M 3.25 (1) Schulung zu Lotus Notes Sicherheitsmechanismen fr Benutzer
Hardware / Software:
- M 4.116 (1) Sichere Installation von Lotus Notes
- M 4.117 (1) Sichere Konfiguration eines Lotus Notes Servers
- M 4.118 (1) Konfiguration als Lotus Notes Server
- M 4.119 (1) Einrichten von Zugangsbeschrnkungen auf Lotus Notes Server
- M 4.120 (1) Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken
- M 4.121 (1) Konfiguration der Zugriffsrechte auf das Namens- und Adressbuch von Lotus
Notes
- M 4.122 (2) Konfiguration fr den Browser-Zugriff auf Lotus Notes
- M 4.123 (2) Einrichten des SSL-geschtzten Browser-Zugriffs auf Lotus Notes
- M 4.124 (2) Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus
Notes
- M 4.125 (2) Einrichten von Zugriffsbeschrnkungen beim Browser-Zugriff auf Lotus Notes
Datenbanken
- M 4.126 (1) Sichere Konfiguration eines Lotus Notes Clients
- M 4.127 (2) Sichere Browser-Konfiguration fr den Zugriff auf Lotus Notes
- M 4.128 (1) Sicherer Betrieb von Lotus Notes
- M 4.129 (1) Sicherer Umgang mit Notes-ID-Dateien
- M 4.130 (1) Sicherheitsmanahmen nach dem Anlegen neuer Lotus Notes Datenbanken
- M 4.131 (2) Verschlsselung von Lotus Notes Datenbanken (optional)
- M 4.132 (1) berwachen eines Lotus Notes-Systems
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 226
Lotus Notes 7.7
_________________________________________________________________________________________
Kommunikation:
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation (optional)
- M 5.84 (2) Einsatz von Verschlsselungsverfahren fr die Lotus Notes Kommunikation
(optional)
- M 5.85 (2) Einsatz von Verschlsselungsverfahren fr Lotus Notes E-Mail (optional)
- M 5.86 (1) Einsatz von Verschlsselungsverfahren beim Browser-Zugriff auf Lotus Notes
Notfallvorsorge:
- M 6.49 (1) Datensicherung einer Datenbank
- M 6.71 (2) Datensicherung bei mobiler Nutzung des IT-Systems
- M 6.73 (1) Erstellen eines Notfallplans fr den Ausfall des Lotus Notes-Systems
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 227
Internet Information Server 7.8
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 228
Internet Information Server 7.8
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 229
Internet Information Server 7.8
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes eines Webservers basierend auf dem IIS 4 oder IIS 5 wird
empfohlen, die notwendigen Manahmenbndel ("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben
auszuwhlen.
Da in einer Einsatzumgebung von vernetzten Systemen der IIS nicht alleine betrachtet werden darf,
sind darber hinaus folgende Kapitel zu bercksichtigen:
Kapitel 6.1 Servergesttztes Netz,
Kapitel 7.3 Firewall (bei der Anbindung an Netze mit anderem Schutzbedarf),
Kapitel 7.5 Webserver,
Kapitel 6.4 Windows NT Netz (bei der Verwendung von IIS 4.0)
Kapitel 6.9 Windows 2000 Server (bei der Verwendung von IIS 5.0)
Je nachdem, wie die Administration und Pflege des IIS-Systems erfolgen, sollten gegebenenfalls auch
die Kapitel 7.6 Remote Access und 9.3 Telearbeit fr die Anbindung externer Anschlusspunkte
herangezogen werden.
Fr den erfolgreichen Aufbau und Betrieb eines Internet Information Servers sind in den einzelnen
Realisierungsphasen (Konzeption, Implementation und Betrieb) eine Reihe von Manahmen umzuset-
zen. Die Realisierungsschritte, die dabei durchlaufen werden, sowie die Manahmen, die in den je-
weiligen Schritten zu beachten sind, werden nachfolgend aufgefhrt. Teilweise stellen diese Ma-
nahmen "Spezialisierungen" von Manahmen aus einem der oben genannten Bausteine dar.
1. Nach der Entscheidung, einen IIS als Webserver einzusetzen, muss die Beschaffung der Software
und eventuell zustzlich bentigter Hardware erfolgen. Die zu beschaffende Soft- und Hardware ist
abhngig von den geplanten Einsatzszenarien. Daher sind folgende Manahmen durchzufhren:
- Zunchst muss der Einsatz des IIS-Systems geplant werden (siehe M 2.267 Planen des IIS-
Einsatzes).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M 2.268 Festlegung einer IIS-
Sicherheitsrichtlinie), in der die bestehenden Sicherheitsrichtlinien fr den IIS angewandt
und spezialisiert werden.
- Vor der tatschlichen Einfhrung des IIS-Systems mssen die Administratoren auf den
Umgang mit dem IIS durch eine Schulung vorbereitet werden. Insbesondere fr
Administratoren empfiehlt sich aufgrund der Komplexitt der Verwaltung eine intensive
Schulung. Die Administratoren sollen dabei detaillierte Systemkenntnisse erwerben (siehe
M 3.36 Schulung der Administratoren zur sicheren Installation und Konfiguration des IIS),
so dass eine konsistente und korrekte Systemverwaltung gewhrleistet ist.
2. Nachdem die organisatorischen und planerischen Vorarbeiten durchgefhrt wurden, kann die
Installation des Webservers erfolgen. Dabei sind folgenden Manahmen zu beachten:
- Die Installation kann erst dann als abgeschlossen betrachtet werden, wenn die IIS-Systeme in
einen sicheren Zustand gebracht wurden. Basis fr die sichere Installation des IIS ist ein
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 230
Internet Information Server 7.8
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 231
Internet Information Server 7.8
_________________________________________________________________________________________
Notfallvorsorge:
- M 6.85 (3) Erstellung eines Notfallplans fr den Ausfall des IIS
- M 6.86 (2) Schutz vor schdlichem Code auf dem IIS
- M 6.87 (1) Datensicherung auf dem IIS
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 232
Apache Webserver 7.9
_________________________________________________________________________________________
7.9 Apache-Webserver
Beschreibung
Der Apache-Webserver ist seit 1997 der bei weitem am
hufigsten eingesetzte Webserver. Laut der Netcraft-
Webserverstatistik war im August 2002 auf ber 60 Pro-
zent aller betrachteten Webserver ein Apache-Webserver
im Einsatz.
Der Apache-Webserver entstand 1995 aus dem bis dahin
meist genutzten Webserver, dem NCSA httpd, der am
National Center for Supercomputing Applications der
University of Illinois entwickelt worden war. Da der bis-
herige Entwickler, Rob McCool, das NCSA verlassen hatte, war die Entwicklung ins Stocken geraten.
Eine Gruppe von Webmastern fand sich zusammen, um den NCSA httpd weiter zu entwickeln. Da die
Weiterentwicklung zunchst in der Form von Patches und Ergnzungen zum NCSA httpd erfolgte,
bekam das Produkt Namen Apache, von "A patchy server".
Ende 1995 wurde die Version 1.0 des Apache-Webservers verffentlicht. Nach einer lngeren Beta-
testphase fr die Version 2, die sich seit ungefhr 1998 in der Entwicklung befand, wurde im April
2002 mit der Version 2.0.35 die erste "Produktionsversion", beim Apache-Webserver General Avail-
ability Release genannt, freigegeben.
In der neuen Version des Apache-Webservers hat sich vor allem an der Architektur des Apache-Kerns
einiges gendert. Bei der Entwicklung der neuen Version hatten die Autoren das Ziel, die Portierung
auf neue Plattformen einfacher zu gestalten, und entwarfen eine modulare Architektur, in der die
Apache Portable Runtime (APR) eine Abstraktionsschicht zwischen dem unterliegenden Betriebs-
system und dem Apache 2.0 darstellt. Die APR stellt fr die eigentlichen Apache-Module gewisser-
maen ein virtuelles Betriebssystem dar, verwendet aber so weit wie mglich native Betriebssystem-
aufrufe, um eine bestmgliche Performance zu erzielen.
Gefhrdungslage
Fr den Grundschutz werden pauschal die folgenden Gefhrdungen als typisch fr einen Apache-
Webserver angenommen:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.87 Verwendung unsicherer Protokolle in ffentlichen Netzen
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.62 Fehlerhafte Konfiguration des Betriebssystems fr einen Apache-Webserver
- G 3.63 Fehlerhafte Konfiguration eines Apache-Webservers
Technisches Versagen:
- G 4.39 Software-Konzeptionsfehler
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 233
Apache Webserver 7.9
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 234
Apache Webserver 7.9
_________________________________________________________________________________________
Einige Punkte, die bei der Notfallplanung zustzlich zu den allgemeinen Aspekten der Notfallplanung
speziell fr einen Apache-Webserver bercksichtigt werden mssen, sind in M 6.89 Notfallvorsorge
fr einen Apache-Webserver zusammen gefasst.
In Beispielen und bei konkreten Empfehlungen wird im Rahmen dieses Bausteins von Version 2.0
eines Apache-Webservers ausgegangen. Wo nicht explizit auf einen Unterschied hingewiesen wird,
sollten jedoch die meisten Aussagen auch fr die Version 1.3 gelten. Beispiele werden meist in der
Syntax angegeben, wie sie fr einen Apache-Webserver unter Unix korrekt ist, sie sind aber ohne
groe Mhe auf die Windows-Version bertragbar.
Nachfolgend sind die Manahmen zur Umsetzung von IT-Grundschutz fr den Apache-Webserver
zusammengefasst. Die Manahmen des allgemeinen Webserver-Bausteins und der anderen relevanten
Bausteine werden aus Grnden der bersichtlichkeit hier nicht noch einmal aufgefhrt.
Organisation
- M 2.269 (2) Planung des Einsatzes eines Apache-Webservers
- M 2.270 (1) Planung des SSL-Einsatzes beim Apache-Webserver (zustzlich)
Personal
- M 3.37 (1) Schulung der Administratoren eines Apache-Webservers
Hardware / Software
- M 4.191 (1) berprfung der Integritt und Authentizitt der Apache-Pakete
- M 4.192 (1) Konfiguration des Betriebssystems fr einen Apache-Webserver
- M 4.194 (1) Sichere Grundkonfiguration eines Apache-Webservers
- M 4.195 (1) Konfiguration der Zugriffssteuerung beim Apache-Webserver
- M 4.196 (1) Sicherer Betrieb eines Apache-Webservers
- M 4.197 (2) Servererweiterungen fr dynamische Webseiten beim Apache-Webserver
- M 4.198 (3) Installation eines Apache-Webservers in einem chroot-Kfig (optional)
Kommunikation
- M 5.107 (2) Verwendung von SSL im Apache-Webserver (optional)
Notfallvorsorge
- M 6.89 (1) Notfallvorsorge fr einen Apache-Webserver
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 235
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 236
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________
Zwischen der Exchange Store Architektur und den Internet Access Protokollen liegt eine spezielle
Schicht, der Exchange Interprocess Communication Layer EXIPC, auch Epoxy-Layer genannt. Dieser
besteht aus einem asynchron geteilten Speicherbereich, in welchem sowohl der Prozess STORE.EXE
als auch die IIS-Protokolle Daten lesen und schreiben knnen. STORE.EXE ist ein wesentlicher Pro-
zess des Exchange Servers. Dadurch wird ein schneller Datenaustausch ermglicht, der aus Sicher-
heitssicht jedoch auch problematisch ist.
Die Zusammenarbeit von Client mit Server lsst sich auf vielfltige Art und Weise konfigurieren und
betreiben. Hier ergeben sich zum Teil erhebliche Unterschiede in Bezug auf die Sicherheit. Weiterhin
ist es mglich, den Exchange 2000 Server so zu konfigurieren, dass mittels des sogenannten Outlook
Web Access (OWA) direkt ber das Internet zugegriffen werden kann. Dies ist von erheblicher sicher-
heitstechnischer Relevanz, siehe M 4.164 Browser-Zugriff auf Exchange 2000.
Allgemeine Gesichtspunkte beim Betrieb eines E-Mail-Systems
Fr einen sicheren Betrieb des Exchange 2000 Systems gelten auch allgemeine IT-Sicherheitsaspekte
eines E-Mail-Systems, wie z. B. die Frage der Internet-Anbindung, eventuelle unterliegende Ver-
schlsselungsmanahmen, Behandlung aktiver Inhalte, Einsatz von Anti-Viren-Software und vieles
mehr. Diesbezglich wird auf den Baustein 7.4 E-Mail verwiesen. Die dort dargestellten Gefhr-
dungen und Manahmen besitzen im Kontext von Exchange/Outlook 2000 uneingeschrnkte Gltig-
keit.
Wie in der bisherigen bersicht dargestellt, spielt die Sicherheit von Windows 2000 eine zentrale
Rolle fr die Sicherheit von Exchange bzw. Outlook. Dies gilt sowohl fr die Server als auch die
Clients des betrachteten Netzes. In diesem Zusammenhang sei auf die Bausteine 6.9 Windows 2000
Server und 5.7 Windows 2000 Client sowie die dort aufgefhrten Gefhrdungen und Manahmen
verwiesen.
Eine Ende-zu-Ende-Sicherheit auf Anwendungsebene (hier: Outlook-Client) kann mittels Ver-
schlsselung und Signatur von elektronischen Nachrichten erzielt werden. Die Konfiguration und der
Betrieb eines solchen Systems setzen dabei entweder die Verwendung der Microsoft Public Key Infra-
struktur (PKI) oder eine Plug-In-Lsung eines Drittherstellers voraus. Theoretisch ist es natrlich
mglich, gnzlich auf eine PKI zu verzichten, jedoch sind dann die bekannten Skalierungsprobleme
im Schlsselmanagement oder die Probleme der Vertrauensbeziehungen zu lsen.
Betrachtete Versionen
Im folgenden sind die derzeit aktuellen (Stand Oktober 2001) Produktversionen aufgefhrt. In der
Folge bezeichnet Exchange 2000 Server jede dieser Produktausprgungen:
- Exchange 2000 Server:
Dies ist die Grundausstattung des Produktes und richtet sich an kleine bis mittlere Unternehmen
bzw. Behrden.
- Exchange 2000 Enterprise Server:
Diese Ausprgung beinhaltet die Grundfunktionalitt von Exchange 2000 sowie Mechanismen fr
eine bessere Skalierbarkeit des Systems, z. B. Verteilung der E-Mail-Datenbanken auf verschie-
dene Server, keine Beschrnkungen in der Gre von Transaktionsdaten, Vier-Wege-Clustering.
- Exchange 2000 Conferencing Server:
Diese Version bietet die umfassendste Funktionalitt, unter anderem Werkzeuge zur Durchfhrung
von Daten-, Audio- und Videokonferenzen, Load Balancing und Bandbreitenmanagement.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 237
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 238
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________
Menschliche Fehlhandlungen:
- G 3.1 Vertraulichkeits-/Integrittsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.60 Fehlkonfiguration von Exchange 2000 Servern
- G 3.61 Fehlerhafte Konfiguration von Outlook 2000 Clients
Technisches Versagen:
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.32 Nichtzustellung einer Nachricht
Vorstzliche Handlungen:
- G 5.9 Unberechtigte IT-Nutzung
- G 5.19 Missbrauch von Benutzerrechten
- G 5.77 Mitlesen von E-Mails
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.84 Geflschte Zertifikate
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.23 Computer-Viren
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Zustzlich zu der Absicherung der Komponenten von Exchange bzw. Outlook muss noch ein spezi-
fisches Sicherheitskonzept erstellt werden, das sich konsistent in das bestehende betriebsweite Sicher-
heitskonzept integrieren lsst. Das Exchange/Outlook-System muss so konfiguriert werden, dass be-
reits bestehende Sicherheitsanforderungen umgesetzt werden. Darber hinaus sind weitere, fr
Exchange bzw. Outlook spezifische Anforderungen zu erfllen.
Ein Exchange/Outlook-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, die
den Zugriff auf das interne Netz von auen kontrollieren. Hierbei sind insbesondere Firewall-Systeme
und Systeme zur Fernwartung zu nennen, mit denen Exchange 2000 zusammenarbeiten muss. Aus
diesem Grund sind bei der Durchfhrung der fr Exchange bzw. Outlook spezifischen Manahmen
stets auch die entsprechenden Empfehlungen aus den jeweiligen Bausteinen zustzlich betroffener
Systeme zu bercksichtigen. Neben den Bausteinen aus den Kapiteln 5 und 6 sind unter anderem auch
die folgenden Bausteine zu nennen:
- 7.3 Firewall, sofern Exchange 2000 Systeme in einer Firewall-Umgebung eingesetzt werden.
- 7.6 Remote Access, wenn der Zugriff auf das Exchange-System ber Einwahlleitungen erfolgt.
Fr die erfolgreiche Implementierung eines Exchange/Outlook-Systems sind eine Reihe von Ma-
nahmen umzusetzen, beginnend mit der Planung ber die Installation bis hin zum Betrieb. Die
einzelnen Schritte sowie die jeweiligen Manahmen, die auf diesem Weg zu beachten sind, sind nach-
stehend zusammengefasst:
1. Nach der Entscheidung, Exchange 2000 als internes Kommunikationssystem einzusetzen, muss die
Beschaffung der Software und eventuell zustzlich bentigter Hardware erfolgen. Da Exchange
2000 in verschiedenen Ausprgungen erhltlich ist (siehe oben), hngt das zu beschaffende Soft-
wareprodukt von den geplanten Einsatzszenarien ab. Daher sind folgende Manahmen zu
ergreifen:
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 239
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________
- Zunchst muss der Einsatz des Exchange/Outlook-Systems geplant werden (siehe M 2.247
Planung des Einsatzes von Exchange/Outlook 2000).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe M 2.248 Festlegung einer
Sicherheitsrichtlinie fr Exchange/ Outlook 2000), die einerseits bereits bestehende Sicher-
heitsrichtlinien im Kontext von Exchange/Outlook umsetzt und gleichzeitig fr Exchange
bzw. Outlook spezifische Ergnzungen definiert.
- Vor der tatschlichen Verteilung des Exchange/Outlook-Systems mssen die Benutzer und
Administratoren im Umgang mit den Produkten geschult werden. Insbesondere fr Admi-
nistratoren empfiehlt sich eine intensive und praxisnahe Schulung, die auf fundierte Kennt-
nisse bezglich Windows 2000 und dessen Sicherheit aufsetzen sollte (siehe M 3.31
Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 fr Administratoren).
Benutzern sollten die verfgbaren Sicherheitsmechanismen von Outlook 2000 detailliert er-
lutert werden (siehe M 3.32 Schulung zu Sicherheitsmechanismen von Outlook 2000 fr
Benutzer).
2. Nachdem die organisatorischen und planerischen Vorbereitungen durchgefhrt wurden, kann die
Installation des Exchange/Outlook-Systems erfolgen. Folgende Manahmen sind dabei zu er-
greifen:
- Die Systeme, auf denen Exchange/Outlook installiert werden soll, mssen geeignet abge-
sichert sein. Empfehlungen fr die Betriebssystemplattform des Servers finden sich unter
anderem in Baustein 6.9 Windows 2000 Server.
- Die Installation kann erst dann als abgeschlossen angesehen werden, wenn die
Exchange/Outlook-Systeme in einen sicheren Zustand berfhrt wurden (siehe M 4.161
Sichere Installation von Exchange/Outlook 2000). Dadurch wird sichergestellt, dass in der
anschlieenden Konfigurationsphase nur berechtigte Administratoren auf das Exchange
2000 System zugreifen knnen.
- Nach der Installation erfolgt eine erstmalige Konfiguration des Exchange/Outlook-Systems,
siehe M 4.162 Sichere Konfiguration von Exchange 2000 Server, M 4.165 Sichere Konfigu-
ration von Outlook 2000 sowie M 4.164 Browser-Zugriff auf Exchange 2000.
3. Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei
sind aus Sicht der IT-Sicherheit folgende Aspekte zu beachten:
- Ein Exchange/Outlook-System ist in der Regel kontinuierlichen Vernderungen unterworfen.
Entsprechend mssen die sicherheitsrelevanten Konfigurationsparameter stndig angepasst
werden. Weiterhin hngt die Sicherheit bei einer verteilten Software-Architektur von der
Sicherheit smtlicher Teilsysteme ab. Dies gilt insbesondere fr die Outlook-Clients. Die fr
den sicheren Betrieb relevanten Empfehlungen sind in M 4.166 Sicherer Betrieb von
Exchange/Outlook 2000 und den Manahmen zur Kommunikationssicherung (siehe M 5.100
Einsatz von Verschlsselungs- und Signaturverfahren fr die Exchange 2000 Kommunika-
tion) zusammengefasst.
- Neben der Absicherung des laufenden Betriebs sind auch die Manahmen zur Notfallvor-
sorge von zentraler Bedeutung. Hinweise zu diesem Thema finden sich in M 6.82 Erstellen
eines Notfallplans fr den Ausfall von Exchange-Systemen.
Nachfolgend wird das Manahmenbndel fr den Einsatz von Exchange 2000 und Outlook 2000 vor-
gestellt.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 240
Exchange 2000 / Outlook 2000 7.10
_________________________________________________________________________________________
Organisation:
- M 2.247 (1) Planung des Einsatzes von Exchange/Outlook 2000
- M 2.248 (1) Festlegung einer Sicherheitsrichtlinie fr Exchange/ Outlook 2000
- M 2.249 (1) Planung der Migration von "Exchange 5.5-Servern" nach "Exchange 2000"
Personal:
- M 3.31 (1) Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 fr
Administratoren
- M 3.32 (1) Schulung zu Sicherheitsmechanismen von Outlook 2000 fr Benutzer
Hardware / Software:
- M 4.161 (1) Sichere Installation von Exchange/Outlook 2000
- M 4.162 (1) Sichere Konfiguration von Exchange 2000 Servern
- M 4.163 (1) Zugriffsrechte auf Exchange 2000 Objekte
- M 4.164 (1) Browser-Zugriff auf Exchange 2000
- M 4.165 (1) Sichere Konfiguration von Outlook 2000
- M 4.166 (1) Sicherer Betrieb von Exchange/Outlook 2000
- M 4.167 (2) berwachung und Protokollierung von Exchange 2000 Systemen
Kommunikation:
- M 5.99 (2) SSL/TLS-Absicherung fr Exchange 2000
- M 5.100 (2) Einsatz von Verschlsselungs- und Signaturverfahren fr die Exchange 2000
Kommunikation (optional) (optional)
Kommunikation (optional)
Notfallvorsorge:
- M 6.82 (1) Erstellen eines Notfallplans fr den Ausfall von Exchange-Systemen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 241
Router und Switches 7.11
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 242
Router und Switches 7.11
_________________________________________________________________________________________
Broadcast-Domne
Broadcast-Informationen sind nicht an ein bestimmtes Endgert gerichtet, sondern an alle
"benachbarten" Endgerte. Diejenigen Gerte in einem Netz, die die jeweiligen Broadcast-
Informationen der anderen Gerte empfangen, bilden zusammen eine Broadcast-Domne. Gerte, die
in einer Broadcast-Domne zusammen gefasst sind, mssen sich nicht in derselben Kollisionsdomne
befinden. Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise
bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis 192.168.1.254 in einem IP-Subnetz mit
einer Subnetzmaske von 255.255.255.0 eine Broadcast-Domne.
Hub
Hubs arbeiten auf der OSI Schicht 1 (Bitbertragungsschicht). Alle angeschlossenen Gerte befinden
sich in derselben Kollisionsdomne und damit auch in derselben Broadcast-Domne. Hubs werden
heutzutage durch Access-Switches (siehe M 2.277 Funktionsweise eines Switches) abgelst.
Bridge
Bridges verbinden Netze auf der OSI Schicht 2 (Sicherungsschicht) und segmentieren
Kollisionsdomnen. Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomne.
Alle angeschlossenen Stationen sind im Normalfall Bestandteil einer Broadcast-Domne. Bridges
knnen auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI,
etc.) auf der OSI Schicht 2 miteinander zu verbinden (transparent bridging, translational bridging).
Hauptschlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch
erzielt, dass eine Bridge als zentraler bergang zwischen zwei Netzsegmenten nicht mehr jedes
Datenpaket weiterleitet. Eine Bridge hlt eine interne MAC-Adresstabelle vor, aus der hervorgeht, in
welchem angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn die Bridge
beispielsweise aus dem Teilsegment A ein Datenpaket fr eine Station im Teilsegment B erhlt, wird
das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem Teilsegment A fr
eine Station aus dem Teilsegment A empfngt, wird dieses Datenpaket nicht in das Teilsegment B
bertragen. Dadurch wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges
durch Switches ersetzt.
Layer-2-Switch
Herkmmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder Switch-Port bildet eine
eigene Kollisionsdomne. Normalerweise sind alle angeschlossenen Stationen Bestandteil einer
Broadcast-Domne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header
als Entscheidungskriterium dafr verwendet, auf welchen Port eingehende Datenpakete weitergeleitet
werden. Trotz der vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges:
- Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine Bridge.
- Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits
(ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich schneller als eine Bridge von
einem Segment in ein anderes zu transportieren. Unterschiedliche Switching-Technologien sind in
M 2.277 Funktionsweise eines Switches beschrieben.
Gelegentlich werden Switches auch als Multiport Bridges bezeichnet.
Router
Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-
Adresse im IP-Header. Jedes Interface an einem Router stellt eine eigene Broadcast-Domne und
damit auch eine Kollisionsdomne dar. Router sind in der Lage, Netze mit unterschiedlichen
Topographien zu verbinden. Router werden verwendet, um lokale Netze zu segmentieren oder um
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 243
Router und Switches 7.11
_________________________________________________________________________________________
lokale Netze ber Weitverkehrsnetze zu verbinden. Ein Router identifiziert eine geeignete Verbindung
zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise
Zielnetz. In den meisten Fllen geschieht dies durch die Weitergabe des Datenpaketes an den nchsten
Router, den sogenannten Next Hop. Weitergehende Aspekte sind in M 2.276 Funktionsweise eines
Routers beschrieben.
Router mssen jedes IP-Paket vor der Weiterleitung analysieren. Dies fhrt zu Verzgerungen und
damit im Vergleich zu "klassischen" Switches zu einem geringeren Datendurchsatz.
Layer-3-Switch und Layer-4-Switch
Layer-3- und Layer-4-Switches sind Switches, die zustzlich eine Routing-Funktionalitt bieten.
Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-Header eines Paketes zur
Entscheidung, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt
Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden
Datenpakete des Senders an diesen Empfnger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-
MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich
hhere Durchsatzrate erzielen als ein herkmmlicher Router.
Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-Switch ist die
Anzahl von Ports zum Anschluss von einzelnen Endgerten. Ein Layer-3-Switch verfgt in der Regel
ber eine wesentlich grere Portdichte.
Durch die Routing-Funktion knnen Layer-3 oder Layer-4-Switches in lokalen Netzen herkmmliche
LAN-to-LAN-Router ersetzen.
Abgrenzung
In diesem Kapitel werden Gefhrdungen und Manahmen beim Einsatz von Routern und Switches
beschrieben. Die Abgrenzung zwischen Routern und Switches wird durch die Einfhrung der
Bezeichnungen Layer-2-Switch, Layer-3-Switch oder Layer-4-Switch durch verschiedene Hersteller
erschwert. Durch die Verschmelzung der Funktionen von Routern und Switches kann der Groteil der
beschriebenen Manahmen sowohl auf Router als auch auf Switches angewendet werden.
Es ist eine groe Auswahl von unterschiedlichen Routern und Switches von verschiedenen Herstellern
am Markt verfgbar. Die Beschreibung der Manahmen und Gefhrdungen in diesem Kapitel ist so
gehalten, dass sie so weit wie mglich herstellerunabhngig ist.
Neben den bergreifenden Aspekten und den infrastrukturellen Manahmen ist bei dem Einsatz von
Routern und Switches das Kapitel 6.7 Heterogene Netze zu bercksichtigen. Speziell bei der
Einbindung der aktiven Netzkomponenten in ein umfassendes Netz- und Systemmanagement ist das
Kapitel 6.8 Netz- und Systemmanagement von Bedeutung. Bei der Verwendung eines Routers als
Paketfilter oder als Einwahlmglichkeit sind zustzlich die Bausteine 7.3 Sicherheitsgateway
(Firewall) und 7.6 Remote Access zu bercksichtigen.
Neben eigens dafr hergestellten Gerten bieten auch verschiedene Betriebssysteme (beispielsweise
diverse Unix-Derivate, Windows 2000, etc.) Routing-Funktionalitt. Das bedeutet, dass ein Router aus
einem entsprechenden Rechner mit zwei oder mehr Netzwerkkarten und einem
Standardbetriebssystem bestehen kann. In kleineren lokalen Netzen kann dies unter Umstnden eine
kostengnstige Alternative sein. Neben den in diesem Baustein beschriebenen Sicherheitsmanahmen
sind beim Betrieb eines solchen Routers die Sicherheitsmanahmen des eingesetzten Betriebssystems
(Unix, Windows 2000, etc.) zu bercksichtigen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 244
Router und Switches 7.11
_________________________________________________________________________________________
Gefhrdungslage
Neben den Gefhrdungen, die generell fr den Groteil der IT-Systeme gelten, existieren fr aktive
Netzkomponenten eine Reihe spezieller Gefhrdungen.
Diese Gefhrdungen basieren oft auf bekannten Schwachstellen in den verwendeten Protokollen, wie
TCP, UDP, IP oder ICMP. Durch Schwachstellen in dynamischen Routing-Protokollen knnen
beispielsweise Routing-Tabellen auf Routern modifiziert werden. Die oft fehlende oder unzureichende
Mglichkeit zur Authentisierung auf aktiven Netzkomponenten ist als weitere Gefhrdung anzufgen.
Aktive Netzkomponenten werden oft mit einer unsicheren Default-Konfiguration ausgeliefert (siehe
G 4.49 Unsichere Default-Einstellungen auf Routern und Switches), die bei der Inbetriebnahme der
Gerte geprft werden sollte. Einige Hersteller von Switches schlagen fr die sichere Trennung von
Teilnetzen mit unterschiedlichem Schutzbedarf die Nutzung von virtuellen Netzen (VLANs) vor. Es
sind jedoch einige Angriffsmethoden bekannt, die es ermglichen, die Grenzen zwischen VLANs zu
berwinden und unberechtigt auf andere VLANs zuzugreifen (siehe G 5.115 berwindung der
Grenzen zwischen VLANs).
Nachfolgend ist die Gefhrdungslage beim Einsatz von Routern und Switches als bersicht
dargestellt:
Organisatorische Mngel:
- G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches
Menschliche Fehlhandlungen
- G 3.64 Fehlerhafte Konfiguration von Routern und Switchen
- G 3.65 Fehlerhafte Administration von Routern und Switchen
Technisches Versagen
- G 4.49 Unsichere Default-Einstellungen auf Routern und Switchen
Vorstzliche Handlungen
- G 5.112 Manipulation von ARP-Tabellen
- G 5.113 MAC Spoofing
- G 5.114 Missbrauch von Spanning Tree
- G 5.115 berwindung der Grenzen zwischen VLANs
Manahmenempfehlungen
Die diesem Baustein zugeordneten Sicherheitsmanahmen orientieren sich an dem Lebenszyklus der
aktiven Netzkomponenten. Es werden Manahmen beschrieben, die in folgende Zyklen kategorisiert
sind:
- Planung und Konzeption des Einsatzes von Routern und Switches
Der Einsatz von Routern und Switches muss sorgfltig geplant werden. Die Funktionen von Routern
und Switches sind in M 2.276 Funktionsweise eines Routers und M 2.277 Funktionsweise eines
Switches beschrieben. Typische Einsatzszenarien von Routern und Switches, die bei der Planung und
Konzeption hilfreich sein knnen, sind in M 2.278 Typische Einsatzszenarien von Routern und
Switches zu finden.
- Festlegung einer Sicherheitsstrategie fr Router und Switches
Vor der Beschaffung aktiver Netzkomponenten (siehe M 2.280 Kriterien fr die Beschaffung und
geeignete Auswahl von Routern und Switches) ist eine Sicherheitsstrategie fr den sicheren Betrieb der
Gerte festzulegen und zu dokumentieren (siehe M 2.279 Erstellung einer Sicherheitsrichtlinie fr
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 245
Router und Switches 7.11
_________________________________________________________________________________________
Router und Switches). Anschlieend knnen geeignete Netzkoppelelemente ausgewhlt werden, die
anschlieend sicher in die bestehende Netzinfrastruktur zu integrieren sind. In dieser Phase ist es
zudem wichtig, die Administratoren fr die sichere Administration zu schulen (siehe M 3.38
Administratorenschulung fr Router und Switches).
- Konfiguration und Inbetriebnahme von Routern und Switches
Bei der Konfiguration und Inbetriebnahme von Routern und Switches ist eine Reihe von wichtigen
Sicherheitsmanahmen zu bercksichtigen. Unsichere Default-Konfigurationen von Netzkomponenten
stellen oft ein erhebliches Sicherheitsrisiko dar. Deswegen muss die Konfiguration bei der
Inbetriebnahme berprft und angepasst werden.
Bei der Inbetriebnahme von Routern und Switches spielt neben der Dokumentation der
Systemkonfiguration (siehe M 2.281 Dokumentation der Systemkonfiguration von Routern und
Switches) die sichere Einrichtung der Systeme eine groe Rolle (siehe M 4.201 Sichere lokale
Grundkonfiguration von Routern und Switches und M 4.202 Sichere Netz-Grundkonfiguration von
Routern und Switches). Beim Einsatz von Routern muss zudem darauf geachtet werden, dass die
Routing-Protokolle sicher eingesetzt werden. Abhngig vom Einsatzzweck sollten auf Routern Access
Control Lists (ACLs) konfiguriert werden (siehe M 5.111 Einrichtung von Access Control Lists auf
Routern).
Router werden auerdem oft zur sicheren Einwahl und zur Etablierung von virtuellen privaten Netzen
(VPNs) verwendet. Bei der Einrichtung von VLANs auf Switches sind einige Sicherheitsaspekte zu
bercksichtigen. Zusammenfassend ist in M 4.203 Konfigurations-Checkliste fr Router und Switches
eine Checkliste zur sicheren Konfiguration von Routern und Switches dokumentiert.
- Sicherer Betrieb von Routern und Switches
Hinweise zum sicheren Betrieb von Routern und Switches finden sich in M 2.282 Regelmige
Kontrolle von Routern und Switches , M 2.283 Software-Pflege auf Routern und Switches und M 6.91
Datensicherung und Recovery bei Routern und Switches gegeben. Aspekte der Protokollierung auf
Routern und Switches werden in M 4.205 Protokollierung bei Routern und Switches beschrieben.
Sicherheitsaspekte, die im Fall einer Strung wichtig sind, werden in M 6.92 Notfallvorsorge bei
Routern und Switches beschrieben.
- Sicherheitsaspekte bei der Auerbetriebnahme von Routern und Switches
Gespeicherte Konfigurationsdateien und Log-Dateien auf Routern und Switches verraten
Informationen ber die Netzstruktur. Bei der Auerbetriebnahme aktiver Netzkomponenten sind die
Hinweise aus M 2.284 Sichere Auerbetriebnahme von Routern und Switches zu bercksichtigen.
Nachfolgend sind die beim Einsatz von Routern und Switches zu bercksichtigenden Manahmen
aufgelistet:
Infrastruktur:
- M 1.43 (1) Gesicherte Aufstellung aktiver Netzkomponenten
Organisation:
- M 2.276 (opt) Funktionsweise eines Routers
- M 2.277 (opt) Funktionsweise eines Switches
- M 2.278 (opt) Typische Einsatzszenarien von Routern und Switches
- M 2.279 (1) Erstellung einer Sicherheitsrichtlinie fr Router und Switches
- M 2.280 (3) Kriterien fr die Beschaffung und geeignete Auswahl von Routern und Switches
- M 2.281 (2) Dokumentation der Systemkonfiguration von Routern und Switches
- M 2.282 (1) Regelmige Kontrolle von Routern und Switches
- M 2.283 (2) Software-Pflege auf Routern und Switches
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 246
Router und Switches 7.11
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 247
Telekommunikation 8
_________________________________________________________________________________________
8 Telekommunikation
IT-Grundschutz wird fr folgende Einsatzfelder der Telekommunikation definiert:
8.1 TK-Anlage
8.2 Faxgert
8.3 Anrufbeantworter
8.4 LAN-Anbindung eines IT-Systems ber ISDN
8.5 Faxserver
8.6 Mobiltelefon
8.7 PDA
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 248
TK-Anlage 8.1
_________________________________________________________________________________________
8.1 TK-Anlage
Beschreibung
Die private, digitale ISDN-Telekommunikations-Anlage
(TK-Anlage) stellt sowohl eine Kommunikationsbasis fr
den eigenen Bereich als auch die Schnittstelle zum
ffentlichen Netz dar. Sie dient der bertragung von
Sprache und Bildern (Fax) und in zunehmendem Ma als
LAN bzw. LAN-Koppler sowie als bertragungsmedium
fr elektronische Mailsysteme. Bei der Nutzung als LAN
ist das Kapitel 6.1 Servergesttztes Netz zu beachten.
Es wird davon ausgegangen, dass ein Verantwortlicher
fr die TK-Anlage benannt ist, der die grundstzlichen Sicherheitsentscheidungen fllen und
Sicherheitsmanahmen initiieren kann.
Gefhrdungslage
Fr den IT-Grundschutz einer TK-Anlage werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.4 Feuer
- G 1.7 Unzulssige Temperatur und Luftfeuchte
Organisatorische Mngel:
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.7 Ausfall der TK-Anlage durch Fehlbedienung
Technisches Versagen:
- G 4.6 Spannungsschwankungen/berspannung/ Unterspannung
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.11 Vertraulichkeitsverlust in TK-Anlagen gespeicherter Daten
- G 5.12 Abhren von Telefongesprchen und Datenbertragungen
- G 5.13 Abhren von Rumen
- G 5.14 Gebhrenbetrug
- G 5.15 "Neugierige" Mitarbeiter
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.44 Missbrauch von Remote-Zugngen fr Managementfunktionen von TK-Anlagen
Es werden hier solche Gefhrdungen betrachtet, die die Funktionsfhigkeit einer Institution beein-
trchtigen knnen. Datenschutzrechtliche Erwgungen stehen somit nicht im Vordergrund. Diesen
wird bereits zu groen Teilen durch bestehende Betriebs- bzw. Dienstvereinbarungen Rechnung getra-
gen. Gleichwohl trgt der IT-Grundschutz natrlich auch zum Schutz der personenbezogenen Daten
bei.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 249
TK-Anlage 8.1
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Die zentralen Einrichtungen einer TK-Anlage sollten in einem Raum aufgestellt werden, der den
Anforderungen an einen Serverraum (Kapitel 4.3.2) oder einen Raum fr technische Infrastruktur
(Kapitel 4.3.4) gengt. Fr die Verkabelung der TK-Anlage wird auf Kapitel 4.2 hingewiesen.
Nachfolgend wird das Manahmenbndel fr den Bereich "TK-Anlage" vorgestellt:
Infrastruktur:
- M 1.2 (2) Regelungen fr Zutritt zu Verteilern
- M 1.9 (2) Brandabschottung von Trassen
- M 1.12 (2) Vermeidung von Lagehinweisen auf schtzenswerte Gebudeteile
- M 1.13 (3) Anordnung schtzenswerter Gebudeteile
- M 1.22 (2) Materielle Sicherung von Leitungen und Verteilern (optional)
- M 1.23 (1) Abgeschlossene Tren
- M 1.25 (2) berspannungsschutz (optional)
- M 1.27 (2) Klimatisierung (optional)
- M 1.28 (1) Lokale unterbrechungsfreie Stromversorgung (optional)
- M 1.30 (2) Absicherung der Datentrger mit TK-Gebhrendaten
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.16 (2) Beaufsichtigung oder Begleitung von Fremdpersonen
- M 2.17 (2) Zutrittsregelung und -kontrolle
- M 2.26 (1) Ernennung eines Administrators und eines Vertreters
- M 2.27 (1) Verzicht auf Fernwartung der TK-Anlage (optional)
- M 2.28 (3) Bereitstellung externer TK-Beratungskapazitt (optional)
- M 2.29 (2) Bedienungsanleitung der TK-Anlage fr die Benutzer
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.105 (1) Beschaffung von TK-Anlagen
Personal:
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.12 (2) Information aller Mitarbeiter ber mgliche TK-Warnanzeigen, -symbole und -
tne
- M 3.13 (2) Sensibilisierung der Mitarbeiter fr mgliche TK-Gefhrdungen
Hardware/Software:
- M 4.5 (2) Protokollierung der TK-Administrationsarbeiten
- M 4.6 (2) Revision der TK-Anlagenkonfiguration
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.8 (1) Schutz des TK-Bedienplatzes
- M 4.10 (2) Passwortschutz fr TK-Endgerte
- M 4.11 (2) Absicherung der TK-Anlagen-Schnittstellen
- M 4.12 (1) Sperren nicht bentigter TK-Leistungsmerkmale
- M 4.62 (2) Einsatz eines D-Kanal-Filters (optional)
Kommunikation:
- M 5.14 (1) Absicherung interner Remote-Zugnge
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 250
TK-Anlage 8.1
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 251
Faxgert 8.2
_________________________________________________________________________________________
8.2 Faxgert
Beschreibung
Betrachtet wird die Informationsbermittlung in Form
eines Faksimile (Fax). Fr die Manahmenauswahl im
Bereich IT-Grundschutz wurde nicht nach dem
verwendeten bertragungsstandard (z. B. CCITT Gruppe
3) unterschieden. In diesem Baustein werden als
technische Basis des Faxversands ausschlielich
marktbliche Stand-Alone-Faxgerte betrachtet, nicht
jedoch Fax-Einschubkarten oder Faxserver (siehe Kapitel
8.5 Faxserver).
Gefhrdungslage
Fr den IT-Grundschutz werden bei der Informationsbermittlung per Fax folgende typische
Gefhrdungen angenommen:
Organisatorische Mngel
- G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgtern
Menschliche Fehlhandlungen:
- G 3.14 Fehleinschtzung der Rechtsverbindlichkeit eines Fax
Technisches Versagen:
- G 4.14 Verblassen spezieller Faxpapiere
- G 4.15 Fehlerhafte Faxbertragung
Vorstzliche Handlungen:
- G 5.7 Abhren von Leitungen
- G 5.30 Unbefugte Nutzung eines Faxgertes oder eines Faxservers
- G 5.31 Unbefugtes Lesen von Faxsendungen
- G 5.32 Auswertung von Restinformationen in Faxgerten und Faxservern
- G 5.33 Vortuschen eines falschen Absenders bei Faxsendungen
- G 5.34 Absichtliches Umprogrammieren der Zieltasten eines Faxgertes
- G 5.35 berlastung durch Faxsendungen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen. Nachfolgend wird das
Manahmenbndel fr den Bereich "Faxgert" vorgestellt:
Infrastruktur:
- M 1.37 (1) Geeignete Aufstellung eines Faxgertes
Organisation:
- M 2.47 (2) Ernennung eines Fax-Verantwortlichen
- M 2.48 (2) Festlegung berechtigter Faxbediener (optional)
- M 2.48 (2) Festlegung berechtigter Faxbediener (optional)
- M 2.49 (2) Beschaffung geeigneter Faxgerte
- M 2.50 (2) Geeignete Entsorgung von Fax-Verbrauchsgtern und -Ersatzteilen
- M 2.51 (3) Fertigung von Kopien eingehender Faxsendungen (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 252
Faxgert 8.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 253
Anrufbeantworter 8.3
_________________________________________________________________________________________
8.3 Anrufbeantworter
Beschreibung
Betrachtet werden Anrufbeantworter, die zustzlich zum
Telefon an das lokale Haus-Telefonnetz angeschlossen
werden knnen. Sie dienen blicherweise der Aufzeich-
nung eingehender Gesprche oder Nachrichten in
gesprochener Form, wenn der Angerufene nicht erreich-
bar ist. Technisch unterscheiden sich diese Gerte durch
unterschiedliche Aufzeichnungsweisen: vollstndig
analog aufzeichnende Gerte, vollstndig digital
aufzeichnende Gerte und Kombinationsformen. Insbe-
sondere das heute verbreitete Leistungsmerkmal der
Fernabfrage legt es nahe, Anrufbeantworter als IT-System aufzufassen, wobei gerade die Fernabfrage
ein erhebliches Gefhrdungspotential darstellen kann.
Gefhrdungslage
Fr den IT-Grundschutz eines Anrufbeantworters werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.8 Staub, Verschmutzung
Organisatorische Mngel
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.6 Unbefugter Zutritt zu schutzbedrftigen Rumen
Menschliche Fehlhandlungen:
- G 3.15 Fehlbedienung eines Anrufbeantworters
Technisches Versagen:
- G 4.1 Ausfall der Stromversorgung
- G 4.18 Entladene oder beralterte Notstromversorgung im Anrufbeantworter
- G 4.19 Informationsverlust bei erschpftem Speichermedium
Vorstzliche Handlungen:
- G 5.36 Absichtliche berlastung des Anrufbeantworters
- G 5.37 Ermitteln des Sicherungscodes
- G 5.38 Missbrauch der Fernabfrage
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Bereich "Anrufbeantworter" vorgestellt.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 254
Anrufbeantworter 8.3
_________________________________________________________________________________________
Infrastruktur:
- M 1.23 (3) Abgeschlossene Tren (optional)
- M 1.29 (3) Geeignete Aufstellung eines IT-Systems (optional)
Organisation:
- M 2.4 (3) Regelungen fr Wartungs- und Reparaturarbeiten (optional)
- M 2.11 (2) Regelung des Passwortgebrauchs
- M 2.54 (1) Beschaffung geeigneter Anrufbeantworter
- M 2.55 (1) Einsatz eines Sicherungscodes (optional)
- M 2.56 (1) Vermeidung schutzbedrftiger Informationen auf dem Anrufbeantworter
- M 2.57 (2) Regelmiges Abhren und Lschen aufgezeichneter Gesprche
- M 2.58 (3) Begrenzung der Sprechdauer (optional)
Personal:
- M 3.16 (2) Einweisung in die Bedienung des Anrufbeantworters
Hardware/Software:
- M 4.38 (1) Abschalten nicht bentigter Leistungsmerkmale
- M 4.39 (3) Abschalten des Anrufbeantworters bei Anwesenheit (optional)
Notfallvorsorge:
- M 6.40 (3) Regelmige Batterieprfung/-wechsel (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 255
LAN-Anbindung eines IT-Systems ber ISDN 8.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 256
LAN-Anbindung eines IT-Systems ber ISDN 8.4
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
In diesem Kapitel steht die Gewhrleistung einer sicheren Kommunikation im Vordergrund. Die fr
die kommunizierenden IT-Systeme weiterhin erforderlichen Manahmen sind den jeweiligen Kapiteln
(fr das LAN siehe Kapitel 6, fr das entfernt stehende IT-System siehe Kapitel 5) zu entnehmen.
Nachfolgend wird das Manahmenbndel fr den Bereich LAN-Anbindung eines IT-Systems ber
ISDN vorgestellt.
Infrastruktur:
- M 1.43 (2) Gesicherte Aufstellung aktiver Netzkomponenten,
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.35 (2) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.42 (1) Festlegung der mglichen Kommunikationspartner
- M 2.46 (2) Geeignetes Schlsselmanagement
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.106 (2) Auswahl geeigneter ISDN-Karten in der Beschaffung
- M 2.107 (2) Dokumentation der ISDN-Karten-Konfiguration
- M 2.108 (2) Verzicht auf Fernwartung der ISDN-Netzkoppelelemente (optional)
- M 2.109 (1) Rechtevergabe fr den Fernzugriff
- M 2.204 (1) Verhinderung ungesicherter Netzzugnge
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
Hardware/Software:
- M 4.7 (1) nderung voreingestellter Passwrter
- M 4.34 (1) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.59 (1) Deaktivieren nicht bentigter ISDN-Karten-Funktionalitten
- M 4.60 (1) Deaktivieren nicht bentigter ISDN-Router-Funktionalitten
- M 4.61 (1) Nutzung vorhandener Sicherheitsmechanismen der ISDN-Komponenten
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 257
LAN-Anbindung eines IT-Systems ber ISDN 8.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 258
Faxserver 8.5
_________________________________________________________________________________________
8.5 Faxserver
Beschreibung
Betrachtet wird die Informationsbermittlung in Form
eines Faksimile (Fax). Fr die Manahmenauswahl im
Bereich IT-Grundschutz wird nicht nach dem
verwendeten bertragungsstandard (z. B. CCITT
Gruppe 3) unterschieden. In diesem Baustein werden als
technische Basis des Fax-Verkehrs ausschlielich
Faxserver betrachtet. Ein Faxserver in diesem Sinne ist
eine Applikation, die auf einem IT-System installiert ist
und in einem Netz fr andere IT-Systeme die Dienste
Faxversand und/oder Faxempfang zur Verfgung stellt.
Faxserver werden in der Regel in bereits bestehende E-Mailsysteme integriert. So ist es u. a. mglich,
dass eingehende Fax-Dokumente durch den Faxserver per E-Mail an den Benutzer zugestellt werden.
Abzusendende Dokumente werden entweder ber eine Druckerwarteschlange oder per E-Mail an den
Faxserver bergeben. Durch die Integration des Faxservers in ein E-Mail-System ist es auch mglich,
"Serienbriefe" wahlweise per Fax und per E-Mail zu versenden. Sofern ein Adressat ber einen E-
Mail-Zugang verfgt, erhlt er die Nachricht kostengnstig per E-Mail, ansonsten per Fax. Das von
einem Faxserver gesendete oder empfangene Dokument ist eine Grafik-Datei, die nicht unmittelbar in
Textverarbeitungssystemen weiterverarbeitet werden kann. Mglich ist aber auf jeden Fall die
Archivierung. Dies kann durch die Faxserver-Software oder auch in Dokumentenmanagement-
systemen erfolgen.
Faxserver gibt es fr eine Reihe von Betriebssystemen wie z. B. fr verschiedene Unix-Derivate,
Microsoft Windows NT und Novell Netware. berlegungen zu Gefhrdungen und Manahmen, die
durch das jeweils verwendete Betriebssystem bedingt werden, sind nicht Gegenstand dieses Bausteins.
Vielmehr sind hierzu das Kapitel 6.1 und das jeweils betriebssystemspezifische Kapitel
durchzuarbeiten.
Faxserver verfgen hufig zustzlich ber den Binary-Transfer-Mode. Hiermit werden beliebige
Daten, die nicht im Fax-Format vorliegen, bertragen. Es handelt sich dabei nicht um
Faxbertragungen. Daher werden spezielle Gefhrdungen und Manahmen, die diesen Dienst
betreffen, nicht in diesem Kapitel betrachtet. Wird der Binary-Transfer-Mode zugelassen, so ist
zustzlich Kapitel 7.2 Modem zu bearbeiten.
Gefhrdungslage
Fr den IT-Grundschutz werden bei der Informationsbermittlung per Fax mittels eines Faxservers
folgende typische Gefhrdungen angenommen:
Organisatorische Mngel
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.9 Mangelhafte Anpassung an Vernderungen beim IT-Einsatz
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.63 Ungeordnete Faxnutzung
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.14 Fehleinschtzung der Rechtsverbindlichkeit eines Fax
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 259
Faxserver 8.5
_________________________________________________________________________________________
Technisches Versagen:
- G 4.15 Fehlerhafte Faxbertragung
- G 4.20 Datenverlust bei erschpftem Speichermedium
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.7 Abhren von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.30 Unbefugte Nutzung eines Faxgertes oder eines Faxservers
- G 5.31 Unbefugtes Lesen von Faxsendungen
- G 5.32 Auswertung von Restinformationen in Faxgerten und Faxservern
- G 5.33 Vortuschen eines falschen Absenders bei Faxsendungen
- G 5.35 berlastung durch Faxsendungen
- G 5.39 Eindringen in Rechnersysteme ber Kommunikationskarten
- G 5.90 Manipulation von Adressbchern und Verteillisten
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Zunchst sollte eine bergreifende Sicherheitsleitlinie fr den Faxserver erarbeitet werden (siehe
M 2.178 Erstellung einer Sicherheitsleitlinie fr die Faxnutzung) und ein geeigneter Faxserver
beschafft werden (siehe M 2.181 Auswahl eines geeigneten Faxservers). Hieraus mssen Regelungen
abgeleitet werden. Schlielich sind Verantwortliche fr den Einsatz des Faxservers zu benennen (siehe
M 3.10 Auswahl eines vertrauenswrdigen Administrators und Vertreters und M 2.180 Einrichten
einer Fax-Poststelle). Sowohl die Sicherheitsleitlinie als auch die daraus folgenden Regelungen und
die Benennung von Verantwortlichen sollte schriftlich erfolgen. Die dort erarbeiteten Festlegungen
sollten sodann in konkrete Sicherheitsmanahmen umgesetzt werden. Neben dem sicheren Betrieb des
Faxservers ist von besonderer Bedeutung, dass von den Benutzern die entsprechenden
Sicherheitsvorkehrungen und Anweisungen eingehalten werden.
Nachfolgend wird das Manahmenbndel fr die Applikation "Faxserver" vorgestellt:
Organisation:
- M 2.30 (2) Regelung fr die Einrichtung von Benutzern / Benutzergruppen
- M 2.64 (1) Kontrolle der Protokolldateien
- M 2.178 (1) Erstellung einer Sicherheitsleitlinie fr die Faxnutzung
- M 2.179 (1) Regelungen fr den Faxserver-Einsatz
- M 2.180 (1) Einrichten einer Fax-Poststelle
- M 2.181 (1) Auswahl eines geeigneten Faxservers
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.10 (1) Auswahl eines vertrauenswrdigen Administrators und Vertreters
- M 3.11 (1) Schulung des Wartungs- und Administrationspersonals
- M 3.15 (1) Informationen fr alle Mitarbeiter ber die Faxnutzung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 260
Faxserver 8.5
_________________________________________________________________________________________
Hardware/Software:
- M 4.36 (2) Sperren bestimmter Faxempfnger-Rufnummern (optional)
- M 4.37 (2) Sperren bestimmter Absender-Faxnummern (optional)
Kommunikation:
- M 5.24 (1) Nutzung eines geeigneten Faxvorblattes
- M 5.25 (2) Nutzung von Sende- und Empfangsprotokollen
- M 5.26 (2) Telefonische Ankndigung einer Faxsendung (optional)
- M 5.27 (2) Telefonische Rckversicherung ber korrekten Faxempfang (optional)
- M 5.28 (2) Telefonische Rckversicherung ber korrekten Faxabsender (optional)
- M 5.73 (1) Sicherer Betrieb eines Faxservers
- M 5.74 (1) Pflege der Faxserver-Adressbcher und der Verteillisten
- M 5.75 (1) Schutz vor berlastung des Faxservers
Notfallvorsorge:
- M 6.69 (1) Notfallvorsorge und Ausfallsicherheit bei Faxservern
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 261
Mobiltelefon 8.6
_________________________________________________________________________________________
8.6 Mobiltelefon
Beschreibung
Mobiltelefone sind inzwischen nicht mehr wegzu-
denkende Bestandteile der Kommunikationsinfrastruktur
geworden. Damit stellt sich die Frage nach deren sicheren
Nutzung.
In diesem Kapitel werden digitale Mobilfunksysteme
nach dem GSM-Standard (D- und E-Netze) betrachtet.
Um deren sicheren Einsatz zu gewhrleisten, mssen
verschiedene Komponenten und deren Zusammenspiel
betrachtet werden (siehe Bild):
- Mobiltelefon
- Basisstation
- Festnetz
Mobiltelefon
Ein Mobiltelefon besteht aus zwei Komponenten: Dem Mobilfunkgert selbst und dem Identifi-
kationsmodul, der SIM-Karte (SIM - Subscriber Identity Module). Damit kann im GSM-Netz
zwischen Benutzer und Gert unterschieden werden.
Das Mobilfunkgert ist gekennzeichnet durch seine international eindeutige Seriennummer (IMEI
- International Mobile Equipment Identity). Der Benutzer wird durch seine auf der SIM-Karte gespei-
cherten Kundennummer (IMSI - International Mobile Subscriber Identity) identifiziert. Sie wird dem
Teilnehmer beim Vertragsabschluss vom Netzbetreiber zugeteilt. Sie ist zu unterscheiden von den ihm
zugewiesenen Telefonnummern (MSISDN). Durch diese Trennung ist es mglich, dass ein Teil-
nehmer mit seiner SIM-Karte verschiedene Mobilfunkgerte nutzen kann.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 262
Mobiltelefon 8.6
_________________________________________________________________________________________
Auf der SIM-Karte wird u. a. die teilnehmerbezogene Rufnummer (MSISDN) gespeichert. Ebenso
sind dort die kryptographischen Algorithmen fr die Authentisierung und Nutzdatenverschlsselung
implementiert. Darber hinaus knnen dort Kurznachrichten, Gebhreninformationen und ein
persnliches Telefonbuch gespeichert werden.
SIM-Toolkit
Seit 1999 sind Mobiltelefone und SIM-Karten auf dem Markt, bei denen die Menfunktionen der
Mobiltelefone erweitert wurden. Dieser neue Standard "SIM-Toolkit" definiert neue Funktionen
zwischen SIM-Karte und Mobilfunkgert. Damit knnen im laufenden Betrieb neue Daten und
Programme vom Netzbetreiber heruntergeladen werden. Mit SIM-Toolkit lassen sich so ganz neue
Serviceangebote realisieren. Beispielsweise bietet es dem Kartenanbieter die Mglichkeit, die Men-
struktur des Mobiltelefons den Bedrfnissen der Kunden anzupassen. Mchte der Kunde ber sein
Mobiltelefon eine Hotelreservierung vornehmen oder eine Reise buchen, wird die Menstruktur des
Mobiltelefons vom Serviceanbieter entsprechend angepasst. Dafr mssen allerdings sowohl Karte als
auch Gert den Standard "SIM-Toolkit" untersttzen.
Basisstation
Jeder Netzbetreiber unterhlt eine Vielzahl von Sendestationen (BTS - Base Station Transceiver
System). Jede dieser Stationen kann ein Gebiet mit einem Radius von ca. 250 m bis 35 km versorgen,
je nach Sendeleistung und Gelndebeschaffenheit. Das Versorgungsgebiet einer Sendestation wird als
Funkzelle bezeichnet. Mehrere Funkzellen werden von einer Kontrollstation (BSC - Base Station
Controller) gesteuert. Der Verbund von Sendestationen und Kontrollstation heit wiederum Base
Station Subsystem (BSS) oder kurz Basisstation.
Die Basisstation stellt also die Schnittstelle zwischen dem Netz und dem Mobiltelefon dar. Hier
werden die Kanle fr die Signalisierung und den Nutzverkehr bereitgestellt. Die Basisstation wird
ber den Vermittlungsknoten (MSC) gesteuert. Dieser Vermittlungsknoten bernimmt alle tech-
nischen Funktionen eines Festnetz-Vermittlungsknotens, wie z. B. Wegsuche, Signalwegschaltung
und Dienstmerkmalsbearbeitung. Falls Verbindungswnsche zu einem Teilnehmer im Festnetz beste-
hen, werden sie vom Vermittlungsknoten ber einen Koppelpfad (GMSC) ins Festnetz weitergeleitet.
Als Besonderheit im GSM-Netz gegenber dem Festnetz kann die Verschlsselung der Daten auf der
Luftschnittstelle, d. h. zwischen Mobiltelefon und Basisstation, angesehen werden. Dies soll den
Teilnehmer gegen unbefugtes Mithren schtzen.
Register
Damit der Netzbetreiber in die Lage versetzt wird, auch alle gewnschten Dienste zu erbringen, muss
er verschiedene Daten speichern. Er muss z. B. wissen, welche Teilnehmer sein Netz nutzen und
welche Dienste sie in Anspruch nehmen wollen. Diese Daten, wie Teilnehmer, Kundennummer und
beanspruchte Dienste, werden im Heimatregister (HLR - Home Location Register) abgelegt. Soll eine
Verbindung, z. B. von einem Festnetzanschluss zu einem Mobiltelefon, hergestellt werden, muss der
Netzbetreiber wissen, wo sich der Teilnehmer befindet und ob er sein Mobiltelefon eingeschaltet hat.
Diese Informationen werden im Besucher- (VLR) und im Heimatregister (HLR) abgelegt. Um zu
prfen, ob der Teilnehmer berhaupt berechtigt ist, das Mobilfunknetz zu nutzen (also einen Karten-
vertrag besitzt), fhrt der Netzbetreiber das Identifikationsregister (AUC). Hier werden der Sicher-
heitscode der SIM-Karte sowie die vom Teilnehmer festgelegten PINs abgelegt.
Auerdem kann der Netzbetreiber noch ein Gerteregister, das EIR, fhren. Hier sind alle im Netz
zugelassenen Mobilfunkgerte registriert, aufgeteilt in drei Gruppen, den so genannten weien, grauen
und schwarzen Listen. In der weien Liste sind alle unbedenklichen Gerte registriert, die graue Liste
enthlt alle Gerte, die mglicherweise fehlerhaft sind und in der schwarzen Liste stehen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 263
Mobiltelefon 8.6
_________________________________________________________________________________________
all jene, die defekt oder als gestohlen gemeldet sind. Allerdings fhren nicht alle Netzbetreiber ein
Gerteregister.
Damit der Netzbetreiber eine detaillierte Abrechnung der durch den Kunden in Anspruch
genommenen Dienste erstellen kann, mssen die Verbindungsdaten gespeichert werden. Hierzu
gehren z. B. Angaben ber Kommunikationspartner (z. B. Rufnummern des Angerufenen), Zeitpunkt
und Dauer der Verbindung und die Standortkennungen der mobilen Endgerte.
Verbindungsaufbau
Sobald der Besitzer sein Mobiltelefon einschaltet, meldet es sich ber die nchstgelegene Basisstation
beim Netzbetreiber an. Mit seiner SIM-Karte und den darauf befindlichen kryptographischen Algo-
rithmen identifiziert sich der Teilnehmer gegenber dem Netzbetreiber. Die Authentikation erfolgt mit
Hilfe eines Schlssels, der nur dem Netzbetreiber und dem Teilnehmer bekannt ist. Beim Netz-
betreiber werden Daten zur Identitt des Nutzers, die Seriennummer des Mobiltelefons und die
Kennung der Basisstation, ber die seine Anmeldung erfolgt ist, protokolliert und gespeichert. Dies
erfolgt auch dann, wenn kein Gesprch gefhrt wird. Weiterhin wird jeder Verbindungsversuch
gespeichert, unabhngig vom Zustandekommen der Verbindung. Damit ist dem Netz bekannt, welcher
Teilnehmer sich im Netz befindet, und es knnen nun Verbindungen von und zum Teilnehmer
aufgebaut werden.
Festnetz
Als Festnetz wird das herkmmliche ffentliche Telefonnetz mit seinen Verbindungswegen bezeich-
net.
Da bei jeder Mobilfunkverbindung auch Festnetze benutzt werden, treten eine Reihe von Festnetz-
Gefhrdungen auch bei der Nutzung von Mobilfunknetzen auf. Der leitungsgebundene Teil eines
GSM-Netzes ist ein Spezialfall eines ISDN-Netzes. Daher sind auch die Gefhrdungen und Manah-
men, die fr ISDN gelten, grtenteils fr GSM relevant. Fr den Bereich des Datenaustausches ber
GSM ist daher Kapitel 8.4 LAN-Anbindung eines IT-Systems ber ISDN zu betrachten.
In diesem Kapitel werden diejenigen IT-Sicherheitseigenschaften von Mobiltelefonen betrachtet, die
fr die Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden,
wie ein Konzept zum Einsatz von Mobiltelefonen innerhalb einer Organisation erstellt und wie dessen
Umsetzung und Einbettung sichergestellt werden kann.
Gefhrdungslage
Fr den IT-Grundschutz werden im Rahmen der Nutzung von Mobiltelefonen folgende typische
Gefhrdungen angenommen:
Organisatorische Mngel:
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.45 Unzureichende Identifikationsprfung von Kommunikationspartnern
Technisches Versagen:
- G 4.41 Nicht-Verfgbarkeit des Mobilfunknetzes
- G 4.42 Ausfall des Mobiltelefons oder des PDAs
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 264
Mobiltelefon 8.6
_________________________________________________________________________________________
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.4 Diebstahl
- G 5.80 Hoax
- G 5.94 Kartenmissbrauch
- G 5.95 Abhren von Raumgesprchen ber Mobiltelefone
- G 5.96 Manipulation von Mobiltelefonen
- G 5.97 Unberechtigte Datenweitergabe ber Mobiltelefone
- G 5.98 Abhren von Mobiltelefonaten
- G 5.99 Auswertung von Verbindungsdaten bei der Nutzung von Mobiltelefonen
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Um Mobiltelefone sicher und effektiv einsetzen zu knnen, sollte zunchst die Mobiltelefon-Nutzung
in der Behrde bzw. im Unternehmen geregelt und Sicherheitsrichtlinien dafr erarbeitet werden
(siehe M 2.188 Sicherheitsrichtlinien und Regelungen fr die Mobiltelefon-Nutzung).
Nachfolgend wird das Manahmenbndel fr den Einsatz von Mobiltelefonen vorgestellt.
Organisation:
- M 2.4 (2) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.22 (3) Hinterlegen des Passwortes
- M 2.188 (1) Sicherheitsrichtlinien und Regelungen fr die Mobiltelefon-Nutzung
- M 2.189 (1) Sperrung des Mobiltelefons bei Verlust
- M 2.190 (2) Einrichtung eines Mobiltelefon-Pools (optional)
Hardware/Software:
- M 4.114 (1) Nutzung der Sicherheitsmechanismen von Mobiltelefonen
- M 4.115 (2) Sicherstellung der Energieversorgung von Mobiltelefonen
Kommunikation:
- M 5.78 (3) Schutz vor Erstellen von Bewegungsprofilen bei der Mobiltelefon-Nutzung
(optional)
- M 5.79 (3) Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung (optional)
- M 5.80 (3) Schutz vor Abhren der Raumgesprche ber Mobiltelefone (optional)
- M 5.81 (2) Sichere Datenbertragung ber Mobiltelefone
Notfallvorsorge:
- M 6.72 (2) Ausfallvorsorge bei Mobiltelefonen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 265
PDA 8.7
_________________________________________________________________________________________
8.7 PDA
Beschreibung
Dieser Baustein beschftigt sich mit handtellergroen,
mobilen Endgerten zur Datenerfassung, -bearbeitung
und -kommunikation, die im folgenden der einfacheren
Lesbarkeit halber alle als PDAs (Personal Digital
Assistant) bezeichnet werden. Diese gibt es in verschie-
denen Gerteklassen, die sich nach Abmessungen und
Leistungsmerkmalen unterscheiden, dazu gehren unter
anderem:
- Organizer, um Adressen und Termine zu verwalten.
- PDAs ohne eigene Tastatur, bei denen die Dateneingabe ber das Display erfolgt (mittels Stift).
Der primre Einsatzzweck ist das Erfassen und Verwalten von Terminen, Adressen und kleinen
Notizen.
- PDAs, bei denen die Dateneingabe ber eine eingebaute Tastatur und/oder einen Touchscreen
erfolgt. Diese sollen neben dem Erfassen und Verwalten von Terminen, Adressen und kleinen
Notizen auch die Bearbeitung von E-Mail ermglichen.
- PDAs mit integriertem Mobiltelefon, sogenannte Smartphones, die damit eine eingebaute Schnitt-
stelle zur Datenbertragung besitzen. Beim Einsatz von Smartphones ist zustzlich Kapitel 8.6
Mobiltelefon umzusetzen.
- Den bergang zu "echten" Notebooks stellen sogenannte Sub-Notebooks dar, die wesentlich klei-
ner als normale Notebooks sind und daher beispielsweise weniger Peripheriegerte und
Anschlussmglichkeiten bieten, die aber unter anderem fr die Vorfhrung von Prsentationen
geeignet sind. Beim Einsatz von Sub-Notebooks ist der Baustein 5.3 Tragbarer PC umzusetzen.
Die bergnge zwischen den verschiedenen Gertetypen sind flieend und auerdem dem stndigen
Wandel der Technik unterworfen. PDA- und Mobiltelefon-Funktionalitten werden in zunehmendem
Ma kombiniert.
Eine typische Anforderungen an PDAs ist die Nutzung von Standard-Office-Anwendungen, auch
unterwegs. Zum Teil werden hierfr angepasste Varianten von Textverarbeitungs-, Tabellenkalku-
lations-, E-Mail- bzw. Kalenderprogrammen angeboten. PDAs werden aber auch zunehmend fr
sicherheitskritische Applikationen eingesetzt, wie beispielsweise die Nutzung als Authentisierungs-
token fr Zugriffe auf Unternehmensnetze (z. B. Generierung von Einmalpasswrtern), Speicherung
von Patientendaten oder die Fhrung von Kundenkarteien.
In diesem Kapitel werden diejenigen IT-Sicherheitseigenschaften von PDAs betrachtet, die fr die
Anwender bei deren Nutzung relevant sind. Es soll ein systematischer Weg aufgezeigt werden, wie ein
Konzept zum Einsatz von PDAs innerhalb einer Organisation erstellt und wie dessen Umsetzung und
Einbettung sichergestellt werden kann.
Gefhrdungslage
Fr den IT-Grundschutz werden im Rahmen der Nutzung von PDAs folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.15 Beeintrchtigung durch wechselnde Einsatzumgebung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 266
PDA 8.7
_________________________________________________________________________________________
Organisatorische Mngel:
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.45 Unzureichende Identifikationsprfung von Kommunikationspartnern
- G 3.76 Fehler bei der Synchronisation mobiler Endgerte
Technisches Versagen:
- G 4.42 Ausfall des Mobiltelefons oder des PDAs
- G 4.51 Unzureichende Sicherheitsmechanismen bei PDAs
- G 4.52 Datenverlust bei mobilem Einsatz
Vorstzliche Handlungen:
- G 5.1 Manipulation/Zerstrung von IT-Gerten oder Zubehr
- G 5.2 Manipulation an Daten oder Software
- G 5.9 Unberechtigte IT-Nutzung
- G 5.22 Diebstahl bei mobiler Nutzung des IT-Systems
- G 5.23 Computer-Viren
- G 5.123 Abhren von Raumgesprchen ber mobile Endgerte
- G 5.124 Missbrauch der Informationen von mobilen Endgerten
- G 5.125 Unberechtigte Datenweitergabe ber mobile Endgerte
- G 5.126 Unberechtigte Foto- und Filmaufnahmen mit mobilen Endgerten
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Im Rahmen des PDA-Einsatzes sind eine Reihe von Manahmen umzusetzen, beginnend mit der Kon-
zeption ber die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die
Manahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgefhrt.
1. Um PDAs sicher und effektiv in Behrden oder Unternehmen einsetzen zu knnen, sollte ein Kon-
zept erstellt werden, das auf den Sicherheitsanforderungen fr die bereits vorhandenen IT-Systeme
sowie den Anforderungen aus den geplanten Einsatzszenarien beruht. Darauf aufbauend ist die
PDA-Nutzung zu regeln und Sicherheitsrichtlinien dafr zu erarbeiten (siehe M 2.304 Sicherheits-
richtlinien und Regelungen fr die PDA-Nutzung).
2. Fr die Beschaffung von PDAs mssen die aus dem Konzept resultierenden Anforderungen an die
jeweiligen Produkte formuliert und basierend darauf die Auswahl der geeigneten Produkte getrof-
fen werden (siehe M 2.305 Geeignete Auswahl von PDAs).
3. Je nach Sicherheitsanforderungen mssen die beteiligten Software-Komponenten (PDA, Synchro-
nisationssoftware, Software zum zentralen PDA-Management) unterschiedlich konfiguriert
werden. Dies betrifft vor allem die PDAs selber (siehe M 4.228 Nutzung der Sicherheits-
mechanismen von PDAs), die Synchronisationsumgebung (siehe M 4.229 Sicherer Betrieb von
PDAs) und gegebenenfalls spezielle Software zum zentralen PDA-Management.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 267
PDA 8.7
_________________________________________________________________________________________
Damit PDAs sicher eingesetzt werden knnen, mssen auch damit gekoppelte Arbeitsplatz-Rechner
und hier vor allem die Synchronisationsschnittstelle sicher konfiguriert sein. Geeignete IT-Sicher-
heitsempfehlungen fr Standard-Arbeitsplatz-PCs sind in den Bausteinen des Kapitels 5 beschrieben.
Nachfolgend wird das Manahmenbndel fr den Einsatz von PDAs vorgestellt.
Infrastruktur:
- M 1.33 (1) Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz
Organisation:
- M 2.218 (2) Regelung der Mitnahme von Datentrgern und IT-Komponenten
- M 2.303 (1) Festlegung einer Strategie fr den Einsatz von PDAs
- M 2.304 (1) Sicherheitsrichtlinien und Regelungen fr die PDA-Nutzung
- M 2.305 (3) Geeignete Auswahl von PDAs
- M 2.306 (3) Verlustmeldung
Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.31 (2) Sicherstellung der Energieversorgung im mobilen Einsatz
- M 4.228 (1) Nutzung der Sicherheitsmechanismen von PDAs
- M 4.229 (3) Sicherer Betrieb von PDAs
- M 4.230 (3) Zentrale Administration von PDAs
- M 4.231 (3) Einsatz zustzlicher Sicherheitswerkzeuge fr PDAs
- M 4.232 (3) Sichere Nutzung von Zusatzspeicherkarten
Kommunikation:
- M 5.121 (2) Sichere Kommunikation von unterwegs
Notfallvorsorge:
- M 6.95 (2) Ausfallvorsorge und Datensicherung bei PDAs
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 6. EL Stand 2004 268
Sonstige IT-Komponenten 9
_________________________________________________________________________________________
9 Sonstige IT-Komponenten
In diesem Kapitel werden IT-Grundschutzmanahmen in den nachfolgend aufgezhlten Bausteinen
vorgestellt.
9.1 Standardsoftware
9.2 Datenbanken
9.3 Telearbeit
9.4 Novell eDirectory
9.5 Archivierung
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 269
Standardsoftware 9.1
_________________________________________________________________________________________
9.1 Standardsoftware
Beschreibung
Unter Standardsoftware wird Software verstanden, die
auf dem Markt angeboten wird und im Allgemeinen ber
den Fachhandel, z. B. ber Kataloge, erworben werden
kann. Sie zeichnet sich dadurch aus, dass sie vom
Anwender selbst installiert werden soll und dass nur
geringer Aufwand fr die anwenderspezifische
Anpassung notwendig ist.
In diesem Kapitel wird eine Vorgehensweise fr den
Umgang mit Standardsoftware unter Sicherheits-
gesichtspunkten dargestellt. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet:
Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe,
Installation, Lizenzverwaltung und Deinstallation.
Das Qualittsmanagementsystem des Entwicklers der Standardsoftware fllt nicht in den
Anwendungsbereich dieses Kapitels. Es wird vorausgesetzt, dass die Entwicklung der Software unter
Beachtung gngiger Qualittsstandards erfolgte.
Die beschriebene Vorgehensweise dient der Orientierung, um einen Sicherheitsprozess bezglich
Standardsoftware zu etablieren. Gegebenenfalls kann die hier aufgezeigte Vorgehensweise auch zum
Vergleich mit einem bereits eingefhrten Verfahren herangezogen werden.
Gefhrdungslage
Fr den IT-Grundschutz von "Standardsoftware" werden die folgenden typischen Gefhrdungen
betrachtet:
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.28 Verste gegen das Urheberrecht
- G 2.29 Softwaretest mit Produktionsdaten
Menschliche Fehlhandlungen:
- G 3.3 Nichtbeachtung von IT-Sicherheitsmanahmen
- G 3.38 Konfigurations- und Bedienungsfehler
Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.22 Software-Schwachstellen oder -Fehler
Vorstzliche Handlungen:
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.43 Makro-Viren
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 270
Standardsoftware 9.1
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Nachfolgend wird das Manahmenbndel fr den Baustein "Standardsoftware" vorgestellt. Je nach
Art und Umfang der jeweiligen Standardsoftware muss erwogen werden, ob einzelne Manahmen nur
reduziert umgesetzt werden. Die Manahmen M 2.79 bis M 2.89 stellen in der angegebenen
Reihenfolge eine umfassende Beschreibung dar, wie der Lebenszyklus von Standardsoftware gestaltet
werden kann. Sie werden durch die anderen genannten Manahmen ergnzt.
Organisation:
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.10 (2) berprfung des Hard- und Software-Bestandes
- M 2.35 (1) Informationsbeschaffung ber Sicherheitslcken des Systems
- M 2.40 (2) Rechtzeitige Beteiligung des Personal-/Betriebsrates
- M 2.66 (2) Beachtung des Beitrags der Zertifizierung fr die Beschaffung
- M 2.79 (1) Festlegung der Verantwortlichkeiten im Bereich Standardsoftware
- M 2.80 (1) Erstellung eines Anforderungskatalogs fr Standardsoftware
- M 2.81 (1) Vorauswahl eines geeigneten Standardsoftwareproduktes
- M 2.82 (1) Entwicklung eines Testplans fr Standardsoftware
- M 2.83 (1) Testen von Standardsoftware
- M 2.84 (1) Entscheidung und Entwicklung der Installationsanweisung fr Standardsoftware
- M 2.85 (1) Freigabe von Standardsoftware
- M 2.86 (2) Sicherstellen der Integritt von Standardsoftware
- M 2.87 (2) Installation und Konfiguration von Standardsoftware
- M 2.88 (2) Lizenzverwaltung und Versionskontrolle von Standardsoftware
- M 2.89 (3) Deinstallation von Standardsoftware
- M 2.90 (2) berprfung der Lieferung
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
Hardware/Software:
- M 4.34 (2) Einsatz von Verschlsselung, Checksummen oder Digitalen Signaturen (optional)
- M 4.78 (2) Sorgfltige Durchfhrung von Konfigurationsnderungen
Notfallvorsorge:
- M 6.21 (3) Sicherungskopie der eingesetzten Software (optional)
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 271
Datenbanken 9.2
_________________________________________________________________________________________
9.2 Datenbanken
Beschreibung
Datenbanksysteme (DBS) sind ein weithin akzeptiertes
Hilfsmittel zur rechnergesttzten Organisation, Erzeu-
gung, Manipulation und Verwaltung groer Datensamm-
lungen. Ein DBS besteht aus dem so genannten Daten-
bankmanagement-System (DBMS) und einer gewissen
Anzahl von Datenbanken. Eine Datenbank ist eine
Sammlung von Daten, welche Fakten ber eine spezielle
Anwendung der realen Welt reprsentiert. Das DBMS
fungiert dabei als Schnittstelle zwischen den Benutzern
und einer Datenbank. Es stellt sicher, dass die Benutzer
auf ihre Daten effizient und unter zentralisierter Kontrolle zugreifen knnen, und dass die Daten
dauerhaft vorhanden sind.
Der Einsatz von Datenbankmanagement-Systemen in der IT ist inzwischen nicht mehr wegzudenken.
Die Flut von Daten, die erfasst, verarbeitet und ausgewertet werden mssen, kann ohne ein DBMS
nicht mehr bewltigt werden. Die Konzeption einer Datenbank und eines DBMS basiert auf einem so
genannten Datenbankmodell. Nachfolgend werden die wichtigsten Datenbankmodelle kurz
beschrieben:
Hierarchisches Datenbankmodell
Es ist die lteste existierende Variante und wird auch als Datenbankmodell der ersten Generation
bezeichnet. Die Organisation der Datenbank erfolgt in Form einer Baumstruktur. Die Knoten bzw.
Bltter einer solchen Struktur sind Dateien. Ein Knoten/Blatt hat genau einen Vorgnger. Der Zugriff
auf die Daten erfolgt immer sequentiell. Die Zugriffspfade sind durch die Baumstruktur (bzw. Datei-
struktur) festgelegt.
Relationales Datenbankmodell
Das relationale Datenbankmodell basiert auf einer strikten Trennung von Daten und Zugriffsmglich-
keiten. Die Daten werden in Form von Tabellen abgelegt, wobei eine Zeile einem Datensatz entspricht
(dieser wird Tupel genannt) und eine Spalte einem Attribut des Datensatzes. Tupel knnen nun mit
anderen Tupeln aus anderen Tabellen in einer Beziehung stehen, was durch entsprechende Relationen
gekennzeichnet wird. Im Gegensatz zum hierarchischen sind dem relationalen Datenbankmodell keine
Grenzen hinsichtlich der Zugriffsmglichkeiten auf Daten gesetzt.
Die in allen relationalen Datenbanksystemen zur Verfgung stehende Datenbanksprache ist SQL
(Standard Query Language), die durch die ISO standardisiert ist.
Objektorientiertes Datenbankmodell
Objektorientierte Datenbankmodelle stellen eine Erweiterung klassischer Datenbankmodelle dar und
verwenden einen objektorientierten (OO) Ansatz. Dieser zeichnet sich dadurch aus, dass Objekte mit
hnlichen Eigenschaften zu Klassen zusammengefasst und diese wiederum zu Klassenhierarchien
gruppiert werden knnen. Nur definierte Methoden knnen die Objekte verndern, und der Mecha-
nismus der Vererbung von Methoden und Attributen ist dabei ein zentraler Punkt des OO-Ansatzes.
Weiterhin sind neben den Standarddatentypen wie z. B. "Integer" oder "Character" auch Typkonstruk-
tore mglich, so dass komplexe Werte definiert werden knnen.
Dieses Kapitel bercksichtigt ausschlielich Datenbanken, die auf dem relationalen Datenbankmodell
basieren, da dies das derzeit am meisten verbreitete Datenbankmodell ist.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 272
Datenbanken 9.2
_________________________________________________________________________________________
Ein Datenbanksystem steht im allgemeinen nicht nur einem Benutzer exklusiv zur Verfgung, sondern
es muss die parallele Verarbeitung verschiedener Benutzerauftrge (so genannte Transaktionen)
ermglichen und dabei einen gewissen Grad an Fehlertoleranz gewhrleisten. Wesentlich dafr ist die
Einhaltung der folgenden vier Eigenschaften, die unter dem ACID-Prinzip bekannt sind:
- Atomaritt (Atomicity)
Eine Transaktion wird aus der Sicht des Benutzers nur vollstndig oder gar nicht ausgefhrt. Sollte
es bei der Ausfhrung zu einem Fehler bzw. Abbruch kommen, werden alle bereits gettigten
nderungen an der Datenbank wieder zurckgenommen. Dies wird durch geeignete Recovery-
Mechanismen des Datenbanksystems sichergestellt.
- Konsistenz (Consistency)
Alle Integrittsbedingungen der Datenbank werden eingehalten, d. h. eine Transaktion berfhrt
eine Datenbank immer von einem konsistenten Zustand in einen anderen konsistenten Zustand.
Dies kann u. a. durch eine geeignete Synchronisationskontrolle des Datenbanksystems gewhr-
leistet werden.
- Isolation (Isolation)
Jede Transaktion luft isoliert von anderen Transaktionen ab und ist in jeder Hinsicht unabhngig
von anderen. Dazu gehrt auch, dass jeder Transaktion nur diejenigen Daten aus der Datenbank zur
Verfgung gestellt werden, die Teil eines konsistenten Zustands sind.
- Persistenz (Durability)
Falls eine Transaktion erfolgreich beendet und dies dem Benutzer auch gemeldet wurde, berleben
die in der Datenbank erzeugten Effekte (falls es solche gibt) jeden danach auftretenden Hard- oder
Softwarefehler (es sei denn, die Festplatte mit der Datenbank wird zerstrt).
Diese Eigenschaften muss das Transaktionssystem des DBMS gewhrleisten, was mittlerweile bis auf
wenige Ausnahmen von allen kommerziellen DBMSen erfllt wird.
Datenbanksysteme stellen Standardsoftware dar, d. h. sie werden von den unterschiedlichsten Herstel-
lern auf dem Markt angeboten. Soll eine Datenbank zur Verarbeitung von Daten eingesetzt werden, so
ist im ersten Schritt eine geeignete Standardsoftware auszuwhlen. Die zugehrigen Gefhrdungen
und Manahmen aus dem Kapitel 9.1 Standardsoftware sind deshalb zustzlich zu beachten.
Datenbanken knnen nicht losgelst von der Umgebung betrachtet werden, in der sie eingesetzt
werden. Ein Stand-alone PC ist ebenso denkbar, wie ein Grorechnerumfeld oder vernetzte Unix-
Systeme. Dementsprechend sind in Abhngigkeit des Einsatzumfeldes die Gefhrdungen und
Manahmen der Kapitel 5 Nicht Vernetzte Systeme, Kapitel 6 Vernetzte Systeme und Kapitel 7
Datenbertragungseinrichtungen zu bercksichtigen. Auf eine Wiederholung von Gefhrdungen und
Manahmen dieser Kapitel wird hier aus Redundanzgrnden verzichtet, es sei denn, sie sind von
besonderer Wichtigkeit.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 273
Datenbanken 9.2
_________________________________________________________________________________________
Gefhrdungslage
Fr den IT- Grundschutz von Datenbanken werden die folgenden Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
Organisatorische Mngel:
- G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
- G 2.22 Fehlende Auswertung von Protokolldaten
- G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
- G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen
- G 2.39 Komplexitt eines DBMS
- G 2.40 Komplexitt des Datenbankzugangs/-zugriffs
- G 2.41 Mangelhafte Organisation des Wechsels von Datenbank-Benutzern
- G 2.57 Nicht ausreichende Speichermedien fr den Notfall
Menschliche Fehlhandlungen:
- G 3.6 Gefhrdung durch Reinigungs- oder Fremdpersonal
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.23 Fehlerhafte Administration eines DBMS
- G 3.24 Unbeabsichtigte Datenmanipulation
Technisches Versagen:
- G 4.26 Ausfall einer Datenbank
- G 4.27 Unterlaufen von Zugriffskontrollen ber ODBC
- G 4.28 Verlust von Daten einer Datenbank
- G 4.29 Datenverlust einer Datenbank bei erschpftem Speichermedium
- G 4.30 Verlust der Datenbankintegritt/-konsistenz
Vorstzliche Handlungen:
- G 5.9 Unberechtigte IT-Nutzung
- G 5.10 Missbrauch von Fernwartungszugngen
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.64 Manipulation an Daten oder Software bei Datenbanksystemen
- G 5.65 Verhinderung der Dienste eines Datenbanksystems
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben umzusetzen.
Es ist sinnvoll, den Datenbank-Server in einem separaten Serverraum aufzustellen. Zu realisierende
Manahmen sind in Kapitel 4.3.2 beschrieben. Sollte ein als Bro genutzter Raum gleichzeitig als
Serverraum dienen mssen, so sind zustzlich die in Kapitel 4.3.1 beschriebenen Manahmen zu
realisieren.
Wird der Datenbank-Server in einem Schutzschrank aufgestellt, ist auch das Kapitel 4.4 Schutz-
schrnke zu beachten.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 274
Datenbanken 9.2
_________________________________________________________________________________________
Darber hinaus sind im Bereich Datenbanken im wesentlichen die folgenden Schritte durchzufhren:
1. Anforderungen an die Datenbank-Software ermitteln
Zu Beginn muss ein Anforderungskatalog fr Standardsoftware erstellt werden, so dass eine geeig-
nete Datenbank-Software ausgewhlt werden kann (M 2.80 und M 2.124).
2. Schulung der Administratoren
Bevor die Datenbank-Software produktiv eingesetzt werden kann, sollten die zustndigen
Administratoren zum Betrieb des Datenbanksystems geschult werden (M 3.11). Dies sollte nach
Mglichkeit bereits vor deren Beschaffung geschehen.
3. Erstellung eines Datenbankkonzeptes
Vor dem Einsatz der Datenbank-Software sollte ein Datenbankkonzept erstellt werden, welches
sowohl die Installation und Konfiguration der Datenbank-Software selbst, ein ausreichendes
Benutzerkonzept, als auch die anwendungsspezifische Datenbank beinhalten sollte. Je nach Volu-
men und Einsatzbereich der Datenbank, sowie der gewhlten Datenbank-Standardsoftware kann
ein solches Konzept sehr umfangreich sein (M 2.125, M 2.129, M 2.128 und M 2.126).
4. Betrieb der Datenbank
Die Inbetriebnahme und der eigentliche Betrieb des Datenbanksystems bedeuten neben der
Umsetzung des Konzeptes eine permanente Kontrolle des DBMS, um die Verfgbarkeit, die
Datenintegritt sowie den Schutz vertraulicher Daten sicherstellen zu knnen. Die hierfr
wichtigsten Manahmen betreffen die Punkte Dokumentation (M 2.25, M 2.31, M 2.34),
Administration (M 2.130, M 2.133 und die aufgefhrten Manahmen fr Hard- und Software)
sowie Nutzung der Datenbank (M 2.65, M 3.18).
5. Notfallvorsorge
Neben den allgemein zu diesem Komplex gehrenden Manahmen gilt es insbesondere, die daten-
bankspezifischen Gegebenheiten zu bercksichtigen, um bei einem System- respektive Daten-
bankcrash den Anforderungen hinsichtlich des verkraftbaren Datenverlusts sowie der Wiederan-
laufzeit der Datenbank zu gengen (M 6.32, M 6.49, M 6.50).
Nachfolgend wird das Manahmenbndel fr den Bereich Datenbanken vorgestellt.
Organisation:
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.25 (1) Dokumentation der Systemkonfiguration
- M 2.31 (1) Dokumentation der zugelassenen Benutzer und Rechteprofile
- M 2.34 (1) Dokumentation der Vernderungen an einem bestehenden System
- M 2.65 (2) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System
- M 2.80 (1) Erstellung eines Anforderungskatalogs fr Standardsoftware
- M 2.111 (2) Bereithalten von Handbchern
- M 2.124 (1) Geeignete Auswahl einer Datenbank-Software
- M 2.125 (1) Installation und Konfiguration einer Datenbank
- M 2.126 (1) Erstellung eines Datenbanksicherheitskonzeptes
- M 2.127 (2) Inferenzprvention
- M 2.128 (1) Zugangskontrolle einer Datenbank
- M 2.129 (1) Zugriffskontrolle einer Datenbank
- M 2.130 (1) Gewhrleistung der Datenbankintegritt
- M 2.131 (1) Aufteilung von Administrationsttigkeiten bei Datenbanksystemen
- M 2.132 (1) Regelung fr die Einrichtung von Datenbankbenutzern/-benutzergruppen
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 275
Datenbanken 9.2
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 276
Telearbeit 9.3
_________________________________________________________________________________________
9.3 Telearbeit
Beschreibung
Unter Telearbeit versteht man im allgemeinen
Ttigkeiten, die rumlich entfernt vom Standort des
Arbeit- bzw. Auftraggebers durchgefhrt werden, deren
Erledigung durch eine kommunikationstechnische
Anbindung an die IT des Arbeit- bzw. Auftraggebers
untersttzt wird.
Es gibt unterschiedliche Formen von Telearbeit wie z. B.
Telearbeit in Satellitenbros, Nachbarschaftsbros,
mobile Telearbeit sowie Telearbeit in der Wohnung des
Arbeitnehmers. Bei der letzteren unterscheidet man zwischen ausschlielicher Teleheimarbeit und
alternierender Telearbeit, d. h. der Arbeitnehmer arbeitet teilweise im Bro und teilweise zu Hause.
Dieses Kapitel konzentriert sich auf die Formen der Telearbeit, die teilweise oder ganz im huslichen
Umfeld durchgefhrt werden. Es wird davon ausgegangen, dass zwischen dem Arbeitsplatz zu Hause
und der Institution eine Telekommunikationsverbindung besteht, die den Austausch von Daten oder
ggf. auch den Zugriff auf Daten in der Institution ermglicht.
Die Manahmenempfehlungen dieses Kapitels umfassen vier verschiedene Bereiche:
- die Organisation der Telearbeit,
- den Telearbeitsrechner des Telearbeiters,
- die Kommunikationsverbindung zwischen Telearbeitsrechner und Institution und
- der Kommunikationsrechner der Institution zur Anbindung des Telearbeitsrechners.
Die in diesem Kapitel aufgefhrten Manahmenempfehlungen konzentrieren sich auf zustzliche
Sicherheitsanforderungen fr ein IT-System, das fr die Telearbeit eingesetzt wird. Insbesondere fr
die technischen Anteile der Telearbeit (Telearbeitsrechner, Kommunikationsverbindung und
Kommunikationsrechner) werden sicherheitstechnische Anforderungen formuliert, die bei der
konkreten Ausgestaltung durch geeignete IT-Systeme realisiert werden mssen. Fr das eingesetzte
IT-System muss weiterhin der entsprechende Baustein aus Kapitel 5 betrachtet werden sowie die in
Kapitel 4.5 fr den huslichen Arbeitsplatzes erforderlichen Manahmen.
Gefhrdungslage
Fr den IT-Grundschutz der Telearbeit werden folgende typische Gefhrdungen angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.5 Fehlende oder unzureichende Wartung
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 277
Telearbeit 9.3
_________________________________________________________________________________________
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel
("Bausteine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Eine ausreichend sichere Form der Telearbeit wird nur erreicht, wenn IT-Sicherheitsmanahmen aus
mehreren Bereichen ineinandergreifen und sich ergnzen. Wird einer dieser Bereiche vernachlssigt,
ist eine sichere Telearbeit nicht mehr mglich. Die einzelnen Bereiche und wesentlichen Manahmen
sind:
- Infrastrukturelle Sicherheit des Telearbeitsplatzes: Manahmen, die am Telearbeitsplatz zu
beachten sind, werden im Kapitel 4.5 Huslicher Arbeitsplatz beschrieben.
- Organisation der Telearbeit: sichere Telearbeit setzt organisatorische Regelungen und personelle
Manahmen voraus. Diese werden nachfolgend unter den Oberbegriffen "Organisation" und
_________________________________________________________________________________________
IT-Grundschutzhandbuch: Stand Juli 1999 278
Telearbeit 9.3
_________________________________________________________________________________________
"Personal" beschrieben. Besonders zu beachten sind die Verpflichtungen des Telearbeiters, seine
Einweisung und die Nutzungsregelungen der Kommunikation. Sie sind in den folgenden
Manahmen beschrieben
- M 2.113 (2) Regelungen fr Telearbeit
- M 2.116 (1) Geregelte Nutzung der Kommunikationsmglichkeiten
- M 2.117 (1) Regelung der Zugriffsmglichkeiten des Telearbeiters
- M 3.21 (1) Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters
- Sicherheit des Telearbeitsrechners: der Telearbeitsrechner muss so gestaltet sein, dass im
unsicheren Einsatzumfeld eine sichere Nutzung mglich ist. Insbesondere darf nur eine autorisierte
Person den Telearbeitsrechner offline und online nutzen knnen. Die notwendigen Manahmen
sind unter dem Oberbegriff "Hardware/Software" und "Notfallvorsorge" zusammengefasst. Dabei
sind insbesondere die Sicherheitsanforderungen aus M 4.63 Sicherheitstechnische Anforderungen
an den Telearbeitsrechner zu beachten.
- Sichere Kommunikation zwischen Telearbeitsrechner und Institution: da die Kommunikation ber
ffentliche Netze ausgefhrt wird, sind besondere Sicherheitsanforderungen fr die
Kommunikation zwischen Telearbeitsrechner und Institution zu erfllen. Sie sind in M 5.51
Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner -
Institution beschrieben. Fr die Anbindung des Telearbeitsrechners ber das ffentliche Netz ist
Kapitel 8.4 LAN-Anbindung eines IT-Systems ber ISDN zu beachten. Fr die Anbindung des
Telearbeitsrechners ber einen Remote-Access-Service (RAS) ist Kapitel 7.6 Remote Access zu
beachten.
- Sicherheit des Kommunikationsrechners der Institution: dieser Rechner stellt eine quasi ffentlich
zugngliche Schnittstelle dar, ber die der Telearbeiter die IT und die Daten der Institution nutzen
kann. Da hier ein Missbrauch durch Dritte verhindert werden muss, sind besondere
Sicherheitsanforderungen zu erfllen, die in M 5.52 Sicherheitstechnische Anforderungen an den
Kommunikationsrechner beschrieben sind.
Nachfolgend wird das Manahmenbndel fr den Bereich "Telearbeit" vorgestellt.
Organisation:
- M 2.9 (2) Nutzungsverbot nicht freigegebener Hard- und Software
- M 2.22 (2) Hinterlegen des Passwortes
- M 2.23 (3) Herausgabe einer PC-Richtlinie (optional)
- M 2.64 (2) Kontrolle der Protokolldateien
- M 2.113 (2) Regelungen fr Telearbeit
- M 2.114 (2) Informationsfluss zwischen Telearbeiter und Institution
- M 2.115 (2) Betreuungs- und Wartungskonzept fr Telearbeitspltze
- M 2.116 (1) Geregelte Nutzung der Kommunikationsmglichkeiten
- M 2.117 (1) Regelung der Zugriffsmglichkeiten des Telearbeiters
- M 2.205 (1) bertragung und Abruf personenbezogener Daten
- M 2.241 (1) Durchfhrung einer Anforderungsanalyse fr den Telearbeitsplatz
Personal:
- M 3.4 (1) Schulung vor Programmnutzung
- M 3.5 (1) Schulung zu IT-Sicherheitsmanahmen
- M 3.21 (1) Sicherheitstechnische Einweisung und Fortbildung des Telearbeiters
- M 3.22 (2) Vertretungsregelung fr Telearbeit
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 279
Telearbeit 9.3
_________________________________________________________________________________________
Hardware/Software:
- M 4.3 (2) Regelmiger Einsatz eines Viren-Suchprogramms
- M 4.30 (2) Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen
- M 4.33 (1) Einsatz eines Viren-Suchprogramms bei Datentrgeraustausch und
Datenbertragung
- M 4.44 (2) Prfung eingehender Dateien auf Makro-Viren
- M 4.63 (1) Sicherheitstechnische Anforderungen an den Telearbeitsrechner
Kommunikation:
- M 5.51 (1) Sicherheitstechnische Anforderungen an die Kommunikationsverbindung
Telearbeitsrechner - Institution
- M 5.52 (1) Sicherheitstechnische Anforderungen an den Kommunikationsrechner
- M 5.68 (2) Einsatz von Verschlsselungsverfahren zur Netzkommunikation
Notfallvorsorge:
- M 6.13 (2) Erstellung eines Datensicherungsplans
- M 6.22 (2) Sporadische berprfung auf Wiederherstellbarkeit von Datensicherungen
- M 6.23 (2) Verhaltensregeln bei Auftreten eines Computer-Virus
- M 6.32 (1) Regelmige Datensicherung
- M 6.38 (2) Sicherungskopie der bermittelten Daten
- M 6.47 (2) Aufbewahrung der Backup-Datentrger fr Telearbeit
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 280
Novell eDirectory 9.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 281
Novell eDirectory 9.4
_________________________________________________________________________________________
Abbildung: Architekturskizze
Weiterhin bietet die eDirectory-Software eine Vielzahl von Tools, unter anderem den iMonitor, der
berwachungs- und Diagnosemglichkeiten ber die Server eines Verzeichnisdienstes von einem
Web-Browser aus zur Verfgung stellt.
Gefhrdungslage
Aufgrund der Vielzahl an Funktionen und der Komplexitt der Software ist ein eDirectory-Verzeich-
nisdienst einer Reihe von Gefhrdungen ausgesetzt. Hinzu kommen die Gefhrdungen, die das einge-
setzte Betriebssystem betreffen, insbesondere den allgemeinen Serverzugriff und das Dateisystem.
Fr den IT-Grundschutz eines Novell eDirectory-Systems werden folgende typische Gefhrdungen
angenommen:
Hhere Gewalt:
- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems
Organisatorische Mngel:
- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis ber Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmanahmen
- G 2.7 Unerlaubte Ausbung von Rechten
- G 2.19 Unzureichendes Schlsselmanagement bei Verschlsselung
- G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen
- G 2.40 Komplexitt des Datenbankzugangs/-zugriffs
- G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory
- G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im
Novell eDirectory
- G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 282
Novell eDirectory 9.4
_________________________________________________________________________________________
Menschliche Fehlhandlungen:
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.13 bertragung falscher oder nicht gewnschter Datenstze
- G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten
- G 3.33 Fehlbedienung von Kryptomodulen
- G 3.34 Ungeeignete Konfiguration des Managementsystems
- G 3.35 Server im laufenden Betrieb ausschalten
- G 3.36 Fehlinterpretation von Ereignissen
- G 3.38 Konfigurations- und Bedienungsfehler
- G 3.43 Ungeeigneter Umgang mit Passwrtern
- G 3.50 Fehlkonfiguration von Novell eDirectory
- G 3.51 Falsche Vergabe von Zugriffsrechten im Novell eDirectory
- G 3.52 Fehlkonfiguration des Intranet-Clientzugriffs auf Novell eDirectory
- G 3.53 Fehlkonfiguration des LDAP-Zugriffs auf Novell eDirectory
Technisches Versagen:
- G 4.8 Bekanntwerden von Softwareschwachstellen
- G 4.10 Komplexitt der Zugangsmglichkeiten zu vernetzten IT-Systemen
- G 4.13 Verlust gespeicherter Daten
- G 4.33 Schlechte oder fehlende Authentikation
- G 4.34 Ausfall eines Kryptomoduls
- G 4.35 Unsichere kryptographische Algorithmen
- G 4.39 Software-Konzeptionsfehler
- G 4.44 Ausfall von Novell eDirectory
Vorstzliche Handlungen:
- G 5.16 Gefhrdung bei Wartungs-/Administrierungsarbeiten durch internes Personal
- G 5.17 Gefhrdung bei Wartungsarbeiten durch externes Personal
- G 5.18 Systematisches Ausprobieren von Passwrtern
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.64 Manipulation an Daten oder Software bei Datenbanksystemen
- G 5.65 Verhinderung der Dienste eines Datenbanksystems
- G 5.78 DNS-Spoofing
- G 5.81 Unautorisierte Benutzung eines Kryptomoduls
- G 5.82 Manipulation eines Kryptomoduls
- G 5.83 Kompromittierung kryptographischer Schlssel
Manahmenempfehlungen
Zur Umsetzung des IT-Grundschutzes wird empfohlen, die dazu notwendigen Manahmenbndel
gem den Kapiteln 2.3 und 2.4 durchzufhren.
Fr den Einsatz der eDirectory-Komponenten sollte bereits bei der Planung ein spezifisches IT-Sicher-
heitskonzept erstellt werden, welches sich konsistent in das bestehende organisationsweite IT-Sicher-
heitskonzept integrieren lsst. Das eDirectory-System muss so konfiguriert werden, dass bereits beste-
hende Sicherheitsanforderungen umgesetzt werden, und hat darber hinaus weitere, eDirectory-spezi-
fische Anforderungen durchzusetzen.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 283
Novell eDirectory 9.4
_________________________________________________________________________________________
Ein eDirectory-System wird in der Regel im Umfeld mit weiteren Systemen eingesetzt, welche den
Zugriff auf das interne Netz von auen kontrollieren. Hierbei sind insbesondere Firewall-Systeme und
Systeme zur Fernwartung zu nennen, mit denen eDirectory zusammenarbeiten muss. Aus diesem
Grund sind bei der Durchfhrung der eDirectory-spezifischen Manahmen stets auch die entsprechen-
den Manahmen aus den jeweiligen Bausteinen zustzlich betroffener Systeme mit zu bercksichti-
gen. Neben den Bausteinen aus den Kapiteln 5 und 6 sind u. a. auch die folgenden Bausteine zu
nennen:
- 7.3 Firewall, sofern eDirectory-Systeme in einer Firewall-Umgebung eingesetzt werden
- 7.6 Remote Access , wenn der Zugriff auf das eDirectory-System ber Einwahlleitungen erfolgt
- 9.2 Datenbanken allgemein
Fr die sichere Implementierung eines eDirectory-Systems sind eine Reihe von Manahmen umzu-
setzen, beginnend mit der Planung ber die Installation bis hin zum Betrieb. Die einzelnen Schritte
sowie die jeweiligen Manahmen, die auf diesem Weg zu beachten sind, sind nachstehend zusammen-
gefasst:
1. Nach der Entscheidung, eDirectory als Verzeichnissystem einzusetzen, muss Software und eventu-
ell zustzlich bentigte Hardware beschafft werden. Da eDirectory verschiedene Einsatzmglich-
keiten zulsst (siehe oben), hngt die gegebenenfalls zu beschaffende Hardware von den geplanten
Einsatzszenarien ab. Daher sind folgende Manahmen zu ergreifen:
- Zunchst muss der Einsatz des eDirectory-Systems geplant werden (siehe Manahmen
M 2.236 Planung des Einsatzes von Novell eDirectory und M 2.237 Planung der
Partitionierung und Replikation im Novell eDirectory).
- Parallel dazu ist eine Sicherheitsrichtlinie zu erarbeiten (siehe Manahme M 2.238
Festlegung einer Sicherheitsrichtlinie fr Novell eDirectory), die einerseits bereits
bestehende IT-Sicherheitsrichtlinien im Kontext von eDirectory umsetzt und gleichzeitig
eDirectory-spezifische Ergnzungen konsistent definiert.
- Vor der tatschlichen Verwendung des eDirectory-Systems im Regelbetrieb mssen die
Benutzer und Administratoren auf den Umgang mit dem Produkt geschult werden.
Insbesondere fr Administratoren empfiehlt sich eine intensive Beschftigung mit der
Materie, die auf einen umfassenden Kenntnisstand bezglich der Sicherheit der eingesetzten
Betriebssysteme aufsetzen sollte (siehe M 3.29 Schulung zur Administration von Novell
eDirectory ). Benutzern sollten die verfgbaren Sicherheitsmechanismen der eingesetzten
Clients detailliert vermittelt werden (siehe M 3.30 Schulung zum Einsatz von Novell
eDirectory Clientsoftware).
2. Nachdem die organisatorischen und planerischen Vorbereitungen durchgefhrt wurden, kann die
Installation des eDirectory-Systems erfolgen. Folgende Manahmen sind dabei zu ergreifen:
- Die Installation kann erst dann als abgeschlossen angesehen werden, wenn die eDirectory-
Systeme in einen sicheren Zustand berfhrt wurden ( M 4.153 Sichere Installation von
Novell eDirectory und siehe M 4.154 Sichere Installation der Novell eDirectory
Clientsoftware). Dadurch wird sichergestellt, dass in der anschlieenden
Konfigurationsphase nur berechtigte Administratoren auf das eDirectory-System zugreifen
knnen.
- Nach der "Rohinstallation" erfolgt eine erstmalige Konfiguration des eDirectory-Systems,
siehe M 4.155 Sichere Konfiguration von Novell eDirectory , M 4.156 Sichere Konfiguration
der Novell eDirectory Clientsoftware, M 4.157 Einrichten von Zugriffsberechtigungen auf
Novell eDirectory sowie M 4.158 Einrichten des LDAP-Zugriffs auf Novell eDirectory.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 284
Novell eDirectory 9.4
_________________________________________________________________________________________
3. Nach der Konfiguration und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Dabei
sind unter Sicherheitsgesichtspunkten folgende Aspekte zu beachten:
- Ein eDirectory-System ist in der Regel kontinuierlichen Vernderungen unterworfen.
Entsprechend mssen die sicherheitsrelevanten Konfigurationsparameter stndig angepasst
werden. Weiterhin hngt die Sicherheit bei einer verteilten Softwarearchitektur von der
Sicherheit smtlicher Teilsysteme ab. Dies gilt insbesondere fr die eDirectory-
Clientsoftware. Die fr den sicheren Betrieb relevanten Manahmen sind in M 4.159
Sicherer Betrieb von Novell eDirectory und M 4.160 berwachen von Novell eDirectory
sowie der Manahme zur Kommunikationssicherung (siehe M 5.97 Absicherung der
Kommunikation mit Novell eDirectory) zusammengefasst.
- Neben den Manahmen zur Absicherung des laufenden Betriebs sind auch die Manahmen
zur Notfallvorsorge von zentraler Bedeutung. Hinweise zu diesem Thema finden sich in
M 6.80 Erstellen eines Notfallplans fr den Ausfall eines Novell eDirectory
Verzeichnisdienstes sowie M 6.81 Erstellen von Datensicherungen fr Novell eDirectory.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 285
Novell eDirectory 9.4
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 286
Archivierung 9.5
_________________________________________________________________________________________
9.5 Archivierung
Beschreibung
Die Abbildung von Geschftsprozessen und -unterlagen
in elektronische Dokumente erfordert eine geeignete Ab-
lage der entstehenden Daten fr die sptere Verwendung,
deren Wiederfinden und Aufbereitung. Dies betrifft so-
wohl Datenstze als auch elektronische Reprsentationen
papierner Geschftsdokumente und Belege. Die dauer-
hafte und unvernderbare Speicherung von elektro-
nischen Dokumenten und anderen Daten wird als Archi-
vierung bezeichnet.
Die Archivierung ist als Teil eines
Dokumentenmanagement-Prozesses zu sehen. Neben der Erzeugung, Bearbeitung und Verwaltung
elektronischer Dokumente spielt die dauerhafte Speicherung (Archivierung) eine besondere Rolle,
denn es wird blicherweise erwartet, dass einerseits die Dokumente bis zum Ablauf einer
vorgegebenen Aufbewahrungsfrist verfgbar sind und andererseits deren Vertraulichkeit- und
Integritt gewahrt bleibt. Unter Umstnden sollen elektronische Dokumente zeitlich unbegrenzt
verfgbar sein.
Die technische Ausgestaltung dieses Prozesses erfolgt ber Dokumentenmanagement- und Archiv-
systeme (siehe Abbildung). In diesem Baustein werden ausschlielich elektronische Archivsysteme
betrachtet.
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 287
Archivierung 9.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 288
Archivierung 9.5
_________________________________________________________________________________________
Technisches Versagen:
- G 4.7 Defekte Datentrger
- G 4.13 Verlust gespeicherter Daten
- G 4.20 Datenverlust bei erschpftem Speichermedium
- G 4.26 Ausfall einer Datenbank
- G 4.30 Verlust der Datenbankintegritt/-konsistenz
- G 4.31 Ausfall oder Strung von Netzkomponenten
- G 4.45 Verzgerte Archivauskunft
- G 4.46 Fehlerhafte Synchronisierung von Indexdaten bei der Archivierung
- G 4.47 Veralten von Kryptoverfahren
Vorstzliche Handlungen:
- G 5.2 Manipulation an Daten oder Software
- G 5.6 Anschlag
- G 5.29 Unberechtigtes Kopieren der Datentrger
- G 5.82 Manipulation eines Kryptomoduls
- G 5.83 Kompromittierung kryptographischer Schlssel
- G 5.85 Integrittsverlust schtzenswerter Informationen
- G 5.102 Sabotage
- G 5.105 Verhinderung der Dienste von Archivsystemen
- G 5.106 Unberechtigtes berschreiben oder Lschen von Archivmedien
Manahmenempfehlungen
Zur Realisierung des IT-Grundschutzes wird empfohlen, die notwendigen Manahmenbndel ("Bau-
steine") wie in Kapitel 2.3 und 2.4 beschrieben auszuwhlen.
Darber hinaus wird die im Folgenden beschriebene Vorgehensweise fr die Einfhrung und den Be-
trieb von elektronischen Archivsystemen empfohlen. Bereits bei der Planung ist zu bercksichtigen,
dass die eingesetzten Archivsysteme und -medien im Lauf der Zeit technologisch und physikalisch
veralten werden. Daher schliet sich an eine Planungs- und Einfhrungs-/Betriebsphase eine Migrati-
onsphase an, in der das bestehende Archivsystem oder Teile davon durch neue Technologien und
Komponenten ersetzt werden. Die Migrationsphase umfasst auch die bertragung der archivierten
Daten und Dokumente in zuknftig verwendete Datenformate.
Die einzelnen Phasen und die darin umzusetzenden Manahmen sind nachfolgend kurz erlutert.
1. Planungsphase
In der Planungsphase muss die Zielsetzung , die mit dem Einsatz des Archivsystems verbunden ist,
formuliert werden (siehe M 2.242 Zielsetzung der elektronischen Archivierung). Hierbei mssen die
relevanten organisatorischen, rechtlichen und technischen Anforderungen ermittelt werden, wobei
auch abgeschtzt werden muss, wie sich die Anforderungen whrend der erwarteten Laufzeit des ein-
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 289
Archivierung 9.5
_________________________________________________________________________________________
zufhrenden Archivsystems entwickeln werden (siehe M 2.244, M 2.245 und M 2.246). Die Ergeb-
nisse mssen in einem Archivierungskonzept niedergelegt werden (siehe M 2.243).
2. Einfhrung und Betrieb
Bei der Einfhrung eines Archivsystems ist zunchst ein System auszuwhlen, das den ermittelten
Anforderungen gengt. Darber hinaus sind der Aufstellungsort des Systems sowie der Lagerungsort
der Archivmedien festzulegen (siehe M 4.168, M 4.169, M 4.170, M 1.59, M 1.60).
Neben dem Archivsystem als solches muss ein geeignetes bergeordnetes Dokumentenmanagement-
System zur Verwaltung der Inhalte des Archivs eingefhrt werden (siehe M 2.258, M 2.259).
Es mssen die Regelungen fr die Nutzung des Archivsystems sowie den Einsatz digitaler Signaturen
festgelegt und die Administratoren und Benutzer geschult werden (siehe M 2.262, M 2.265, M 3.34,
M 3.35).
Um die Ordnungsmigkeit langfristig sicherstellen zu knnen, ist der Archivierungsprozess kontinu-
ierlich zu berwachen und auf Korrektheit zu prfen. Darber hinaus ist sicherzustellen, dass zu jedem
Zeitpunkt gengend Medien zur Archivierung verfgbar sind (siehe M 2.257, M 2.260 M 2.263,
M 4.171, M 4.172, M 4.173, M 6.84).
In Abhngigkeit der konkret eingesetzten Archivsoftware mssen auch die in Baustein 9.2 Datenban-
ken beschriebenen Manahmen umgesetzt werden.
3. Migrationsphase
Die Migrationsphase wird hufig durch Ereignisse wie die folgenden ausgelst:
- Bei Systemkomponenten oder Datenformaten hat ein Technologiewechsel stattgefunden, daher
sollten die Entwicklungen in diesem Bereich beobachtet werden (siehe M 2.261 Regelmige
Marktbeobachtung von Archivsystemen).
- Systemkomponenten, insbesondere Datentrger, sind beraltert und mssen durch neue ersetzt
werden (siehe M 2.266 Regelmige Erneuerung technischer Archivsystem-Komponenten).
- Die Nutzungskriterien fr das Archivsystem haben sich gendert.
- Kryptographische Verfahren, Produkte bzw. Schlssel mssen durch neue abgelst werden (siehe
M 2.264 Regelmige Aufbereitung von verschlsselten Daten bei der Archivierung).
Nachfolgend wird das Manahmenbndel fr den Einsatz elektronischer Archivsysteme vorgestellt:
Infrastruktur:
- M 1.59 (1) Geeignete Aufstellung von Archivsystemen
- M 1.60 (1) Geeignete Lagerung von Archivmedien
Organisation:
- M 2.4 (1) Regelungen fr Wartungs- und Reparaturarbeiten
- M 2.13 (1) Ordnungsgeme Entsorgung von schtzenswerten Betriebsmitteln
- M 2.242 (1) Zielsetzung der elektronischen Archivierung
- M 2.243 (1) Entwicklung des Archivierungskonzepts
- M 2.244 (1) Ermittlung der technischen Einflussfaktoren fr die elekronische Archivierung
- M 2.245 (1) Ermittlung der rechtlichen Einflussfaktoren fr die elektronische Archivierung
- M 2.246 (1) Ermittlung der organisatorischen Einflussfaktoren fr die elektronische Archi-
vierung
- M 2.257 (1) berwachung der Speicherressourcen von Archivmedien
- M 2.258 (1) Konsistente Indizierung von Dokumenten bei der Archivierung
- M 2.259 (1) Einfhrung eines bergeordneten Dokumentenmanagements
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 290
Archivierung 9.5
_________________________________________________________________________________________
_________________________________________________________________________________________
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 291
Gefhrdungskatalog Hhere Gewalt G1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 292
Gefhrdungskatalog Hhere Gewalt G 1.1 Bemerkungen
___________________________________________________________________ ..........................................
G 1.1 Personalausfall
Durch Krankheit, Unfall, Tod oder Streik kann ein nicht vorhersehbarer
Personalausfall entstehen. Desweiteren ist auch der Personalausfall bei einer
regulren Beendigung des Arbeitsverhltnisses zu bercksichtigen,
insbesondere wenn die Restarbeitszeit z. B. durch einen Urlaubsanspruch
verkrzt wird.
In allen Fllen kann die Konsequenz sein, dass entscheidende Aufgaben auf- Schlsselstellung im
IT-Bereich
grund des Personalausfalls im IT-Einsatz nicht mehr wahrgenommen werden.
Dies ist besonders dann kritisch, wenn die betroffene Person im IT-Bereich
eine Schlsselstellung einnimmt und aufgrund fehlenden Fachwissens anderer
nicht ersetzt werden kann. Strungen des IT-Betriebs knnen die Folge sein.
Ein Personalausfall kann zustzlich einen empfindlichen Verlust von Wissen Verlust von Wissen und
Geheimnissen
und Geheimnissen nach sich ziehen, der die nachtrgliche bertragung der
Ttigkeiten auf andere Personen unmglich macht.
Beispiele:
- Aufgrund lngerer Krankheit blieb der Netzadministrator vom Dienst fern.
In der betroffenen Firma lief das Netz zunchst fehlerfrei weiter. Nach
zwei Wochen jedoch war nach einem Systemabsturz niemand in der Lage,
den Fehler zu beheben. Dies fhrte zu einem Ausfall des Netzes ber
mehrere Tage.
- Whrend des Urlaubs des Administrators muss fr Datensicherungszwecke
auf die Backupbnder im Datensicherungstresor zurckgegriffen werden.
Der Zugangscode zum Tresor wurde erst krzlich gendert und ist nur dem
Administrator bekannt. Erst nach mehreren Tagen konnte die
Datenrestaurierung durchgefhrt werden, da der Aufenthaltsort des
Administrators zuerst ermittelt werden musste.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 293
Gefhrdungskatalog Hhere Gewalt G 1.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 294
Gefhrdungskatalog Hhere Gewalt G 1.3 Bemerkungen
___________________________________________________________________ ..........................................
G 1.3 Blitz
Der Blitz ist die wesentliche whrend eines Gewitters bestehende Gefhrdung Freisetzung elektrischer
fr ein Gebude und die darin befindliche Informationstechnik. Blitze errei- Energie
chen bei Spannungen von mehreren 100.000 Volt Strme bis zu 200.000
Ampere. Diese enorme elektrische Energie wird innerhalb von 50-100 Mikro-
sekunden freigesetzt und abgebaut. Ein Blitz mit diesen Werten, der in einem
Abstand von ca. 2 km einschlgt, verursacht auf elektrischen Leitungen im
Gebude immer noch Spannungsspitzen, die zur Zerstrung empfindlicher
elektronischer Gerte fhren knnen. Diese indirekten Schden nehmen mit
abnehmender Entfernung zu.
Schlgt der Blitz direkt in ein Gebude ein, werden durch die dynamische Gebudeschden
Energie des Blitzes Schden hervorgerufen. Dies knnen Beschdigungen des
Baukrpers (Dach und Fassade), Schden durch auftretende Brnde oder
berspannungsschden an elektrischen Gerten sein.
ber das regional unterschiedliche Blitzschlagrisiko erteilt der Deutsche
Wetterdienst entsprechende Ausknfte.
Beispiele:
- Auf einem deutschen Groflughafen schlug ein Blitz in unmittelbarer Nhe
neben dem Tower ein. Trotz der installierten ueren Blitzschutzanlage
(Blitzableiter) wurde die automatische Lschanlage im IT-Bereich ausge-
lst und dadurch der gesamte Flughafenbetrieb fr 2 Stunden lahmgelegt.
- Neben direkten Schden haben Blitzschlge auch oft weitreichendere
Folgen. Hufig finden sich Meldungen wie diese: Im April 1999 fhrte ein
Blitzeinschlag in eine Hochspannungsleitung im Raum Darmstadt zu
einem kurzzeitigen Stromausfall, von dem ca. 80.000 Personen betroffen
waren.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 295
Gefhrdungskatalog Hhere Gewalt G 1.4 Bemerkungen
___________________________________________________________________ ..........................................
G 1.4 Feuer
Neben direkten durch das Feuer verursachten Schden an einem Gebude oder
dessen Einrichtung lassen sich Folgeschden aufzeigen, die insbesondere fr
die Informationstechnik in ihrer Schadenswirkung ein katastrophales Ausma
erreichen knnen. Lschwasserschden treten beispielsweise nicht nur an der
Brandstelle auf. Sie knnen auch in tiefer liegenden Gebudeteilen entstehen.
Bei der Verbrennung von PVC entstehen Chlorgase, die zusammen mit der
Luftfeuchtigkeit und dem Lschwasser Salzsure bilden. Werden die Salzsu-
redmpfe ber die Klimaanlage verteilt, knnen auf diese Weise Schden an
empfindlichen elektronischen Gerten entstehen, die in einem vom Brandort
weit entfernten Teil des Gebudes stehen. Aber auch "normaler" Brandrauch
kann auf diesem Weg beschdigend auf die IT-Einrichtung einwirken.
Ein Brand entsteht nicht nur durch den fahrlssigen Umgang mit Feuer (z. B.
Adventskranz, Schwei- und Ltarbeiten), sondern auch durch unsachgeme
Benutzung elektrischer Einrichtungen (z. B. unbeaufsichtigte Kaffeemaschine,
berlastung von Mehrfachsteckdosen). Technische Defekte an elektrischen
Gerten knnen ebenfalls zu einem Brand fhren.
Die Ausbreitung eines Brandes kann unter anderem begnstigt werden durch:
- Aufhalten von Brandabschnittstren durch Keile,
- Unsachgeme Lagerung brennbarer Materialien,
- Nichtbeachtung der einschlgigen Normen und Vorschriften,
- Fehlen von Brandmeldeeinrichtungen,
- Fehlen von Handfeuerlschern bzw. automatische Lscheinrichtungen
- mangelhaft vorbeugenden Brandschutz (z. B. Fehlen von Brandabschot-
tungen auf Kabeltrassen).
Beispiele:
- Anfang der 90er Jahre erlitt im Frankfurter Raum ein Grorechenzentrum
einen katastrophalen Brandschaden, der zu einem kompletten Ausfall
fhrte.
- Immer wieder kommt es vor, dass elektrische Kleingerte wie z. B.
Kaffeemaschinen oder Halogenlampen unsachgem installiert sind oder
betrieben werden und dadurch Brnde verursachen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 296
Gefhrdungskatalog Hhere Gewalt G 1.5 Bemerkungen
___________________________________________________________________ ..........................................
G 1.5 Wasser
Der unkontrollierte Eintritt von Wasser in Gebuden oder Rumen kann
beispielsweise bedingt sein durch:
- Regen, Hochwasser, berschwemmung,
- Strungen in der Wasser-Versorgung oder Abwasser-Entsorgung,
- Defekte der Heizungsanlage,
- Defekte an Klimaanlagen mit Wasseranschluss,
- Defekte in Sprinkleranlagen,
- Lschwasser bei der Brandbekmpfung und
- Wassersabotage z. B. durch ffnen der Wasserhhne und Verstopfen der
Abflsse.
Unabhngig davon, auf welche Weise Wasser in Gebude oder Rume
gelangt, besteht die Gefahr, dass Versorgungseinrichtungen oder IT-Kompo-
nenten beschdigt oder auer Betrieb gesetzt werden (Kurzschluss, mecha-
nische Beschdigung, Rost etc.). Wenn zentrale Einrichtungen der Gebude-
versorgung (Hauptverteiler fr Strom, Telefon, Daten) in Kellerrumen ohne
selbstttige Entwsserung untergebracht sind, kann eindringendes Wasser sehr
hohe Schden verursachen.
Beispiele:
- Viele Gewerbebetriebe, auch groe Unternehmen, tragen der Hochwasser-
gefhrdung nicht hinreichend Rechnung. So wurde ein Unternehmen
bereits mehrere Male durch Hochwasserschden am Rechenzentrum
"berrascht". Das Rechenzentrum schwamm im wahrsten Sinne des Wortes
innerhalb von 14 Monaten zum zweiten Mal davon. Der entstandene
Schaden belief sich auf mehrere hunderttausend Euro und ist nicht von
einer Versicherung gedeckt.
- In einem Serverraum verlief eine Wasserleitung unterhalb der Decke, die
mit Gipskarton verkleidet war. Als eine Verbindung undicht wurde, wurde
dies nicht rechtzeitig erkannt. Das austretende Wasser sammelte sich
zunchst an der tiefsten Stelle der Verkleidung, bevor es dort austrat und
im darunter angebrachten Stromverteiler einen Kurzschluss verursachte.
Dies fhrte dazu, dass bis zur endgltigen Reparatur sowohl die Wasser-
als auch die Stromversorgung des betroffenen Gebudeteils abgeschaltet
werden musste.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 297
Gefhrdungskatalog Hhere Gewalt G 1.6 Bemerkungen
___________________________________________________________________ ..........................................
G 1.6 Kabelbrand
Wenn ein Kabel in Brand gert, sei es durch Selbstentzndung oder durch
Beflammung, hat dies verschiedene Folgen:
- Die Verbindung kann unterbrochen werden.
- Es knnen sich aggressive Gase entwickeln. Diese knnen zum einen "aggressive" Gase
korrosiv sein, also die Informations- und Kommunikationstechnik in Mit-
leidenschaft ziehen. Sie knnen aber auch toxisch sein, also zu Personen-
schden (z. B. Vergiftung) fhren.
- An Kabeln, deren Isolationsmaterial nicht flammwidrig bzw. selbstver- Ausbreitung durch
Kabelschchte
lschend ist, kann sich ein Feuer ausbreiten. Selbst Brandabschottungen
verhindern dies nicht vollstndig, sie verzgern die Ausbreitung.
- Bei dicht gepackten Trassen kann es zu Schwelbrnden kommen, die ber
lngere Zeit unentdeckt bleiben und so zur Ausbreitung des Feuers fhren,
lange bevor es offen ausbricht.
Beispiel:
In einem ostdeutschen Verwaltungsgebude wurden die vorhandenen Elektro-
leitungen aus Kostengrnden nicht ersetzt, sondern wider besseres Wissen
berlastet. Die notwendigen Anpassungsarbeiten wurden nicht durchgefhrt,
da in Krze ein neu erstelltes Verwaltungsgebude bezogen werden sollte.
Die berlasteten Leitungen erhitzten sich und durch die sehr dichte Verlegung
kam es zu einem Hitzestau, der dann zu einem Schwelbrand fhrte. Dieser
wurde erst dann entdeckt, als die Leitungen durch die groe Hitze versagten.
Bis die vom Brand betroffenen Arbeitspltze wieder ordnungsgem benutzt
werden konnten, vergingen zwei Tage.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 298
Gefhrdungskatalog Hhere Gewalt G 1.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 299
Gefhrdungskatalog Hhere Gewalt G 1.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 300
Gefhrdungskatalog Hhere Gewalt G 1.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 301
Gefhrdungskatalog Hhere Gewalt G 1.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 302
Gefhrdungskatalog Hhere Gewalt G 1.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 303
Gefhrdungskatalog Hhere Gewalt G 1.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 304
Gefhrdungskatalog Hhere Gewalt G 1.13 Bemerkungen
___________________________________________________________________ ..........................................
G 1.13 Sturm
Die Auswirkungen eines Sturms oder Orkans auf Aueneinrichtungen, die
zum Betrieb eines Rechenzentrums mittelbar bentigt werden, werden hufig
unterschtzt. Aueneinrichtungen knnen hierdurch beschdigt oder
abgerissen werden. Abgerissene und vom Sturm fortgeschleuderte
Gegenstnde knnen weitere Folgeschden verursachen. Weiterhin knnen
dadurch technische Komponenten in ihrer Funktion beeintrchtigt werden.
Beispiele:
- Khlleitungen der Klimaanlage eines Rechenzentrums waren auf dem lose verlegte
Khlleitungen
Dach als flexible Hart-PVC-Schluche verlegt, aber ber weite Strecken
auf der Dachhaut weder beschwert noch befestigt. Sie wurden vom Orkan
gepackt und vom Dach des Gebudes gefegt. Dabei rissen sie aus den
Verbindungen. Die Khlflssigkeit lief aus und das System musste fr
mehrere Stunden stillgelegt werden. Fr die Dauer des Sturmes konnten
wegen der Gefahr, vom Dach geweht zu werden, keinerlei Reparaturen
vorgenommen werden. Der Serverpark fiel fr fast 12 Stunden aus. Er
versorgt ca. 12.000 Nutzer.
- In einem anderen Fall strzte eine Lamellenwand, welche die durch Sturm
abgerissene Verkleidung
Rckkhlwerke auf dem Dach des Prozessrechenzentrums eines
Industriebetriebs optisch verkleidete, ein. Die scharfen Kanten der Bleche
durchschnitten die Elektroleitungen der Rckkhlwerke. Es gab einen
Kurzschluss mit Lichtbogen, der die vom Sturm mit hoch gerissene
Dachhaut in Brand steckte. Gleichzeitig wirkte die umgestrzte
Verkleidung geringfgig als Windschutz - lie aber genug Wind durch, um
das Feuer zu entfachen. Der Brand setzte sich in der Isolierung zwischen
Trapezblech und Dichtungsbahnen fort. Nur durch einen glcklichen Zufall
konnte ein Totalschaden verhindert werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 305
Gefhrdungskatalog Hhere Gewalt G 1.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 306
Gefhrdungskatalog Hhere Gewalt G 1.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 307
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 308
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 309
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 310
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 311
Gefhrdungskatalog Organisatorische Mngel G2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 312
Gefhrdungskatalog Organisatorische Mngel G 2.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 313
Gefhrdungskatalog Organisatorische Mngel G 2.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 314
Gefhrdungskatalog Organisatorische Mngel G 2.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 315
Gefhrdungskatalog Organisatorische Mngel G 2.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 316
Gefhrdungskatalog Organisatorische Mngel G 2.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 317
Gefhrdungskatalog Organisatorische Mngel G 2.6 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 318
Gefhrdungskatalog Organisatorische Mngel G 2.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 319
Gefhrdungskatalog Organisatorische Mngel G 2.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 320
Gefhrdungskatalog Organisatorische Mngel G 2.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 321
Gefhrdungskatalog Organisatorische Mngel G 2.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 322
Gefhrdungskatalog Organisatorische Mngel G 2.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 323
Gefhrdungskatalog Organisatorische Mngel G 2.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 324
Gefhrdungskatalog Organisatorische Mngel G 2.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 325
Gefhrdungskatalog Organisatorische Mngel G 2.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 326
Gefhrdungskatalog Organisatorische Mngel G 2.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 327
Gefhrdungskatalog Organisatorische Mngel G 2.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 328
Gefhrdungskatalog Organisatorische Mngel G 2.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 329
Gefhrdungskatalog Organisatorische Mngel G 2.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 330
Gefhrdungskatalog Organisatorische Mngel G 2.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 331
Gefhrdungskatalog Organisatorische Mngel G 2.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 332
Gefhrdungskatalog Organisatorische Mngel G 2.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 333
Gefhrdungskatalog Organisatorische Mngel G 2.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 334
Gefhrdungskatalog Organisatorische Mngel G 2.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 335
Gefhrdungskatalog Organisatorische Mngel G 2.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 336
Gefhrdungskatalog Organisatorische Mngel G 2.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 337
Gefhrdungskatalog Organisatorische Mngel G 2.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 338
Gefhrdungskatalog Organisatorische Mngel G 2.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 339
Gefhrdungskatalog Organisatorische Mngel G 2.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 340
Gefhrdungskatalog Organisatorische Mngel G 2.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 341
Gefhrdungskatalog Organisatorische Mngel G 2.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 342
Gefhrdungskatalog Organisatorische Mngel G 2.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 343
Gefhrdungskatalog Organisatorische Mngel G 2.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 344
Gefhrdungskatalog Organisatorische Mngel G 2.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 345
Gefhrdungskatalog Organisatorische Mngel G 2.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 346
Gefhrdungskatalog Organisatorische Mngel G 2.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 347
Gefhrdungskatalog Organisatorische Mngel G 2.35 Bemerkungen
___________________________________________________________________ ..........................................
Hinweis:
Der Inhalt dieser Gefhrdung wurde in G 2.22 Fehlende Auswertung von
Protokolldaten integriert und wird in der Version 1999 des IT-Grundschutz-
handbuchs in keinem Baustein mehr benutzt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 348
Gefhrdungskatalog Organisatorische Mngel G 2.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 349
Gefhrdungskatalog Organisatorische Mngel G 2.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 350
Gefhrdungskatalog Organisatorische Mngel G 2.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 351
Gefhrdungskatalog Organisatorische Mngel G 2.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 352
Gefhrdungskatalog Organisatorische Mngel G 2.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 353
Gefhrdungskatalog Organisatorische Mngel G 2.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 354
Gefhrdungskatalog Organisatorische Mngel G 2.40 Bemerkungen
___________________________________________________________________ ..........................................
Beispiel:
Die Abfrage "SELECT * FROM Tabelle" liefert alle Attribute bzw. Felder
eines Tupels bzw. Datensatzes. Wird nun ein Feld in der Tabelle
hinzugefgt oder gelscht, so hat dies u. U. fatale Auswirkungen auf eine
Anwendung, in der eine solche Datenbankabfrage benutzt wird.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 355
Gefhrdungskatalog Organisatorische Mngel G 2.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 356
Gefhrdungskatalog Organisatorische Mngel G 2.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 357
Gefhrdungskatalog Organisatorische Mngel G 2.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 358
Gefhrdungskatalog Organisatorische Mngel G 2.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 359
Gefhrdungskatalog Organisatorische Mngel G 2.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 360
Gefhrdungskatalog Organisatorische Mngel G 2.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 361
Gefhrdungskatalog Organisatorische Mngel G 2.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 362
Gefhrdungskatalog Organisatorische Mngel G 2.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 363
Gefhrdungskatalog Organisatorische Mngel G 2.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 364
Gefhrdungskatalog Organisatorische Mngel G 2.48 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 365
Gefhrdungskatalog Organisatorische Mngel G 2.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 366
Gefhrdungskatalog Organisatorische Mngel G 2.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 367
Gefhrdungskatalog Organisatorische Mngel G 2.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 368
Gefhrdungskatalog Organisatorische Mngel G 2.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 369
Gefhrdungskatalog Organisatorische Mngel G 2.53 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 370
Gefhrdungskatalog Organisatorische Mngel G 2.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 371
Gefhrdungskatalog Organisatorische Mngel G 2.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 372
Gefhrdungskatalog Organisatorische Mngel G 2.54 Bemerkungen
___________________________________________________________________ ..........................................
und vieles mehr. Ihre Ergebnisse verffentlichten sie in einem Journal der
IEEE.
- Ein Benutzer entdeckte durch Benutzung eines anderen Editors per Zufall,
dass die kurz vor der Versendung stehende Datei diverse URLs enthielt,
inklusive Benutzername und Passwort fr einen WWW-Server. Mit URL
(Uniform Resource Locator) wird die Adresse eines WWW-Dokuments
bezeichnet. Der Zugriff auf die WWW-Seite kann passwortgeschtzt sein.
- Eine Behrde hatte mit dem Programm Microsoft Powerpoint erstellte
Prsentationen in Dateiform an Externe weitergegeben. Spter stellte sich
heraus, dass neben den Prsentationen auch Informationen ber die Rech-
nerumgebung des Benutzers mitgeliefert worden waren, wie etwa darber,
welche Newsgruppen ein Benutzer abonniert hat und welche News er
schon gelesen hat. Die Powerpoint-Datei enthielt u. a. folgende Eintrge:
de.alt.drogen! s21718 0
de.alt.dummschwatz! s125 0
- Zwei Verkufer konkurrierender Firmen tauschten ihre Prsentationen aus,
die sie bei einer Veranstaltung gehalten hatten. Eines der Powerpoint-Do-
kumente enthielt eine kleine Tabelle mit Endkunden-Preisen fr die Pro-
dukte der einen Firma. Beim ffnen der Prsentation entdeckte der Emp-
fnger, dass diese kleine Tabelle Teil eines sehr umfangreichen Tabellen-
kalkulationsdokuments war, das in die Prsentation eingebettet worden
war, und das die gesamte Preiskalkulation des Konkurrenzunternehmens
enthielt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 373
Gefhrdungskatalog Organisatorische Mngel G 2.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 374
Gefhrdungskatalog Organisatorische Mngel G 2.56 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 375
Gefhrdungskatalog Organisatorische Mngel G 2.57 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 376
Gefhrdungskatalog Organisatorische Mngel G 2.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 377
Gefhrdungskatalog Organisatorische Mngel G 2.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 378
Gefhrdungskatalog Organisatorische Mngel G 2.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 379
Gefhrdungskatalog Organisatorische Mngel G 2.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 380
Gefhrdungskatalog Organisatorische Mngel G 2.61 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 381
Gefhrdungskatalog Organisatorische Mngel G 2.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 382
Gefhrdungskatalog Organisatorische Mngel G 2.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 383
Gefhrdungskatalog Organisatorische Mngel G 2.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 384
Gefhrdungskatalog Organisatorische Mngel G 2.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 385
Gefhrdungskatalog Organisatorische Mngel G 2.65 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 386
Gefhrdungskatalog Organisatorische Mngel G 2.65 Bemerkungen
___________________________________________________________________ ..........................................
enthalten. Dies bedeutet, dass Zugriffe auf das Dateisystem unter dem Benut-
zer-Account "root" durchgefhrt werden, unabhngig davon, welcher
Benutzer sich am Server angemeldet hat. In der Regel fhrt dies dazu, dass
verzeichnis- und dateibasierte Zugriffsbeschrnkungen ignoriert werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 387
Gefhrdungskatalog Organisatorische Mngel G 2.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 388
Gefhrdungskatalog Organisatorische Mngel G 2.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 389
Gefhrdungskatalog Organisatorische Mngel G 2.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 390
Gefhrdungskatalog Organisatorische Mngel G 2.68 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 391
Gefhrdungskatalog Organisatorische Mngel G 2.69 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 392
Gefhrdungskatalog Organisatorische Mngel G 2.69 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 393
Gefhrdungskatalog Organisatorische Mngel G 2.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 394
Gefhrdungskatalog Organisatorische Mngel G 2.70 Bemerkungen
___________________________________________________________________ ..........................................
Die Replizierung von Partitionen des eDirectory dient in erster Linie der
Erhhung der Verfgbarkeit und der Lastverteilung des Verzeichnissystems.
Weiter wird durch die Redundanz in der Datenhaltung die Ausfallsicherheit
verbessert.
Die Planung ist auch deshalb von entscheidender Bedeutung, da nachtrgliche
nderungen an den Partitions- und Replikationseinstellungen zwar mglich
sind, jedoch unter Umstnden Inkonsistenzen nach sich ziehen knnen.
Bei nderungen am eDirectory dauert es naturgem eine gewisse Zeit, bis Zeitfenster mit
Inkonsistenzen
sich die neuen Einstellungen berall hin ausgebreitet haben. Somit kann sich
ein Zeitfenster ergeben, innerhalb dessen das eDirectory inkonsistent ist.
Solche Inkonsistenzen knnen vor allem in der Definition der Authentisie-
rungsdaten oder auch der Zugriffsrechte auf eDirectory-Objekte ein Problem
darstellen.
Eine Partitionierung des eDirectory-Verzeichnisses hat direkte Konsequenzen
fr die Vererbung von Zugriffsrechten (Access Control Lists, ACL). Um die
Vererbungsregeln bei einem bestehenden eDirectory-Baum zu erhalten, wird
bei einer Partitionierung dem Wurzelobjekt der neuen Partition die bergeord-
nete ACL als inherited ACL vom System zur Kenntnis gebracht.
Die Festlegung der Partitionierung des eDirectory-Verzeichnisdienstes hat erhhter
Administrationsaufwand
direkte Auswirkung auf die Replizierungsaktivitten des Gesamtsystems. Um
effizient ber den Gesamtbaum nach Objekten suchen zu knnen (Tree
walking), legt das eDirectory automatisch so genannte Subordinate Reference
Replicas an, welche im Wesentlichen Sprungadressen enthalten. Ist die
Planung unzulnglich (z. B. bei zu flacher Baumstruktur), so werden hier sehr
umfassende Replizierungsringe erzeugt. Wird ein Replizierungsring sehr gro,
so besteht eine gewisse Wahrscheinlichkeit, dass zumindest ein eDirectory-
Server des Ringes momentan nicht erreichbar ist. In einem solchen Fall
werden Fehler- und Statusmeldungen auf jedem weiteren eDirectory-Server
des Replizierungsrings erzeugt. Dies kann zu erhhtem Administrations-
aufwand fhren, der sich ber groe Teile des Verzeichnisbaums erstrecken
kann.
Weitere Problemfelder sind in G 2.42 Komplexitt der NDS beschrieben.
Auerdem kann eine fehlerhafte oder unzureichende Planung der Partitionie-
rung und der Replizierung des Verzeichnisdienstes auch zu Datenverlusten
sowie Inkonsistenzen in der Datenhaltung, einer mangelhaften Verfgbarkeit
des Verzeichnisdienstes und einer insgesamt schlechten Systemperformance
bis hin zu Systemausfllen fhren.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 395
Gefhrdungskatalog Organisatorische Mngel G 2.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 396
Gefhrdungskatalog Organisatorische Mngel G 2.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 397
Gefhrdungskatalog Organisatorische Mngel G 2.72 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 398
Gefhrdungskatalog Organisatorische Mngel G 2.72 Bemerkungen
___________________________________________________________________ ..........................................
nicht ausgewertet. Die alten Testdokumente befanden sich nach der Migra-
tion der Daten weiterhin im Archiv, tauchten bei einer spteren Recherche
jedoch pltzlich als vermeintlich authentische Dokumente auf.
- Elektronische Signaturverfahren knnten durch Ausprobieren der Signatur-
schlssel oder durch mathematische Verfahren kompromittiert werden.
Sofern dies innerhalb des Archivierungszeitraums eintritt, ist es mglich,
elektronische Signaturen auch rckwirkend zu flschen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 399
Gefhrdungskatalog Organisatorische Mngel G 2.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 400
Gefhrdungskatalog Organisatorische Mngel G 2.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 401
Gefhrdungskatalog Organisatorische Mngel G 2.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 402
Gefhrdungskatalog Organisatorische Mngel G 2.76 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 403
Gefhrdungskatalog Organisatorische Mngel G 2.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 404
Gefhrdungskatalog Organisatorische Mngel G 2.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 405
Gefhrdungskatalog Organisatorische Mngel G 2.78 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 406
Gefhrdungskatalog Organisatorische Mngel G 2.79 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 407
Gefhrdungskatalog Organisatorische Mngel G 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 408
Gefhrdungskatalog Organisatorische Mngel G 2.81 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 409
Gefhrdungskatalog Organisatorische Mngel G 2.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 410
Gefhrdungskatalog Organisatorische Mngel G 2.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 411
Gefhrdungskatalog Organisatorische Mngel G 2.84 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 412
Gefhrdungskatalog Organisatorische Mngel G 2.84 Bemerkungen
___________________________________________________________________ ..........................................
- Der Dienstleister zieht qualifiziertes Personal ab oder Vertreter des Stamm- Personal
personals sind nicht ausreichend vorbereitet, was zu Sicherheitsproblemen
fhren kann.
Besondere Probleme treten hufig dann auf, wenn Dienstleistungsvertrge
beendet werden (siehe auch G 2.85 Unzureichende Regelungen fr das Ende
des Outsourcing-Vorhabens) und diese Situation nur unzureichend vertraglich
geregelt wurde.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 413
Gefhrdungskatalog Organisatorische Mngel G 2.85 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 414
Gefhrdungskatalog Organisatorische Mngel G 2.86 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 415
Gefhrdungskatalog Organisatorische Mngel G 2.87 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 416
Gefhrdungskatalog Organisatorische Mngel G 2.87 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 417
Gefhrdungskatalog Organisatorische Mngel G 2.88 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 418
Gefhrdungskatalog Organisatorische Mngel G 2.89 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 419
Gefhrdungskatalog Organisatorische Mngel G 2.89 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 420
Gefhrdungskatalog Organisatorische Mngel G 2.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 421
Gefhrdungskatalog Organisatorische Mngel G 2.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 422
Gefhrdungskatalog Organisatorische Mngel G 2.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 423
Gefhrdungskatalog Organisatorische Mngel G 2.93 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 424
Gefhrdungskatalog Organisatorische Mngel G 2.94 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 425
Gefhrdungskatalog Organisatorische Mngel G 2.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 426
Gefhrdungskatalog Organisatorische Mngel G 2.96 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 427
Gefhrdungskatalog Organisatorische Mngel G 2.97 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 428
Gefhrdungskatalog Organisatorische Mngel G 2.98 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 429
Gefhrdungskatalog Organisatorische Mngel G 2.98 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 430
Gefhrdungskatalog Organisatorische Mngel G 2.99 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 431
Gefhrdungskatalog Organisatorische Mngel G 2.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 432
Gefhrdungskatalog Organisatorische Mngel G 2.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 433
Gefhrdungskatalog Organisatorische Mngel G 2.101 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 434
Gefhrdungskatalog Menschliche Fehlhandlungen G3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 435
Gefhrdungskatalog Menschliche Fehlhandlungen G3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 436
Gefhrdungskatalog Menschliche Fehlhandlungen G3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 437
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 438
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 439
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 440
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 441
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 442
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.6 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 443
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 444
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 445
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 446
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 447
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 448
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 449
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 450
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 451
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 452
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 453
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 454
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 455
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.19 Bemerkungen
___________________________________________________________________ ..........................................
Ein Dritter, der sich Zugang zu einem WfW- oder Windows 95-Rechner ver-
schafft, hat unmittelbaren Zugriff auf die Kennwortliste ([anmeldename].pwl).
Die dort gespeicherten Passwrter fr den Zugriff auf Ressourcen anderer
werden durch das WfW- bzw. Windows 95-Anmeldepasswort geschtzt. Ist
dieses deaktiviert oder bekannt bzw. ist WfW oder Windows 95 bereits ohne
Bildschirmsperre aktiv, knnen Unberechtigte Verbindungen zu anderen
Rechnern herstellen.
Hinweis:
Mittlerweile werden im Internet Programme angeboten, die eine Entschlsse-
lung der PWL-Dateien unter WfW ohne Kenntnis des Anmeldepasswortes
ermglichen. Die in diesen Dateien gespeicherten Passwrter sind in vielen
Fllen auch ber die windows-spezifische, temporre Auslagerungsdatei
386spart.par im Klartext zu gewinnen. Daher muss ein entsprechender
Zugangsschutz zum PC oder ein Zugriffsschutz auf Dateiebene installiert sein.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 456
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 457
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 458
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 459
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 460
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 461
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 462
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 463
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 464
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 465
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 466
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 467
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 468
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 469
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 470
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 471
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 472
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 473
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 474
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 475
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 476
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.38 Bemerkungen
___________________________________________________________________ ..........................................
Die Verfgbarkeit des Sicherheitssystems RACF ist bei z/OS- Fehlerhafte RACF-
Betriebssystemen von zentraler Bedeutung fr die Verfgbarkeit des gesamten Datenbanken
Systems. Durch unsachgemen Einsatz von z/OS-Utilities bei der RACF-
Datenbanksicherung oder fehlerhafte Bedienung der RACF-Kommandos kann
diese eingeschrnkt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 477
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 478
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 479
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 480
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 481
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 482
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 483
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 484
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 485
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 486
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 487
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 488
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 489
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 490
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.48 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 491
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 492
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 493
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 494
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.51 Bemerkungen
___________________________________________________________________ ..........................................
Ein besonders kritischer Punkt ist auch die Vergabe der Administrations- Blockade der
rechte. eDirectory ermglicht die Umsetzung eines rollenbasierten Administ- Administration
rationskonzeptes sowie die Delegation einzelner Administrationsaufgaben
durch die Vergabe entsprechender Zugriffsrechte. Bei einer falschen Vergabe
dieser Rechte wird das gesamte Administrationskonzept in Frage gestellt und
unter Umstnden sogar die Administration des Verzeichnissystems blockiert.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 495
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 496
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.53 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 497
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 498
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 499
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.56 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 500
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.57 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 501
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 502
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 503
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 504
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 505
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.61 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 506
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.61 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 507
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 508
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 509
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.63 Bemerkungen
___________________________________________________________________ ..........................................
wird das Serverzertifikat nicht durch eine Passphrase geschtzt, so dass ein
Einbrecher, der sich eine Kopie der Zertifikatsdatei verschafft, einen "ge-
flschten" Server aufsetzen kann. Wird eine Passphrase verwendet, so kann
es zu Problemen mit der Verfgbarkeit des Webservers kommen, da in
diesem Fall ein automatischer unbeaufsichtiger Neustart des Servers nicht
mglich ist, weil die Passphrase eingegeben werden muss.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 510
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 511
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.65 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 512
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 513
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 514
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 515
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.67 Bemerkungen
___________________________________________________________________ ..........................................
stelle seit lngerem bekannt war, wurde der SVC auch in neueren z/OS-
Umgebungen installiert und stand jedem Anwender zur Verfgung.
- Aus historischen Grnden wurde ein z/OS-Betriebssystem mit dem RACF- Zu viele Verantwortliche
Attribut OPERATIONS betrieben. Viele Benutzer, deren Konto ber dieses
Attribut verfgte, konnten nahezu alle Dateien lesen und modifizieren. Die
Integritt der Dateninhalte konnte bei diesem z/OS-System nur noch
bedingt gewhrleistet werden.
- In einem z/OS-System wurde das SDSF fr JES2 ohne jeden Schutz zur Keine System-Kontrolle
Verfgung gestellt. Schon nach kurzer Zeit hatten die Mitarbeiter
herausgefunden, wie sie die Prioritt des eigenen Benutzerkontos im
System erhhen konnten, um ihre Batch-Jobs im System schneller
bearbeiten zu lassen. Eine Kontrolle und effiziente Auslastung des Systems
waren nicht mehr mglich.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 516
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.68 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 517
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.69 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 518
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 519
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 520
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.72 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 521
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.72 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 522
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 523
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 524
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 525
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 526
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 527
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 528
Gefhrdungskatalog Menschliche Fehlhandlungen G 3.76 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 529
Gefhrdungskatalog Technisches Versagen G4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 530
Gefhrdungskatalog Technisches Versagen G4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 531
Gefhrdungskatalog Technisches Versagen G 4.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 532
Gefhrdungskatalog Technisches Versagen G 4.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 533
Gefhrdungskatalog Technisches Versagen G 4.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 534
Gefhrdungskatalog Technisches Versagen G 4.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 535
Gefhrdungskatalog Technisches Versagen G 4.5 Bemerkungen
___________________________________________________________________ ..........................................
G 4.5 bersprechen
bersprechen ist eine spezielle Form der Leitungsbeeintrchtigung. Dabei
wird die Strung nicht allgemein im Umfeld, sondern durch Strme und
Spannungen von Signalen erzeugt, die auf eine benachbarte Leitung ber-
tragen werden. Die Strke dieses Effektes ist vom Kabelaufbau
(Abschirmung, Kabelkapazitt, Isolationsgte) und von den elektrischen
Parametern bei der Informationsbertragung (Strom, Spannung, Frequenz)
abhngig.
Nicht jede Leitung, die durch bersprechen beeinflusst wird, muss ihrerseits
auch andere beeinflussen. Bekannt ist dies aus dem Telefonnetz. Dort sind
Gesprche anderer Netzteilnehmer zu hren. Diese reagieren aber auf die
Aufforderung "aus der Leitung zu gehen" oft deswegen nicht, weil das ber-
sprechen nur in eine Richtung geschieht. Das Prfen eigener Leitungen auf
eingekoppelte Fremdsignale gibt keine Auskunft darber, ob die eigenen
Signale auf andere Leitungen bersprechen und somit dort abhrbar sind.
Der wesentliche Unterschied zu anderen Leitungsstrungen ist der, dass neben
der Strung der Signalbertragung auf benachbarten Leitungen durch ber-
sprechen auswertbare Informationen auf fremden Leitungen zur Verfgung
stehen knnen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 536
Gefhrdungskatalog Technisches Versagen G 4.6 Bemerkungen
___________________________________________________________________ ..........................................
G 4.6 Spannungsschwankungen/berspannung/
Unterspannung
Durch Schwankungen der Versorgungsspannung kann es zu Funktionsstrun-
gen und Beschdigungen der IT kommen. Die Schwankungen reichen von
extrem kurzen und kleinen Ereignissen, die sich kaum oder gar nicht auf die
IT auswirken, bis zu Totalausfllen oder zerstrerischen berspannungen. Die
Ursache dafr kann in allen Bereichen des Stromversorgungsnetzes entstehen,
vom Netz des Energieversorgungsunternehmens bis zum Stromkreis, an dem
die jeweiligen Gerte angeschlossen sind.
Auerhalb des Energieversorgungsnetzes ist auch auf allen anderen elektrisch
leitenden Netzen (wie Telefonanbindung, Gebudeleittechnik, Wasser- oder
Gasleitungen etc.) mit Einkopplungen von berspannungen zu rechnen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 537
Gefhrdungskatalog Technisches Versagen G 4.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 538
Gefhrdungskatalog Technisches Versagen G 4.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 539
Gefhrdungskatalog Technisches Versagen G 4.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 540
Gefhrdungskatalog Technisches Versagen G 4.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 541
Gefhrdungskatalog Technisches Versagen G 4.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 542
Gefhrdungskatalog Technisches Versagen G 4.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 543
Gefhrdungskatalog Technisches Versagen G 4.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 544
Gefhrdungskatalog Technisches Versagen G 4.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 545
Gefhrdungskatalog Technisches Versagen G 4.15 Bemerkungen
___________________________________________________________________ ..........................................
Hinweis:
Die Gefhrdungen G 4.16 bertragungsfehler bei Faxversand und
G 4.17 Technischer Defekt des Faxgertes wurden in die Gefhrdung
G 4.15 Fehlerhafte Faxbertragung integriert.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 546
Gefhrdungskatalog Technisches Versagen G 4.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 547
Gefhrdungskatalog Technisches Versagen G 4.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 548
Gefhrdungskatalog Technisches Versagen G 4.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 549
Gefhrdungskatalog Technisches Versagen G 4.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 550
Gefhrdungskatalog Technisches Versagen G 4.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 551
Gefhrdungskatalog Technisches Versagen G 4.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 552
Gefhrdungskatalog Technisches Versagen G 4.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 553
Gefhrdungskatalog Technisches Versagen G 4.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 554
Gefhrdungskatalog Technisches Versagen G 4.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 555
Gefhrdungskatalog Technisches Versagen G 4.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 556
Gefhrdungskatalog Technisches Versagen G 4.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 557
Gefhrdungskatalog Technisches Versagen G 4.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 558
Gefhrdungskatalog Technisches Versagen G 4.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 559
Gefhrdungskatalog Technisches Versagen G 4.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 560
Gefhrdungskatalog Technisches Versagen G 4.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 561
Gefhrdungskatalog Technisches Versagen G 4.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 562
Gefhrdungskatalog Technisches Versagen G 4.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 563
Gefhrdungskatalog Technisches Versagen G 4.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 564
Gefhrdungskatalog Technisches Versagen G 4.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 565
Gefhrdungskatalog Technisches Versagen G 4.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 566
Gefhrdungskatalog Technisches Versagen G 4.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 567
Gefhrdungskatalog Technisches Versagen G 4.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 568
Gefhrdungskatalog Technisches Versagen G 4.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 569
Gefhrdungskatalog Technisches Versagen G 4.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 570
Gefhrdungskatalog Technisches Versagen G 4.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 571
Gefhrdungskatalog Technisches Versagen G 4.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 572
Gefhrdungskatalog Technisches Versagen G 4.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 573
Gefhrdungskatalog Technisches Versagen G 4.39 Bemerkungen
___________________________________________________________________ ..........................................
G 4.39 Software-Konzeptionsfehler
Bei der Planung von Programmen und Protokollen knnen
sicherheitsrelevante Konzeptionsfehler entstehen. Hufig sind diese Fehler
historisch gesehen durchaus verstndlich. So ist sicherlich keiner der
Entwickler der im Internet verwendeten Protokolle Ende der 60er-Jahre davon
ausgegangen, dass diese Protokolle einmal die Grundlage fr ein
weltumspannendes und kommerziell hchst bedeutendes Computer-Netz
werden wrden.
Beispiele fr Konzeptionsfehler sind die offene bertragung der Daten im
Internet, so dass Daten (z. B. Passwrter) mitgelesen oder verndert werden
knnen, oder die Mglichkeit, Pakete mit Internet-Adressen zu versenden, die
einem anderen Rechner zugeteilt worden sind. Ein Spezialfall hiervon ist die
so genannte FTP-Bounce-Attacke, bei der ausgenutzt wird, dass die
Verbindung, die beim FTP-Protokoll fr die Datenbertragung eingesetzt
wird, zu einem beliebigen Rechner aufgebaut werden kann. Im ungnstigen
Fall knnen auf diese Weise sogar Firewalls mit dynamischen Paketfiltern
berwunden werden (siehe CERT Advisory 97-27). Weitere Fehler in den
Internet-Protokollen sind sicherlich vorhanden und werden zuknftig
publiziert werden.
Ein weiteres Beispiel fr einen Konzeptionsfehler ist das so genannte DNS-
Spoofing (siehe auch G 5.78 DNS-Spoofing). Das Domain Name System ist
der zentrale Auskunftsdienst im Internet, der die bersetzung der leicht
merkbaren Rechnernamen wie www.preiswert.de in die zugehrige Internet-
Adresse ermglicht. Bei DNS-Spoofing versucht ein Angreifer, einem
Rechnernamen einen falschen Rechner zuzuweisen, so dass Auskunftsuchende
fehlgeleitet werden.
Eine weiteres Beispiel fr einen Konzeptionsfehler ist die Mglichkeit,
anonym sehr viele Werbe-E-Mails zu versenden (Mail-Spamming). Hierbei
werden hufig fremde Mailserver als so genannte Remailer eingesetzt, so dass
Gegenaktionen durch den Empfnger ins Leere laufen. Die Ursache fr diese
Angriffe liegt eindeutig in den mangelhaften Authentisierungsmglichkeiten,
die das Internet zur Zeit bietet.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 574
Gefhrdungskatalog Technisches Versagen G 4.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 575
Gefhrdungskatalog Technisches Versagen G 4.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 576
Gefhrdungskatalog Technisches Versagen G 4.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 577
Gefhrdungskatalog Technisches Versagen G 4.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 578
Gefhrdungskatalog Technisches Versagen G 4.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 579
Gefhrdungskatalog Technisches Versagen G 4.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 580
Gefhrdungskatalog Technisches Versagen G 4.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 581
Gefhrdungskatalog Technisches Versagen G 4.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 582
Gefhrdungskatalog Technisches Versagen G 4.48 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 583
Gefhrdungskatalog Technisches Versagen G 4.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 584
Gefhrdungskatalog Technisches Versagen G 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 585
Gefhrdungskatalog Technisches Versagen G 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 586
Gefhrdungskatalog Technisches Versagen G 4.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 587
Gefhrdungskatalog Technisches Versagen G 4.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 588
Gefhrdungskatalog Vorstzliche Handlungen G5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 589
Gefhrdungskatalog Vorstzliche Handlungen G5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 590
Gefhrdungskatalog Vorstzliche Handlungen G5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 591
Gefhrdungskatalog Vorstzliche Handlungen G5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 592
Gefhrdungskatalog Vorstzliche Handlungen G5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 593
Gefhrdungskatalog Vorstzliche Handlungen G 5.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 594
Gefhrdungskatalog Vorstzliche Handlungen G 5.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 595
Gefhrdungskatalog Vorstzliche Handlungen G 5.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 596
Gefhrdungskatalog Vorstzliche Handlungen G 5.4 Bemerkungen
___________________________________________________________________ ..........................................
G 5.4 Diebstahl
Durch den Diebstahl von IT-Gerten, Zubehr, Software oder Daten entstehen
einerseits Kosten fr die Wiederbeschaffung sowie fr die Wiederherstellung
eines arbeitsfhigen Zustandes, andererseits Verluste aufgrund mangelnder
Verfgbarkeit. Darber hinaus knnen Schden durch einen Ver-
traulichkeitsverlust und daraus resultierenden Konsequenzen entstehen.
Von Diebsthlen sind neben teuren IT-Systemen auch mobile IT-Systeme, die
unauffllig und leicht zu transportieren sind, hufig betroffen.
Beispiele:
- Im Frhjahr 2000 verschwand ein Notebook aus dem amerikanischen
Auenministerium. In einer offiziellen Stellungnahme wurde nicht ausge-
schlossen, dass das Gert vertrauliche Informationen enthalten knnte.
Ebenso wenig war bekannt, ob das Gert kryptographisch oder durch
andere Manahmen gegen unbefugten Zugriff gesichert war. Bei Sicher-
heitsuntersuchungen war bereits vor ungengenden Sicherheitskontrollen
gewarnt worden.
- In einem deutschen Bundesamt wurde mehrfach durch die gleichen
ungesicherten Fenster eingebrochen. Neben anderen Wertsachen ver-
schwanden auch mobile IT-Systeme. Ob Akten kopiert oder manipuliert
wurden, konnte nicht festgestellt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 597
Gefhrdungskatalog Vorstzliche Handlungen G 5.5 Bemerkungen
___________________________________________________________________ ..........................................
G 5.5 Vandalismus
Vandalismus ist dem Anschlag sehr verwandt, nur dass er nicht wie dieser
gezielt eingesetzt wird, sondern meist Ausdruck blinder Zerstrungswut ist.
Sowohl Auentter (z. B. enttuschte Einbrecher, auer Kontrolle geratene
Demonstrationen) als auch Innentter (z. B. frustrierte oder alkoholisierte
Mitarbeiter) kommen in Betracht. Die tatschliche Gefhrdung durch Vanda-
lismus ist schwerer abschtzbar als die eines Anschlages, da ihm in der Regel
keine zielgerichtete Motivation zugrunde liegt. Persnliche Probleme oder ein
schlechtes Betriebsklima knnen dabei Ursachen sein.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 598
Gefhrdungskatalog Vorstzliche Handlungen G 5.6 Bemerkungen
___________________________________________________________________ ..........................................
G 5.6 Anschlag
Die technischen Mglichkeiten, einen Anschlag zu verben, sind vielfltig:
geworfene Ziegelsteine, Explosion durch Sprengstoff, Schusswaffengebrauch,
Brandstiftung. Ob und in welchem Umfang ein IT-Betreiber der Gefahr eines
Anschlages ausgesetzt ist, hngt neben der Lage und dem Umfeld des Gebu-
des stark von seinen Aufgaben und vom politisch-sozialen Klima ab. IT-
Betreiber in politisch kontrovers diskutierten Bereichen sind strker bedroht
als andere. IT-Betreiber in der Nhe blicher Demonstrationsaufmarsch-
gebiete sind strker gefhrdet als solche in abgelegenen Randbereichen. Fr
die Einschtzung der Gefhrdung durch politisch motivierte Anschlge
knnen die Landeskriminalmter oder das Bundeskriminalamt beratend hin-
zugezogen werden.
Fr elektronische Archive ist bei dieser Einschtzung als besonderer Umstand viele Dokumente auf
kleinem Raum
zu bercksichtigen, dass darin eine groe Anzahl von Dokumenten auf ver-
gleichsweise kleinem Raum gespeichert wird. Dies knnen z. B. Kranken-
daten, Vertrge, Urkunden, Testamente privater Personen sowie Dokumente
und Vertrge von Unternehmen, Behrden und anderen staatlichen Einrich-
tungen sein. Deren Vernichtung kann weitreichende Auswirkungen haben,
nicht nur auf die speichernde Stelle, sondern auch auf eine Vielzahl anderer
Benutzer. Anschlge auf elektronische Archive knnen daher erhebliche
Schden verursachen.
Beispiele:
- In den 80er-Jahren wurde ein Sprengstoffanschlag auf das Rechenzentrum
einer groen Bundesbehrde in Kln verbt.
- Ein Finanzamt im rheinischen Raum wurde praktisch jhrlich durch Bom-
bendrohungen fr einige Stunden lahm gelegt.
- Ende der 80er-Jahre wurde von einem versuchten Anschlag der RAF auf
das Rechenzentrum einer groen deutschen Bank berichtet.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 599
Gefhrdungskatalog Vorstzliche Handlungen G 5.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 600
Gefhrdungskatalog Vorstzliche Handlungen G 5.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 601
Gefhrdungskatalog Vorstzliche Handlungen G 5.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 602
Gefhrdungskatalog Vorstzliche Handlungen G 5.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 603
Gefhrdungskatalog Vorstzliche Handlungen G 5.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 604
Gefhrdungskatalog Vorstzliche Handlungen G 5.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 605
Gefhrdungskatalog Vorstzliche Handlungen G 5.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 606
Gefhrdungskatalog Vorstzliche Handlungen G 5.14 Bemerkungen
___________________________________________________________________ ..........................................
G 5.14 Gebhrenbetrug
In letzter Zeit waren vermehrt Meldungen ber Gebhrenbetrug an TK-Anla-
gen durch Hacker in der Presse zu lesen. Solche Manipulationen sind auf ver-
schiedene Weisen durchfhrbar. Zum einen kann versucht werden, vorhan-
dene Leistungsmerkmale einer TK-Anlage fr diese Zwecke zu missbrauchen.
Geeignet hierfr sind beispielsweise aus der Ferne umprogrammierbare Ruf-
umleitungen oder Dial-In-Optionen. Zum anderen knnen die Berechtigungen
so vergeben werden, dass kommende "Amtsleitungen" abgehende
"Amtsleitungen" belegen knnen. Auf diese Weise kann bei Anwahl einer
bestimmten Rufnummer von auen der Anrufer automatisch wieder mit dem
"Amt" verbunden werden, wobei dies allerdings auf Kosten des TK-Anlagen-
betreibers geschieht.
Eine weitere Art des Gebhrenbetruges ist der durch den Benutzer selbst. Auf
unterschiedliche Arten, wie z. B. durch das Telefonieren von fremden
Apparaten, Auslesen fremder Berechtigungscodes (Passwort) oder Verndern
der persnlichen Berechtigungen kann versucht werden, auf Kosten des
Arbeitgebers oder der anderen Beschftigten zu telefonieren.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 607
Gefhrdungskatalog Vorstzliche Handlungen G 5.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 608
Gefhrdungskatalog Vorstzliche Handlungen G 5.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 609
Gefhrdungskatalog Vorstzliche Handlungen G 5.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 610
Gefhrdungskatalog Vorstzliche Handlungen G 5.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 611
Gefhrdungskatalog Vorstzliche Handlungen G 5.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 612
Gefhrdungskatalog Vorstzliche Handlungen G 5.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 613
Gefhrdungskatalog Vorstzliche Handlungen G 5.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 614
Gefhrdungskatalog Vorstzliche Handlungen G 5.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 615
Gefhrdungskatalog Vorstzliche Handlungen G 5.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 616
Gefhrdungskatalog Vorstzliche Handlungen G 5.23 Bemerkungen
___________________________________________________________________ ..........................................
G 5.23 Computer-Viren
Computer-Viren gehren zu den Programmen mit Schadensfunktionen. Als
Schaden ist hier insbesondere der Verlust oder die Verflschung von Daten
oder Programmen sicherlich von grter Tragweite. Solche Funktionen von
Programmen knnen sowohl unbeabsichtigt als auch bewusst gesteuert auf-
treten.
Die Definition eines Computer-Virus bezieht sich nicht unmittelbar auf eine
mglicherweise programmierte Schadensfunktion:
Ein Computer-Virus ist eine nicht selbstndige Programmroutine, die sich
selbst reproduziert und dadurch vom Anwender nicht kontrollierbare
Manipulationen in Systembereichen, an anderen Programmen oder deren
Umgebung vornimmt. (Zustzlich knnen programmierte Schadensfunktionen
des Virus vorhanden sein.)
Die Eigenschaft der Reproduktion fhrte in Analogie zum biologischen
Vorbild zu der Bezeichnung "Virus". Die Mglichkeiten der Manipulation
sind sehr vielfltig. Besonders hufig sind das berschreiben oder das
Anlagern des Virus-Codes an andere Programme und Bereiche des Betriebs-
systems.
Computer-Viren knnen im Prinzip bei allen Betriebssystemen auftreten. Die
grte Bedrohung ist jedoch im Bereich der IBM-kompatiblen Personal-
computer (PC) vorhanden. Bei den hier am meisten verbreiteten Betriebs-
systemen (MS-DOS, PC-DOS, DR DOS, NOVELL DOS etc.) werden derzeit
weltweit rund 20.000 Viren (einschlielich Varianten) gezhlt.
Spezielle Computer-Viren fr die Betriebssysteme Windows 3.x,
Windows NT, Windows 95, OS/2 und Unix spielen in der Praxis eine unter-
geordnete Rolle. Bei PC-typischer Hardware knnen jedoch die Festplatten
dieser Rechner von DOS-Boot-Viren infiziert werden, wenn die Boot-Reihen-
folge zuerst ein Booten von Diskette vorsieht.
Fr Apple-Computer sind ca. 100 spezielle Computer-Viren bekannt, fr die
es auch entsprechende Suchprogramme gibt.
Arten von Computer-Viren
Es werden drei Grundtypen von Computer-Viren unterschieden:
- Boot-Viren
- Datei-Viren
- Makro-Viren
Es sind auch Misch- und Sonderformen dieser drei Typen bekannt. Weitere
Unterteilungsmerkmale sind die Tarnmechanismen, mit denen die Viren oft
gegen die Erkennung durch Benutzer und Suchprogramme geschtzt sind.
Boot-Viren
Als "Booten" bezeichnet man das Laden des Betriebssystems. Hierbei werden
u. a. Programmteile ausgefhrt, die zwar eigenstndig sind, sich aber in sonst
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 617
Gefhrdungskatalog Vorstzliche Handlungen G 5.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 618
Gefhrdungskatalog Vorstzliche Handlungen G 5.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 619
Gefhrdungskatalog Vorstzliche Handlungen G 5.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 620
Gefhrdungskatalog Vorstzliche Handlungen G 5.25 Bemerkungen
___________________________________________________________________ ..........................................
G 5.25 Maskerade
Die Maskerade benutzt ein Angreifer um eine falsche Identitt vorzutuschen. Manipulation des
Eine falsche Identitt erlangt er z. B. durch das Aussphen von Benutzer-ID Absenderfeldes oder der
und Passwort (siehe auch G 5.9 Unberechtigte IT-Nutzung), die Manipulation Kartenadresse
des Absenderfeldes einer Nachricht oder durch die Manipulation einer
Adresse (siehe beispielsweise auch G 5.48 IP-Spoofing oder G 5.87 Web-
Spoofing) im Netz. Weiterhin kann eine falsche Identitt durch die
Manipulation der Rufnummernanzeige (Calling Line Identification
Presentation) im ISDN oder durch die Manipulation der Absenderkennung
eines Faxabsenders (CSID - Call Subscriber ID) erlangt werden.
Ein Benutzer, der ber die Identitt seines Kommunikationspartners getuscht
wurde, kann leicht dazu gebracht werden, schutzbedrftige Informationen zu
offenbaren.
Ein Angreifer kann durch eine Maskerade auch versuchen, sich in eine bereits Aufschalten auf eine
bestehende Verbindung
bestehende Verbindung einzuhngen, ohne sich selber authentisieren zu
mssen, da dieser Schritt bereits von den originren Kommunikations-
teilnehmern durchlaufen wurde. (siehe dazu auch G 5.89 Hijacking von Netz-
Verbindungen)
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 621
Gefhrdungskatalog Vorstzliche Handlungen G 5.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 622
Gefhrdungskatalog Vorstzliche Handlungen G 5.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 623
Gefhrdungskatalog Vorstzliche Handlungen G 5.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 624
Gefhrdungskatalog Vorstzliche Handlungen G 5.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 625
Gefhrdungskatalog Vorstzliche Handlungen G 5.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 626
Gefhrdungskatalog Vorstzliche Handlungen G 5.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 627
Gefhrdungskatalog Vorstzliche Handlungen G 5.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 628
Gefhrdungskatalog Vorstzliche Handlungen G 5.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 629
Gefhrdungskatalog Vorstzliche Handlungen G 5.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 630
Gefhrdungskatalog Vorstzliche Handlungen G 5.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 631
Gefhrdungskatalog Vorstzliche Handlungen G 5.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 632
Gefhrdungskatalog Vorstzliche Handlungen G 5.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 633
Gefhrdungskatalog Vorstzliche Handlungen G 5.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 634
Gefhrdungskatalog Vorstzliche Handlungen G 5.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 635
Gefhrdungskatalog Vorstzliche Handlungen G 5.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 636
Gefhrdungskatalog Vorstzliche Handlungen G 5.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 637
Gefhrdungskatalog Vorstzliche Handlungen G 5.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 638
Gefhrdungskatalog Vorstzliche Handlungen G 5.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 639
Gefhrdungskatalog Vorstzliche Handlungen G 5.43 Bemerkungen
___________________________________________________________________ ..........................................
G 5.43 Makro-Viren
Mit dem Austausch von Dateien (z. B. per Datentrger oder E-Mail) besteht
die Gefahr, dass neben der eigentlichen Datei (Textdatei, Tabelle etc.) weitere,
mit dem Dokument verbundene Makros bzw. eingebettete Editorkommandos
bersandt werden. Diese Makros laufen erst mit dem jeweiligen Anwen-
dungsprogramm (Winword, Excel etc.) bei der Bearbeitung des Dokuments
ab, indem der Benutzer das Makro aktiviert bzw. das Makro automatisch
gestartet wird. Wird ein Dokument ber einen WWW-Browser empfangen,
der das Dokument automatisch ffnet, kann hierdurch ein (Auto-) Makro
aktiviert werden.
Da die Makrosprachen ber einen sehr umfangreichen Befehlssatz verfgen,
besteht auch die Gefahr, dass einem Dokument ein Makro beigefgt wird, das
eine Schadfunktion enthlt (z. B. einen Virus).
In der Praxis hat diese Gefhrdung insbesondere bei den Dateien der Pro-
gramme Word fr Windows und Excel der Firma Microsoft weltweit
betrchtlich zugenommen. Fr den Benutzer ist dabei nicht transparent, dass
Dateien fr Word-Vorlagen (*.DOT), in denen Makros enthalten sein knnen,
durch Umbenennen in *.DOC-Dateien scheinbar zu Datendateien werden, die
keine Makros enthalten. Von Microsoft Word werden solche Dateien jedoch
ohne Hinweis auf diese Tatsache in nahezu gleicher Weise verarbeitet
(Ausnahme: Winword ab Version 7.0a).
Die Word-Makro-Viren haben inzwischen die Spitzenstellung bei gemeldeten
Infektionen eingenommen. Hervorzuheben ist, dass Makro-Viren auf ver-
schiedenen Betriebssystem-Plattformen auftreten knnen, nmlich auf allen,
auf denen Winword luft (Windows Versionen 3.1 und 3.11, Windows 95,
Windows NT, Apple-Computer).
Beispiel:
Der Winword-Makro-Virus "Winword.Nuclear" wurde im Internet ber die
Datei WW6ALERT.ZIP verbreitet. Der Makro-Virus bewirkt einerseits, dass
an Ausdrucken der Text "STOP ALL FRENCH NUCLEAR TESTIN IN
PACIFIC!" angehngt wird, andererseits aber auch den Versuch,
Systemdateien zu lschen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 640
Gefhrdungskatalog Vorstzliche Handlungen G 5.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 641
Gefhrdungskatalog Vorstzliche Handlungen G 5.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 642
Gefhrdungskatalog Vorstzliche Handlungen G 5.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 643
Gefhrdungskatalog Vorstzliche Handlungen G 5.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 644
Gefhrdungskatalog Vorstzliche Handlungen G 5.48 Bemerkungen
___________________________________________________________________ ..........................................
G 5.48 IP-Spoofing
IP-Spoofing ist eine Angriffsmethode, bei der falsche IP-Nummern verwendet
werden, um dem angegriffenen IT-System eine falsche Identitt vorzuspielen.
Bei vielen Protokollen der TCP/IP-Familie erfolgt die Authentisierung der
kommunizierenden IT-Systeme nur ber die IP-Adresse, die aber leicht
geflscht werden kann. Nutzt man darber hinaus noch aus, dass die von den
Rechnern zur Synchronisation beim Aufbau einer TCP/IP-Verbindung
benutzten Sequenznummern leicht zu erraten sind, ist es mglich, Pakete mit
jeder beliebigen Absenderadresse zu verschicken. Damit knnen entsprechend
konfigurierte Dienste wie rlogin benutzt werden. Allerdings muss ein
Angreifer dabei u. U. in Kauf nehmen, dass er kein Antwortpaket von dem
missbruchlich benutzten Rechner erhlt.
Weitere Dienste, die durch IP-Spoofing bedroht werden, sind rsh, rexec, X-
Windows, RPC-basierende Dienste wie NFS und der TCP-Wrapper, der
ansonsten ein sehr sinnvoller Dienst zur Einrichtung einer Zugangskontrolle
fr TCP/IP-vernetzte Systeme ist. Leider sind auch die in Schicht 2 des OSI-
Modells eingesetzten Adressen wie Ethernet- oder Hardware-Adressen leicht
zu flschen und bieten somit fr eine Authentisierung keine zuverlssige
Grundlage.
In LANs, in denen das Address Resolution Protocol (ARP) eingesetzt wird,
sind sehr viel wirkungsvollere Spoofing-Angriffe mglich. ARP dient dazu,
zu einer 32-Bit groen IP-Adresse die zugehrige 48-Bit groe Hardware-
oder Ethernet-Adresse zu finden. Falls in einer internen Tabelle des Rechners
kein entsprechender Eintrag gefunden wird, wird ein ARP-Broadcast-Paket
mit der unbekannten IP-Nummer ausgesandt. Der Rechner mit dieser IP-
Nummer sendet dann ein ARP-Antwort-Paket mit seiner Hardware-Adresse
zurck. Da die ARP-Antwort-Pakete nicht manipulationssicher sind, reicht es
dann meist schon, die Kontrolle ber einen der Rechner im LAN zu bekom-
men, um das gesamte Netz zu kompromittieren.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 645
Gefhrdungskatalog Vorstzliche Handlungen G 5.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 646
Gefhrdungskatalog Vorstzliche Handlungen G 5.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 647
Gefhrdungskatalog Vorstzliche Handlungen G 5.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 648
Gefhrdungskatalog Vorstzliche Handlungen G 5.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 649
Gefhrdungskatalog Vorstzliche Handlungen G 5.53 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 650
Gefhrdungskatalog Vorstzliche Handlungen G 5.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 651
Gefhrdungskatalog Vorstzliche Handlungen G 5.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 652
Gefhrdungskatalog Vorstzliche Handlungen G 5.56 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 653
Gefhrdungskatalog Vorstzliche Handlungen G 5.57 Bemerkungen
___________________________________________________________________ ..........................................
G 5.57 Netzanalyse-Tools
Werden die im Netzsegment bertragenen Informationen nicht verschlsselt,
so knnen diese Informationen mit Hilfe von Netzanalyse-Tools, den soge-
nannten "Sniffern", im Klartext ausgelesen werden. Hierbei ist auch zu beach-
ten, dass diese "Sniffer" keineswegs immer als "Hackingsoftware" betrachtet
werden knnen, da viele Produkte, die dem Management des Netzes dienen,
eine derartige Funktion beinhalten.
Trace-Funktionen des z/OS-Betriebssystems
Unter z/OS stehen dem Bediener sogenannte Trace-Funktionen zur Ver- Trace-Funktionen unter
z/OS
fgung. Mit Hilfe der Generalized Trace Facility (GTF) lassen sich in SNA-
oder TCP/IP-Netzen unter anderem Terminal-Sessions berwachen. Wird die
Trace-Funktion auf die Session des RACF-Administrators angewandt, kann
unter Umstnden dessen Passwort ermittelt werden, wenn die Inhalte der
Session nicht verschlsselt sind. Eine hnliche Trace-Funktion ist in der
Network Logical Data Manager-Komponente (NLDM) des Produktes NetView
enthalten.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 654
Gefhrdungskatalog Vorstzliche Handlungen G 5.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 655
Gefhrdungskatalog Vorstzliche Handlungen G 5.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 656
Gefhrdungskatalog Vorstzliche Handlungen G 5.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 657
Gefhrdungskatalog Vorstzliche Handlungen G 5.61 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 658
Gefhrdungskatalog Vorstzliche Handlungen G 5.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 659
Gefhrdungskatalog Vorstzliche Handlungen G 5.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 660
Gefhrdungskatalog Vorstzliche Handlungen G 5.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 661
Gefhrdungskatalog Vorstzliche Handlungen G 5.65 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 662
Gefhrdungskatalog Vorstzliche Handlungen G 5.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 663
Gefhrdungskatalog Vorstzliche Handlungen G 5.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 664
Gefhrdungskatalog Vorstzliche Handlungen G 5.68 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 665
Gefhrdungskatalog Vorstzliche Handlungen G 5.69 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 666
Gefhrdungskatalog Vorstzliche Handlungen G 5.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 667
Gefhrdungskatalog Vorstzliche Handlungen G 5.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 668
Gefhrdungskatalog Vorstzliche Handlungen G 5.72 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 669
Gefhrdungskatalog Vorstzliche Handlungen G 5.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 670
Gefhrdungskatalog Vorstzliche Handlungen G 5.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 671
Gefhrdungskatalog Vorstzliche Handlungen G 5.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 672
Gefhrdungskatalog Vorstzliche Handlungen G 5.76 Bemerkungen
___________________________________________________________________ ..........................................
G 5.76 Mailbomben
Unter dem Begriff Mailbomben werden E-Mails verstanden, die absichtlich
eingebaute Schadfunktionen enthalten. Diese sind blicherweise in den
Anlagen der E-Mail enthalten. Eine solche Anlage erzeugt z. B. beim Aktivie-
ren zum Lesen oder nach dem Auspacken Unmengen von Unterverzeichnissen
oder beansprucht sehr viel Festplattenplatz. Vielfach wird auch die gezielte
berlastung von E-Mailadressen durch eingehende E-Mails mit meist
sinnlosem Inhalt (siehe G 5.75 berlastung durch eingehende E-Mails) als
Mailbombing bezeichnet.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 673
Gefhrdungskatalog Vorstzliche Handlungen G 5.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 674
Gefhrdungskatalog Vorstzliche Handlungen G 5.78 Bemerkungen
___________________________________________________________________ ..........................................
G 5.78 DNS-Spoofing
Um im Internet mit einem anderen Rechner kommunizieren zu knnen,
bentigt man dessen IP-Adresse. Diese Adresse setzt sich aus vier Zahlen
zwischen 0 und 255 zusammen, also zum Beispiel 194.95.176.226. Da solche
Nummern nicht sehr einprgsam sind, wird einer solchen IP-Adresse fast
immer ein Name zugeordnet. Das Verfahren hierzu nennt sich DNS (Domain
Name System). So kann der WWW-Server des BSI sowohl unter
http://www.bsi.bund.de als auch unter http://194.95.176.226 angesprochen
werden, da der Name bei der Abfrage in die IP-Adresse umgewandelt wird.
Die Datenbanken, in denen den Rechnernamen die zugehrigen IP-Adressen
zugeordnet sind und den IP-Adressen entsprechende Rechnernamen, befinden
sich auf so genannten Nameservern. Fr die Zuordnung zwischen Namen und
IP-Adressen gibt es zwei Datenbanken: In der einen wird einem Namen seine
IP-Adresse zugewiesen und in der anderen einer IP-Adresse der zugehrige
Name. Diese Datenbanken mssen miteinander nicht konsistent sein! Von
DNS-Spoofing ist die Rede, wenn es einem Angreifer gelingt, die Zuordnung
zwischen einem Rechnernamen und der zugehrigen IP-Adresse zu flschen,
d. h. dass ein Name in eine falsche IP-Adresse bzw. umgekehrt umgewandelt
wird.
Dadurch sind unter anderem die folgenden Angriffe mglich:
- r-Dienste (rsh, rlogin, rsh)
Diese Dienste erlauben eine Authentisierung anhand des Namens des
Clients. Der Server wei die IP-Adresse des Clients und fragt ber DNS
nach dessen Namen.
- Web-Spoofing
Ein Angreifer knnte die Adresse www.bsi.bund.de einem falschen
Rechner zuweisen, und bei Eingabe von http://www.bsi.bund.de wrde
dieser falsche Rechner angesprochen werden.
Wie leicht es ist, DNS-Spoofing durchzufhren, hngt davon ab, wie das Netz
des Angegriffenen konfiguriert ist. Da kein Rechner alle DNS-Informationen
der Welt besitzen kann, ist er immer auf Informationen anderer Rechner
angewiesen. Um die Hufigkeit von DNS-Abfragen zu verringern, speichern
die meisten Nameserver Informationen, die sie von anderen Nameservern
erhalten haben, fr eine gewisse Zeit zwischen.
Ist ein Angreifer in einen Nameserver eingebrochen, kann er auch die zur
Verfgung gestellten Informationen abndern. Der Fall eines direkten
Einbruchs auf einen Nameserver soll hier nicht weiter betrachtet werden.
Vielmehr geht es darum, prinzipielle Schwchen im DNS aufzuzeigen.
Beispiele:
1. Ein Benutzer auf dem Rechner pc.kunde.de will zuerst auf www.firma-x.de
und dann auf den Konkurrenten www.firma-y.de zugreifen. Um auf
www.firma-x.de zugreifen zu knnen, muss er erst die zugehrige IP-
Adresse bei seinem Nameserver ns.kunde.de nachfragen. Dieser kennt die
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 675
Gefhrdungskatalog Vorstzliche Handlungen G 5.78 Bemerkungen
___________________________________________________________________ ..........................................
Adresse auch nicht und fragt beim Nameserver von ns.firma-x.de nach.
Dieser antwortet mit der IP-Adresse, die von ns.kunde.de an den Benutzer
weitergeleitet und gespeichert wird. Befindet sich in dem Antwortpaket
von ns.firma-x.de neben der IP-Adresse von www.firma-x.de auch noch
eine beliebige IP-Adresse fr den Rechnernamen www.firma-y.de, so wird
auch diese gespeichert. Versucht der Benutzer nun, auf www.firma-y.de
zuzugreifen, fragt der eigene Nameserver ns.kunde.de nicht mehr bei dem
Nameserver ns.firma-y.de nach, vielmehr gibt er die Informationen weiter,
die ihm von ns.firma-x.de untergeschoben wurden.
2. Firma X wei, dass ein Benutzer mit dem Rechner pc.kunde.de auf den
Konkurrenzrechner www.firma-y.de zugreifen will. Firma X verhindert
dies, indem sie den Nameserver ns.kunde.de nach der Adresse www.firma-
x.de fragt. Dieser muss beim Nameserver ns.firma-x.de nachfragen und
bekommt wie in Beispiel 1 auch die falschen Angaben ber www.firma-
y.de zurck.
Diese beiden Beispiele beruhen darauf, dass ein Nameserver auch zustzliche
Daten, die er gar nicht angefordert hat, akzeptiert. In neuen Versionen
bestimmter Software (z. B. bind) ist dieser Fehler beseitigt, so dass diese Art
von Angriffen verhindert wird. Es ist allerdings unter Verwendung von IP-
Spoofing noch immer mglich, falsche DNS-Eintrge zu erzeugen. Dieser
Angriff ist jedoch technisch viel anspruchsvoller.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 676
Gefhrdungskatalog Vorstzliche Handlungen G 5.79 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 677
Gefhrdungskatalog Vorstzliche Handlungen G 5.80 Bemerkungen
___________________________________________________________________ ..........................................
G 5.80 Hoax
Ein Hoax (englisch fr Streich, Trick, falscher Alarm) ist eine Nachricht, die Falschmeldung
eine Warnung vor neuen spektakulren Computer-Viren oder anderen
IT-Problemen enthlt und Panik verbreitet, aber nicht auf realen technischen
Fakten basiert. Meist werden solche Nachrichten ber E-Mails verbreitet.
Beispielsweise wird dabei vor Computer-Viren gewarnt, die Hardware-
Schden verursachen knnen oder durch das bloe ffnen einer E-Mail (nicht
eines Attachments) zu Infektionen und Schden fhren knnen und die durch
keine Antiviren-Software erkannt werden. Neben dieser Warnung wird darum
gebeten, die Warnmeldung an Freunde und Bekannte weiterzuleiten. Noch
wirksamer wird ein solcher Hoax, wenn als Absender eine geflschte Adresse
angegeben wird, wie zum Beispiel die eines namhaften Herstellers.
Ein solcher Hoax ist nicht zu verwechseln mit einem Computer-Virus, der Ein Hoax ist kein Virus!
tatschlich Manipulationen am IT-System vornehmen kann. Vielmehr handelt
es sich um eine irrefhrende Nachricht, die ohne Schaden gelscht werden
kann und sollte. Die einzigen Schden, die ein Hoax herbeifhrt, sind die
Verunsicherung und Irritation der Empfnger und ggf. die Kosten an Zeit und
Geld fr den Weiterversand des Hoax.
Im Bereich des Mobilfunks gab es eine ganze Reihe solcher Hoax-Nachrich-
ten, bei denen davor gewarnt wurde, dass an Mobiltelefonen die Eingabe
bestimmter Tastenkombinationen oder die Wahl bestimmter Rufnummern
dazu fhren knnten, Gesprche abzuhren oder auf Kosten anderer zu tele-
fonieren. Durch die Nennung bestimmter Mobiltelefon-Marken und einiger
technischer Ausdrcke wird der Anschein von Seriositt erweckt. Solche
Gerchte halten sich hartnckig und verunsichern die Benutzer.
Beispiel:
Im Frhjahr 2000 kursierte folgende Falschmeldung per E-Mail (und teilweise
sogar per Brief):
"Wenn sie eine Nachricht auf Ihr Handy erhalten, dass sie unter der
Nummer 0141-455xxx zurckrufen sollen, antworten sie auf keinen Fall
darauf. Ihre Rechnung steigt sonst ins Unermessliche.
Diese Information wurde von der "Zentralstelle zur Unterdrckung von
betrgerischen Machenschaften" (Office Central de Repression du
Banditisme) herausgegeben. ..."
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 678
Gefhrdungskatalog Vorstzliche Handlungen G 5.81 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 679
Gefhrdungskatalog Vorstzliche Handlungen G 5.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 680
Gefhrdungskatalog Vorstzliche Handlungen G 5.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 681
Gefhrdungskatalog Vorstzliche Handlungen G 5.84 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 682
Gefhrdungskatalog Vorstzliche Handlungen G 5.85 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 683
Gefhrdungskatalog Vorstzliche Handlungen G 5.86 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 684
Gefhrdungskatalog Vorstzliche Handlungen G 5.87 Bemerkungen
___________________________________________________________________ ..........................................
G 5.87 Web-Spoofing
Bei Web-Spoofing "flscht" ein Angreifer WWW-Server, d. h. er spiegelt
durch die Gestaltung seines WWW-Servers vor, dass dieser ein bestimmter,
vertrauenswrdiger WWW-Server ist. Dazu whlt er eine WWW-Adresse so,
dass viele Benutzer alleine durch die Adresswahl davon ausgehen, mit einer
bestimmten Institution verbunden zu sein. Selbst bei Verwendung eines
richtigen Rechnernamens ist Web-Spoofing mglich, wenn ein Angreifer
DNS-Spoofing verwendet (siehe G 5.78 DNS-Spoofing).
Beispiel:
- Unter der Adresse www.whitehouse.com findet sich nicht die offizielle
Homepage des weien Hauses, sondern die eines Scherzboldes.
- Die XY Bank hat die WWW-Adresse www.xy-bank.de. Ein Angreifer kann
unter www.xybank.de oder www.xy-bank.com WWW-Seiten einrichten, die
auf den ersten Blick denjenigen der XY Bank hneln. Dazu trgt er diese
Adressen auf diversen Suchmaschinen ein, wobei er Stichworte whlt,
nach denen XY-Kunden voraussichtlich suchen knnten.
Benutzer, die diese Seiten aufrufen, werden annehmen, dass sie mit dem
WWW-Server ihrer Bank kommunizieren. Daher sind sie bereit, ihre
Kontonummer und PIN oder andere Zugangscodes einzugeben. Vielleicht
lesen sie dort auch fr sie interessante, aber geflschte Angebote wie
gnstige Geldanlagen oder Immobilien und wollen diese wahrnehmen.
Kann die Bank diese nicht zu diesen Konditionen oder berhaupt nicht
anbieten, sind die Kunden im besten Fall nur unzufrieden, im schlechtesten
Fall kann es sogar zu Rechtsstreitigkeiten kommen.
Statt zu versuchen, einen vorhandenen WWW-Server zu manipulieren oder
nachzuahmen, kann ein Angreifer auch ein eigenes WWW-Angebot ins
Internet einbringen und dieses so gestalten, dass jeder Besucher den Eindruck
hat, mit einer etablierten, serisen Institution verbunden zu sein.
Beispiele:
- Es knnte ein Warenangebot angepriesen werden, das nur zu dem Zweck
gestaltet wurde, um Kreditkartennummern von potentiellen Kufern zu
erhalten.
- Es hat Flle gegeben, in denen gutglubige Kunden bei vermeintlichen
Banken zu lukrativen Konditionen Geld anlegen wollten. Diese Banken
waren ihnen nur bers Internet bekannt und erst, als die erwarteten Zinsen
nicht eintrafen, fiel ihnen auf, dass es sich nur um eine, inzwischen
gelschte, private WWW-Seite handelte.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 685
Gefhrdungskatalog Vorstzliche Handlungen G 5.88 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 686
Gefhrdungskatalog Vorstzliche Handlungen G 5.89 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 687
Gefhrdungskatalog Vorstzliche Handlungen G 5.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 688
Gefhrdungskatalog Vorstzliche Handlungen G 5.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 689
Gefhrdungskatalog Vorstzliche Handlungen G 5.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 690
Gefhrdungskatalog Vorstzliche Handlungen G 5.93 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 691
Gefhrdungskatalog Vorstzliche Handlungen G 5.94 Bemerkungen
___________________________________________________________________ ..........................................
G 5.94 Kartenmissbrauch
Jeden Tag werden Mobiltelefone verloren oder gestohlen. Neben dem unmit-
telbaren Verlust kann dabei weiterer finanzieller Schaden entstehen. Gelangt
ein Unbefugter in den Besitz einer SIM-Karte (z. B. durch Fund oder Dieb-
stahl), kann er auf Kosten des rechtmigen Karteninhabers telefonieren,
sofern ihm die PIN bekannt ist oder er sie leicht erraten kann.
Daten wie Telefonbuch oder Kurznachrichten, die im Mobiltelefon oder auf
der SIM-Karte gespeichert sind, knnen durchaus einen vertraulichen Charak-
ter haben. Ein Verlust des Mobiltelefons oder der Karte bedeutet dann unter
Umstnden die Offenlegung dieser gespeicherten Informationen.
Die kryptographischen Sicherheitsmechanismen der SIM-Karten einiger
Netzbetreiber waren in der Vergangenheit zu schwach ausgelegt. Dadurch war
es mglich, SIM-Karten dieser Netzbetreiber zu kopieren. Dazu muss
allerdings die Original-Karte dem Angreifer zur Verfgung stehen. Auerdem
muss die PIN bekannt sein oder die PIN-Abfrage abgeschaltet sein, damit die
IMSI ausgelesen werden kann.
Ein solcher Angriff kann von Privatbenutzern leicht verhindert und erkannt
werden. Bei Mobiltelefonen, auf die unterschiedlichste Personen Zugriff
haben, knnte ein solcher Angriff durchgefhrt werden und wrde vermutlich
erst spt bemerkt werden. Dies betrifft z. B. Mobiltelefone aus einem Pool
oder professionelle Mobiltelefon-Verleiher.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 692
Gefhrdungskatalog Vorstzliche Handlungen G 5.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 693
Gefhrdungskatalog Vorstzliche Handlungen G 5.96 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 694
Gefhrdungskatalog Vorstzliche Handlungen G 5.97 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 695
Gefhrdungskatalog Vorstzliche Handlungen G 5.98 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 696
Gefhrdungskatalog Vorstzliche Handlungen G 5.99 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 697
Gefhrdungskatalog Vorstzliche Handlungen G 5.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 698
Gefhrdungskatalog Vorstzliche Handlungen G 5.101 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 699
Gefhrdungskatalog Vorstzliche Handlungen G 5.102 Bemerkungen
___________________________________________________________________ ..........................................
G 5.102 Sabotage
Sabotage bezeichnet die mutwillige Manipulation oder Beschdigung von
Sachen mit dem Ziel, dem Opfer Schaden zuzufgen. Besonders attraktive
Ziele knnen Rechenzentren oder Kommunikationsanbindungen von Behr-
den bzw. Unternehmen sein, da hier mit relativ geringen Mitteln eine groe
Wirkung erzielt werden kann.
Die komplexe Infrastruktur eines Rechenzentrums kann durch gezielte Beein- punktuelle Manipulation
flussung wichtiger Komponenten, gegebenenfalls durch Tter von auen, vor
allem aber durch Innentter punktuell manipuliert werden, um Betriebsst-
rungen hervorzurufen. Besonders bedroht sind hierbei nicht ausreichend
geschtzte gebudetechnische oder kommunikationstechnische Infrastruktur
sowie zentrale Versorgungspunkte, die organisatorisch oder technisch gegebe-
nenfalls auch nicht berwacht werden und fr Externe leicht und unbeobachtet
zugnglich sind.
Beispiele:
- In einem groen Rechenzentrum fhrte die Manipulation an der USV zu Stromversorgung
einem vorbergehenden Totalausfall. Der Tter, er wurde ermittelt, hatte
wiederholt die USV von Hand auf Bypass geschaltet und dann die Haupt-
stromversorgung des Gebudes manipuliert. Der Totalausfall - insgesamt
fanden in drei Jahren vier Ausflle statt - fhrte partiell sogar zweimal zu
Hardware-Schden. Die Betriebsunterbrechungen dauerten zwischen 40
und 130 Minuten.
- Innerhalb eines Rechenzentrums sind auch sanitre Einrichtungen unterge- Wassereinbruch
bracht. Durch Verstopfen der Abflsse und gleichzeitiges ffnen der
Wasserzufuhr entstehen durch Wassereinbruch in zentralen Technikkom-
ponenten Schden, die zu Betriebsunterbrechungen des Produktivsystems
fhren.
- Fr elektronische Archive stellt Sabotage ein besonderes Risiko dar, da elektronische Archive
hier meist auf kleinem Raum viele schtzenswerte Dokumente verwahrt
werden. Dadurch kann unter Umstnden durch gezielte, wenig aufwendige
Manipulationen ein groer Schaden verursacht werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 700
Gefhrdungskatalog Vorstzliche Handlungen G 5.103 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 701
Gefhrdungskatalog Vorstzliche Handlungen G 5.103 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 702
Gefhrdungskatalog Vorstzliche Handlungen G 5.104 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 703
Gefhrdungskatalog Vorstzliche Handlungen G 5.105 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 704
Gefhrdungskatalog Vorstzliche Handlungen G 5.106 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 705
Gefhrdungskatalog Vorstzliche Handlungen G 5.107 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 706
Gefhrdungskatalog Vorstzliche Handlungen G 5.108 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 707
Gefhrdungskatalog Vorstzliche Handlungen G 5.108 Bemerkungen
___________________________________________________________________ ..........................................
Beispiel 3:
Durch eine Schwachstelle in der Web-Seite showcode.asp sind Internet-
Benutzer in der Lage, sich Dateien vom Web-Server anzeigen zu lassen. Wenn
nicht sichergestellt ist, dass ein Ausbrechen aus dem Webroot-Verzeichnis mit
Hilfe der Zeichenfolge /../ ausgeschlossen ist, knnen mit diesem Script auch
Dateien aus anderen Verzeichnissen, z. B. WINNT, ausgelesen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 708
Gefhrdungskatalog Vorstzliche Handlungen G 5.109 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 709
Gefhrdungskatalog Vorstzliche Handlungen G 5.110 Bemerkungen
___________________________________________________________________ ..........................................
G 5.110 Web-Bugs
Als Web-Bugs werden in E-Mail oder WWW-Seiten eingebettete Bilder be-
zeichnet, die beim ffnen von einem fremden Server nachgeladen werden.
Diese Bilder knnen sehr klein sein, beispielsweise ein mal ein Pixel groe
Minigrafiken. Die Bilder sind so eingebettet, dass sie im allgemeinen nicht
sichtbar sind, aber beim Laden vom Ursprungsserver die Ausfhrung eines
Skripts oder Programms veranlassen.
Werden Web-Bugs in HTML-formatierte E-Mails eingebettet, kann dadurch E-Mail
der Absender z. B. erkennen, welche E-Mail wann gelesen wurde. Beispiels-
weise im Zusammenhang mit unverlangt versendeten Massen-E-Mails kann
dies unerwnscht sein.
Bei der Nutzung des World Wide Web mssen Benutzer grundstzlich damit WWW
rechnen, dass auer zu dem Server, dessen WWW-Angebot sie gerade nutzen,
auch zu anderen Servern Verbindungen aufgebaut werden. Dies ist zum Bei-
spiel der Fall, wenn von einer WWW-Seite aus Bilder referenziert werden, die
auf einem anderen Server liegen. Obwohl dies im Prinzip ein normaler Vor-
gang ist, knnen unter Umstnden ber diesen Mechanismus ungewollt In-
formationen an Dritte bertragen werden, wie das unten beschriebene Beispiel
zeigt. Insbesondere knnen hierdurch vertrauliche Daten des Benutzers oder
des Server-Betreibers kompromittiert werden.
Beispiel:
Eine Universitt verwendet ein frei im Internet erhltliches Software-Paket,
um dynamische Inhalte auf dem WWW-Server anzubieten (CGI-Skripten).
Abhngig von den Eingaben des Benutzers generiert die Software auf dem
WWW-Server passende Antwort-Seiten und schickt sie an den Benutzer. Ne-
ben den eigentlichen Inhalten enthalten die generierten HTML-Seiten aber
auch Verweise auf Bilder, die sich nicht auf dem Server der Universitt, son-
dern des Programmierers der CGI-Skripten befinden. Als Folge werden diese
Bilder jedesmal vom Server des Programmierers abgerufen, wenn ein Benut-
zer auf das Internet-Angebot der Universitt zugreift. Auf diese Weise erhlt
der Programmierer ausfhrliche Informationen ber die Nutzung des von ihm
entwickelten Software-Pakets, aber leider auch ber die Nutzung des Internet-
Angebots der Universitt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 710
Gefhrdungskatalog Vorstzliche Handlungen G 5.111 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 711
Gefhrdungskatalog Vorstzliche Handlungen G 5.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 712
Gefhrdungskatalog Vorstzliche Handlungen G 5.113 Bemerkungen
___________________________________________________________________ ..........................................
G 5.113 MAC-Spoofing
Die MAC-Adresse ("media access control") eines Gerts ist eine vom
Hersteller vorgegebene Adresse, mit der Gerte auf der OSI-Schicht 2
adressiert werden.
Verschiedene Sicherungsmechanismen auf der Netzebene (beispielsweise
Port-Security bei Switches) beruhen darauf, dass eine Verbindung nur von
einem Gert mit einer bestimmten MAC-Adresse aufgebaut werden darf.
Mit Hilfe entsprechender Programme kann ein Angreifer die MAC-Adresse
seines Gertes ndern und Ethernet-Frames mit einer fremden Kennung in das
Netzsegment schicken. Auf diese Weise knnen Sicherungsmechanismen
umgangen werden, die allein auf der Verwendung einer MAC-Adresse
beruhen. Der Angreifer muss sich dabei allerdings im selben Netzsegment
befinden oder sogar Zugang zu demselben Switchport haben wie das Gert,
als das er sich mittels MAC-Spoofing ausgibt.
Eine Gefhrdung durch MAC-Spoofing besteht auch bei drahtlosen Netzen
(WLAN), bei denen am Access-Point eine entsprechende Zugangskontrolle
konfiguriert wurde.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 713
Gefhrdungskatalog Vorstzliche Handlungen G 5.114 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 714
Gefhrdungskatalog Vorstzliche Handlungen G 5.115 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 715
Gefhrdungskatalog Vorstzliche Handlungen G 5.116 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 716
Gefhrdungskatalog Vorstzliche Handlungen G 5.116 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 717
Gefhrdungskatalog Vorstzliche Handlungen G 5.117 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 718
Gefhrdungskatalog Vorstzliche Handlungen G 5.118 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 719
Gefhrdungskatalog Vorstzliche Handlungen G 5.119 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 720
Gefhrdungskatalog Vorstzliche Handlungen G 5.120 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 721
Gefhrdungskatalog Vorstzliche Handlungen G 5.120 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 722
Gefhrdungskatalog Vorstzliche Handlungen G 5.121 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 723
Gefhrdungskatalog Vorstzliche Handlungen G 5.122 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 724
Gefhrdungskatalog Vorstzliche Handlungen G 5.123 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 725
Gefhrdungskatalog Vorstzliche Handlungen G 5.124 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 726
Gefhrdungskatalog Vorstzliche Handlungen G 5.125 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 727
Gefhrdungskatalog Vorstzliche Handlungen G 5.126 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 728
Manahmenkatalog Infrastruktur M1 Bemerkungen
___________________________________________________________________ ..........................................
M1 Manahmenkatalog Infrastruktur
M 1.1 Einhaltung einschlgiger DIN-Normen/VDE-
Vorschriften ............................................................................... 1
M 1.2 Regelungen fr Zutritt zu Verteilern.......................................... 2
M 1.3 Angepasste Aufteilung der Stromkreise .................................... 3
M 1.4 Blitzschutzeinrichtungen ........................................................... 4
M 1.5 Galvanische Trennung von Auenleitungen.............................. 5
M 1.6 Einhaltung von Brandschutzvorschriften................................... 6
M 1.7 Handfeuerlscher ....................................................................... 7
M 1.8 Raumbelegung unter Bercksichtigung von Brandlasten.......... 8
M 1.9 Brandabschottung von Trassen.................................................. 9
M 1.10 Verwendung von Sicherheitstren und -fenstern .................... 10
M 1.11 Lageplne der Versorgungsleitungen ...................................... 11
M 1.12 Vermeidung von Lagehinweisen auf schtzenswerte
Gebudeteile ............................................................................ 12
M 1.13 Anordnung schtzenswerter Gebudeteile .............................. 13
M 1.14 Selbstttige Entwsserung ....................................................... 14
M 1.15 Geschlossene Fenster und Tren ............................................. 15
M 1.16 Geeignete Standortauswahl...................................................... 16
M 1.17 Pfrtnerdienst........................................................................... 17
M 1.18 Gefahrenmeldeanlage .............................................................. 18
M 1.19 Einbruchsschutz ....................................................................... 19
M 1.20 Auswahl geeigneter Kabeltypen unter physikalisch-
mechanischer Sicht .................................................................. 20
M 1.21 Ausreichende Trassendimensionierung ................................... 21
M 1.22 Materielle Sicherung von Leitungen und Verteilern ............... 22
M 1.23 Abgeschlossene Tren
M 1.24 Vermeidung von wasserfhrenden Leitungen ......................... 24
M 1.25 berspannungsschutz .............................................................. 25
M 1.26 Not-Aus-Schalter .................................................................. 26.1
M 1.27 Klimatisierung ...................................................................... 26.2
M 1.28 Lokale unterbrechungsfreie Stromversorgung......................... 28
M 1.29 Geeignete Aufstellung eines IT-Systems................................. 30
M 1.30 Absicherung der Datentrger mit TK-Gebhrendaten ............ 31
M 1.31 Fernanzeige von Strungen ..................................................... 32
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 729
Manahmenkatalog Infrastruktur M1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 730
Manahmenkatalog Infrastruktur M 1.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 731
Manahmenkatalog Infrastruktur M 1.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 732
Manahmenkatalog Infrastruktur M 1.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 733
Manahmenkatalog Infrastruktur M 1.4 Bemerkungen
___________________________________________________________________ ..........................................
M 1.4 Blitzschutzeinrichtungen
Verantwortlich fr Initiierung: Leiter Haustechnik
Verantwortlich fr Umsetzung: Haustechnik
Die direkten Auswirkungen eines Blitzeinschlages auf ein Gebude
(Beschdigung der Bausubstanz, Dachstuhlbrand u..) lassen sich durch die
Installation einer Blitzschutzanlage gem DIN/VDE 0185 verhindern. ber
diesen "ueren Blitzschutz" hinaus ist fast zwingend der "Innere Blitz-
schutz", der berspannungsschutz, erforderlich. Denn der uere Blitzschutz
schtzt die elektrischen Betriebsmittel im Gebude nicht. Dies ist nur durch
einen berspannungsschutz mglich (siehe dazu M 1.25
berspannungsschutz), dessen hohe Kosten dem Schutzgut gegenber
gerechtfertigt sein mssen.
Fr einen umfassenden Blitzschutz ist es notwendig, dass sich alle Schutz-
einrichtungen auf das gleiche Potential beziehen. Der uere Blitzschutz ist
entsprechend den Forderungen der DIN VDE 0185 "Blitzschutzanlagen" mit
der Potentialausgleichschiene (PAS) verbunden. Diese ist ihrerseits mit dem
PEN- bzw. N- und PE-Leiter der elektrischen Installation im Gebude ver-
bunden. Bei einem Blitzeinschlag fllt eine dem eingeprgten Strom propor-
tionale Spannung am Erdungswiderstand der Blitzschutzanlage ab. Das
Potential der PAS und somit von N- und PE-Leitern im Gebude steigt an und
kann Werte von mehreren zehntausend Volt erreichen. Es werden Spannungen
zwischen N-/PE-Leitern und den Leitern L1/L2/L3 erreicht, die das betriebs-
bliche Ma von 230/400 V deutlich berschreiten. Es kommt zu Schden an
Gerten und Leitungen. Ausgleichsstrme zwischen Daten- und Energie-
versorgungsnetz, beispielsweise aufgrund defekter Schirmungen, knnen zur
Zerstrung von IT fhren (siehe dazu M 1.39 Verhinderung von
Ausgleichsstrmen auf Schirmungen). Die Betrachtung aller Netze
(Gebudeleittechnik, Weitverkehrsnetze) ist wegen mglicher
Parallelverlegungen im Hinblick auf berkopplungen genauso notwendig wie
die Einbeziehung in das Gebude fhrender Auenleitungen (siehe dazu
M 1.5 Galvanische Trennung von Auenleitungen).
Beispiel:
Durch Blitzschlag entstand in der sddeutschen Niederlassung eines Dienst-
leistungsunternehmens ein Schaden an IT-Gerten (PCs, Server, Laserdrucker)
in Hhe von ca. 10.000 Euro. Aufgrund dieses Ereignisses wurde das Gebude
mit einem ueren Blitzschutz ohne inneren Blitzschutz
(berspannungsschutz) ausgestattet. Ein erneuter Blitzschlag fhrte nun trotz
ueren Blitzschutzes zu Schden in annhernd gleicher Hhe.
Ergnzende Kontrollfragen:
- Ist die Notwendigkeit des ueren Blitzschutzes tatschlich gegeben?
- Gibt es Auflagen von Behrden oder Versicherungen?
- Wird die Blitzschutzanlage regelmig geprft und gewartet?
- Existiert ggf. ein ausreichender berspannungsschutz im Gebude?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 734
Manahmenkatalog Infrastruktur M 1.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 735
Manahmenkatalog Infrastruktur M 1.6 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 736
Manahmenkatalog Infrastruktur M 1.7 Bemerkungen
___________________________________________________________________ ..........................................
M 1.7 Handfeuerlscher
Verantwortlich fr Initiierung: Leiter Haustechnik, Brandschutzbeauftragter
Verantwortlich fr Umsetzung: Brandschutzbeauftragter, Haustechnik
Die meisten Brnde entstehen aus kleinen, anfangs noch gut beherrschbaren Brnde mglichst im
Keim ersticken
Brandherden. Besonders in Bros findet das Feuer reichlich Nahrung und
kann sich sehr schnell ausbreiten. Der Sofortbekmpfung von Brnden kommt
also ein sehr hoher Stellenwert zu.
Diese Sofortbekmpfung ist nur mglich, wenn Handfeuerlscher in der
jeweils geeigneten Brandklasse (DIN EN 3) in ausreichender Zahl und Gre
(Beratung durch die rtliche Feuerwehr) im Gebude zur Verfgung stehen.
Dabei ist die rumliche Nhe zu schtzenswerten Bereichen und Rumen wie
Serverraum, Raum mit technischer Infrastruktur oder Belegarchiv anzu-
streben.
Wasserlscher mit Eignung fr Brandklasse A bis 1000 V sind durchaus fr
elektrisch betriebene Gerte geeignet.
Fr elektronisch gesteuerte Gerte, z. B. Rechner, sollten vorzugsweise
Kohlendioxyd-Lscher (Brandklasse B) zur Verfgung stehen. Die Lsch-
wirkung wird durch Verdrngung des Sauerstoffs erreicht, deshalb ist bei
Anwendung in engen, schlecht belfteten Rumen Vorsicht geboten.
Pulverlscher, die die Brandklassen A (feste Stoffe), B (brennbare Flssig-
keiten) und C (Gase) abdecken, sollten in Bereichen mit elektrischen und
elektronischen Gerten nicht eingesetzt werden, weil die Lschschden in der
Regel unverhltnismig hoch sind.
Die Feuerlscher mssen regelmig geprft und gewartet werden. Die Feuer- Mitarbeiter mssen mit
Feuerlschern umgehen
lscher mssen so angebracht werden, dass sie im Brandfall leicht erreichbar knnen
sind. Die Beschftigten sollten sich die Standorte des nchsten Feuerlschers
einprgen. Die Standorte von Lschern und Hydranten sind durch vorge-
schriebene Schilder kenntlich zu machen. Tragbare Feuerlscher sind zugelas-
sen bis zu einem Gesamtgewicht von 20 kg. Mit den berwiegend einge-
setzten Gerten von 6 und 12 kg lassen sich grere Brandherde lschen als
von Laien blicherweise angenommen wird, dies ist allerdings nur bei
konsequenter Vorgehensweise gegeben. Bis zur vollstndigen Entladung des
Lschmittels vergehen nur wenige Sekunden. Daher sind bei entsprechenden
Brandschutzbungen die Mitarbeiter in die Benutzung der Handfeuerlscher
einzuweisen.
Ergnzende Kontrollfragen:
- Sind die Mitarbeiter ber den Aufbewahrungsort der Handfeuerlscher
informiert?
- Wird die Nutzung der Handfeuerlscher gebt?
- Sind die Handfeuerlscher im Brandfall berhaupt erreichbar?
- Werden die Handfeuerlscher regelmig inspiziert und gewartet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 737
Manahmenkatalog Infrastruktur M 1.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 738
Manahmenkatalog Infrastruktur M 1.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 739
Manahmenkatalog Infrastruktur M 1.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 740
Manahmenkatalog Infrastruktur M 1.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 741
Manahmenkatalog Infrastruktur M 1.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 742
Manahmenkatalog Infrastruktur M 1.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 743
Manahmenkatalog Infrastruktur M 1.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 744
Manahmenkatalog Infrastruktur M 1.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 745
Manahmenkatalog Infrastruktur M 1.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 746
Manahmenkatalog Infrastruktur M 1.17 Bemerkungen
___________________________________________________________________ ..........................................
M 1.17 Pfrtnerdienst
Verantwortlich fr Initiierung: Leiter Innerer Dienst
Verantwortlich fr Umsetzung: Innerer Dienst
Die Einrichtung eines Pfrtnerdienstes hat weitreichende positive Auswir-
kungen gegen eine ganze Reihe von Gefhrdungen. Voraussetzung ist aller-
dings, dass bei der Durchfhrung des Pfrtnerdienstes einige Grundprinzipien
beachtet werden.
- Der Pfrtner beobachtet bzw. kontrolliert alle Personenbewegungen an der
Pforte.
- Unbekannte Personen ("selbst der neue Chef") haben sich beim Pfrtner zu
legitimieren.
- Der Pfrtner hlt vor Einlassgewhrung eines Besuchers bei dem Besuch-
ten Rckfrage.
- Der Besucher wird zu dem Besuchten begleitet oder an der Pforte abgeholt.
- Dem Pfrtner mssen die Mitarbeiter bekannt sein. Scheidet ein Mitar-
beiter aus, ist auch der Pfrtner zu unterrichten, ab wann diesem Mitar-
beiter der Einlass zu verwehren ist.
- In einem Besucherbuch kann der Zutritt von Fremdpersonen zum Gebude
dokumentiert werden. Die Ausgabe von Besucherausweisen oder
Besucherbegleitscheinen ist zu erwgen.
Die Arbeitsbedingungen des Pfrtners sind fr die Aufgabenwahrnehmung
geeignet auszugestalten. Die Aufgabenbeschreibung muss verbindlich fest-
schreiben, welche Aufgaben dem Pfrtner im Zusammenspiel mit weiteren
Schutzmanahmen zukommt (z. B. Gebudesicherung nach Dienst- oder
Geschftsschluss, Scharfschaltung der Alarmanlage, Kontrolle der Auentren
und Fenster).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 747
Manahmenkatalog Infrastruktur M 1.18 Bemerkungen
___________________________________________________________________ ..........................................
M 1.18 Gefahrenmeldeanlage
Verantwortlich fr Initiierung: Leiter Haustechnik, Brandschutzbeauftragter,
IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: Haustechnik
Eine Gefahrenmeldeanlage (GMA) besteht aus einer Vielzahl lokaler Melder,
die mit einer Zentrale kommunizieren, ber die auch der Alarm ausgelst
wird. Ist eine Gefahrenmeldeanlage fr Einbruch, Brand, Wasser oder auch
Gas vorhanden und lsst sich diese mit vertretbarem Aufwand entsprechend
erweitern, sollten zumindest die Kernbereiche der IT (Serverrume,
Datentrgerarchive, Rume fr technische Infrastruktur u. .) in die
berwachung durch diese Anlage mit eingebunden werden. So lassen sich
Gefhrdungen wie Feuer, Einbruch, Diebstahl frhzeitig erkennen und
Gegenmanahmen einleiten. Um dies zu gewhrleisten, ist die Weiterleitung
der Meldungen an eine stndig besetzte Stelle (Pfrtner, Wach- und
Sicherheitsdienst, Feuerwehr, etc.) unumgnglich. Dabei muss sichergestellt
sein, dass diese Stelle auch in der Lage ist, technisch und personell auf den
Alarm zu reagieren. Hierbei sind die Aufschaltrichtlinien der jeweiligen
Institutionen zu beachten.
Eine Gefahrenmeldeanlage ist ein komplexes Gesamtsystem, das dem Ge- Planung und Installation
bude und dem Risiko entsprechend geplant und installiert werden muss.
Planung, Installation und Wartung einer Gefahrenmeldeanlage sollte daher
durch Experten durchgefhrt werden. Falls diese nicht im eigenen Haus vor-
handen sind, sollte auf externe Untersttzung zurckgegriffen werden. So gibt
es beispielsweise eine Vielzahl unterschiedlicher Meldesysteme, die ent-
sprechend der Sicherheitsanforderungen und der Umgebung ausgewhlt
werden mssen. Zur Einbruchserkennung knnen z. B. Bewegungsmelder,
Glasbruchsensoren, ffnungskontakte, Videokameras u. a. eingesetzt werden.
Die Melder knnen untereinander auf verschiedene Arten vernetzt werden. In Vernetzung der Melder
Abhngigkeit von Art und Gre der zu schtzenden Bereiche und der
geltenden Richtlinien mssen passende Systeme ausgewhlt und installiert
werden. Bei der Planung oder Erweiterung einer GMA sollte darauf geachtet
werden, dass die Trassen fr die Vernetzung ausreichend dimensioniert sein
mssen und mglichst wenig nderungen an der Trassenbelegung vorge-
nommen werden sollten.
Um die Schutzwirkung der GMA aufrechtzuerhalten, ist eine regelmige Wartung und Funktions-
prfung
Wartung und Funktionsprfung (DIN VDE 0833 Teil 1-3) vorzusehen.
Ist keine GMA vorhanden oder lsst sich die vorhandene nicht nutzen,
kommen als Minimallsung lokale Gefahrenmelder in Betracht. Diese
arbeiten vllig selbstndig, ohne Anschluss an eine Zentrale. Die Alarmierung
erfolgt vor Ort oder mittels einer einfachen Zweidrahtleitung (evtl. Telefon-
leitung) an anderer Stelle.
Fr den Betrieb eines Rechenzentrums muss eine GMA zur Brand- und
Einbruchdetektion installiert sein. Weitere Detektionsbereiche knnen nach
Lage des Standorts und dessen Infrastruktur sinnvoll sein.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 748
Manahmenkatalog Infrastruktur M 1.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 749
Manahmenkatalog Infrastruktur M 1.19 Bemerkungen
___________________________________________________________________ ..........................................
M 1.19 Einbruchsschutz
Verantwortlich fr Initiierung: Leiter Haustechnik, IT-
Sicherheitsmanagement
Verantwortlich fr Umsetzung: Haustechnik
Erfahrungsgem whlen Einbrecher ihre Ziele danach aus, wie hoch das Erfolgsaussichten
minimieren
Risiko und der Aufwand im Verhltnis zum erwarteten Gewinn sind. Daher
sollten ale Manahmen zum Einbruchsschutz darauf zielen, die
Erfolgsaussichten von Ttern zu minimieren. Die gngigen Manahmen zum
Einbruchsschutz sollten den rtlichen Gegebenheiten entsprechend angepasst
werden. Dazu gehren:
- Rollladensicherungen bei einstiegsgefhrdeten Tren oder Fenster,
- besondere Schliezylinder, Zusatzschlsser und Riegel,
- Sicherung von Kellerlichtschchten,
- Verschluss von nichtbenutzten Nebeneingngen,
- einbruchgesicherte Notausgnge (soweit seitens der rtlichen Bauaufsicht
zugelassen),
- einbruchhemmende Tren, beispielsweise in der Qualitt ET1 oder
hherwertig, wenn die Gefhrdungslage es erforderlich macht,
- Verschluss von Personen- und Lastenaufzgen auerhalb der Dienstzeit.
Empfehlungen hierzu geben die rtlichen Beratungsstellen der Kriminal-
polizei.
Bei der Planung materieller Sicherungsmanahmen ist darauf zu achten, dass Brand- und
Einbruchschutz
Bestimmungen des Brand- und Personenschutzes, z. B. die Nutzbarkeit von abstimmen
Fluchtwegen, nicht verletzt werden. Dies gilt insbesondere fr nderungen an
Brandschutzelementen, die einer Typenfreigabe unterliegen.
Den Mitarbeitern ist durch Regelungen bekanntzugeben, welche Manahmen
zum Einbruchsschutz beachtet werden mssen.
Auch innerhalb eines Gebudes kann der Einbau von einbruchhemmenden
Elementen sinnvoll sein, wie z. B. besonderen zutrittskontrollierten Bereichen
wie Serverrumen oder den Kerneinheiten eines Rechenzentrums.
Ergnzende Kontrollfragen:
- Wird geprft, ob die Manahmen zum Einbruchschutz befolgt werden?
- Sind die Regelungen zum Einbruchsschutz den Mitarbeitern bekannt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 751
Manahmenkatalog Infrastruktur M 1.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 752
Manahmenkatalog Infrastruktur M 1.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 753
Manahmenkatalog Infrastruktur M 1.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 754
Manahmenkatalog Infrastruktur M 1.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 755
Manahmenkatalog Infrastruktur M 1.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 756
Manahmenkatalog Infrastruktur M 1.25 Bemerkungen
___________________________________________________________________ ..........................................
M 1.25 berspannungsschutz
Verantwortlich fr Initiierung: Leiter IT, Leiter Haustechnik, IT-
Sicherheitsmanagement
Verantwortlich fr Umsetzung: Haustechnik, Administrator
Je nach Qualitt und Ausbau des Versorgungsnetzes des Energieversorgungs-
unternehmens und des eigenen Stromleitungsnetzes, abhngig vom Umfeld
(andere Stromverbraucher) und von der geographischen Lage, knnen durch
Induktion oder Blitzschlag berspannungsspitzen im Stromversorgungsnetz
entstehen. berspannungsschutzmanahmen dienen zur Reduzierung mgli-
cher Schden an IT-Gerten in Netzen durch direkten Blitzeinschlag,
Einkopplung und Schalthandlungen.
Auch ber andere elektrisch leitende Auenanbindungen wie Telefon-,
Wasser- oder Gasleitungen knnen berspannungen in ein Gebude und die
dort betriebene IT gelangen. Darber hinaus knnen berspannungen auch
auf interne Leitungen eingekoppelt werden.
Ein komplettes berspannungsschutzkonzept bercksichtigt alle externen und Alle Verbindungen
beachten
internen elektrisch leitenden Verbindungen und baut sich in drei Stufen auf,
die sich im Wesentlichen an den Bemessungsstospannungen fr die
berspannungskategorien gem DIN VDE 0110/IEC Publikation 664
orientieren:
- Der Grobschutz in der Gebudeeinspeisung ist in der Lage berspannun- Grobschutz
gen abzufangen, wie sie durch direkten Blitzeinschlag entstehen und sie
auf Werte kleiner als 6000 V zu begrenzen. Bei vorhandenem ueren
Blitzschutz muss der Grobschutz blitzstromfhig sein, da mit Strmen im
100 kA-Bereich zu rechnen ist.
- Der Mittelschutz in den Etagenverteilern begrenzt die verbleibenden ber- Mittelschutz
spannungen auf ca. 1500 V und ist darauf angewiesen, dass die von ihm
abzufangenden berspannungen 6000 V nicht berschreiten.
- Der Feinschutz an den jeweiligen Steckdosen und den Steckverbindungen Feinschutz
aller anderen Leitungen reduziert die verbleibenden berspannungen auf
das von den angeschlossenen Gerten verkraftbare Ma. Die Hersteller
elektrischer und elektronischer Gerte sind in den meisten Lndern
verpflichtet, ihre Gerte mit einem fr den sicheren Betrieb erforderlichen
Feinschutz auszustatten (CE-Zeichen deutet darauf hin). In Deutschland ist
dies durch das Gesetz ber die elektromagnetische Vertrglichkeit von
Gerten (EMVG) geregelt.
Die Schutzwirkung jeder Stufe baut auf der vorherigen auf. Der Verzicht auf
eine Stufe macht den gesamten berspannungsschutz nahezu unwirksam.
Ist der gebudeweite Aufbau eines berspannungsschutzes nicht mglich, so Aufbau von Schutzzonen
kann man zumindest wichtige Teile der IT (Server etc.) mit einer entsprechen-
den Schutzzone umgeben. Netze mit einer Vielzahl angeschlossener Gerte
knnen, um einen mglichen Schaden klein zu halten, durch Optokoppler oder
berspannungsableiter in kleine, gegeneinander geschtzte Bereiche aufgeteilt
werden. Dabei mssen geschtzte und nicht geschtzte Bereiche bis zurck zu
der Schutzeinrichtung, bei der die Teilung erfolgt, konsequent getrennt
werden. Die Zuleitungen mssen mit ausreichendem Abstand gefhrt werden,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 757
Manahmenkatalog Infrastruktur M 1.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 758
Manahmenkatalog Infrastruktur M 1.26 Bemerkungen
___________________________________________________________________ ..........................................
M 1.26 Not-Aus-Schalter
Verantwortlich fr Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich fr Umsetzung: Haustechnik
Bei Rumen, in denen elektrische Gerte in der Weise betrieben werden, dass
z. B. durch deren Abwrme, durch hohe Gertedichte oder durch Vorhanden-
sein zustzlicher Brandlasten ein erhhtes Brandrisiko besteht, ist die Instal-
lation eines Not-Aus-Schalters sinnvoll. Dies sind z. B. Server- oder
Technikrume. Da zur Bettigung des Not-Aus-Schalters Personal erforderlich
ist, kommt er jedoch nur in solchen Bereichen in Frage, in denen stndig oder
meistens Personen anwesend sind. In nicht oder nur sporadisch besetzten
Bereichen ist eine Notabschaltung durch eine Brandfrhesterkennung
wesentlich effektiver.
Mit Bettigung des Not-Aus-Schalters wird dem Brand eine wesentliche
Energiequelle genommen, was bei kleinen Brnden zu deren Verlschen
fhren kann. Zumindest ist aber die Gefahr durch elektrische Spannungen
beim Lschen des Feuers beseitigt.
Zu beachten ist, dass lokale unterbrechungsfreie Stromversorgungen (USV) USV darf bei Not-Aus
nicht anspringen!
nach Ausschalten der externen Stromversorgung die Stromversorgung selbst-
ttig bernehmen und die angeschlossenen Gerte unter Spannung bleiben.
Daher ist bei der Installation eines Not-Aus-Schalters zu beachten, dass auch
die USV abgeschaltet und nicht nur von der externen Stromversorgung ge-
trennt wird.
Der Not-Aus-Schalter sollte innerhalb des Raumes neben der Eingangstr
(evtl. mit Lagehinweis auen an der Tr) oder auerhalb des Raumes neben
der Tr angebracht werden. Dabei ist allerdings zu bedenken, dass dieser Not-
Aus-Schalter auch ohne Gefahr versehentlich oder absichtlich bettigt werden
kann. Daher ist der Not-Aus-Schalter mit einer Abdeckung gegen versehent-
liche Bettigung zu schtzen.
Negativbeispiel:
Ein Serverraum einer mittleren Behrde wurde mit ca. 10 Servern, 5 Laser-
druckern und weiteren Gerten bestckt. Der Raum war nach den Gesichts-
punkten des Einbruchschutzes mit entsprechenden Wnden, Fenstern und
Tren ausgestattet. Ein Not-Aus-Schalter war nicht vorhanden. Es gab nur
zwei Punkte, um diesen Raum gezielt stromlos schalten zu knnen: die
Gebudehauptverteilung im Keller oder die Verteilung des Raumes. Diese
befand sich jedoch an der Wand, die der Eingangstr gegenberlag, im Brand-
falle nahezu unerreichbar.
Ergnzende Kontrollfragen:
- Ist fr alle Technikrume berprft worden, ob die Installation eines Not-
Aus-Schalters sinnvoll ist?
- Sind alle Not-Aus-Schalter gegen unbeabsichtigte Bettigung geschtzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 759
Manahmenkatalog Infrastruktur M 1.27 Bemerkungen
___________________________________________________________________ ..........................................
M 1.27 Klimatisierung
Verantwortlich fr Initiierung: Leiter Haustechnik, Leiter IT
Verantwortlich fr Umsetzung: Haustechnik
Um den zulssigen Betriebstemperaturbereich von IT-Gerten zu gewhr-
leisten, reicht der normale Luft- und Wrmeaustausch eines Raumes manch-
mal nicht aus, so dass der Einbau einer Klimatisierung erforderlich wird.
Deren Aufgabe ist es, die Raumtemperatur innerhalb der von der IT vorgege-
benen Toleranzgrenzen zu halten.
Werden darber hinaus Forderungen an die Luftfeuchtigkeit gestellt, um
beispielsweise elektrostatische Aufladungen zu vermeiden, kann ein Klima-
gert durch Be- und Entfeuchtung auch diese erfllen. Dazu muss das Klima-
gert allerdings an eine Wasserleitung angeschlossen werden. M 1.24
Vermeidung von wasserfhrenden Leitungen ist zu beachten.
Um die Schutzwirkung aufrechtzuerhalten, ist eine regelmige Wartung der Wartung und ber-
wachung
Klimatisierungseinrichtung vorzusehen. Eine zustzliche berwachungs-
einrichtung fr die Klimatisierung ist zu empfehlen, insbesondere bei Voll-
klimatisierung.
Da bei einem Ausfall der Klimatisierung unter Umstnden viele (insbesondere
wichtige) IT-Systeme abgeschaltet werden mssen, sollte diese auf eine hohe
Verfgbarkeit ausgelegt sein. Sie sollte mit einer grozgigen Leistungs-
reserve dimensioniert sein, auerdem sollte sie einfach erweiterbar sein. Die
Klimatisierung sollte bei der Notfallplanung (siehe Kapitel 3.3
Notfallvorsorge-Konzept) nicht vergessen werden.
Fr einen Serverraum oder ein Rechenzentrum ist zur Bestimmung der Wrmelastberechnung
ntigen Khlleistung eine exakte Wrmelastberechnung durchzufhren. Eine
Frischluft-Beimischung ist dann erforderlich, wenn der oder die klimatisierten
Rume stndig mit Personal besetzt sind.
Ebenso ist durch mehrere Messungen zu verschiedenen Tageszeiten zu
bestimmen, ob eine Luftbefeuchtung oder -entfeuchtung in solchen Rumen
erforderlich ist. Hier sind auch Herstellervorgaben fr die betriebenen IT-
Komponenten zu beachten.
Wrmetauscher und Rckkhlwerke sollten mglichst nicht direkt in einem
Serverraum oder Rechenzentrum aufgestellt sein, um zu verhindern, dass
Schden an der Klimaanlage weitere Beeintrchtigungen verursachen, z. B.
durch austretende Khlflssigkeit oder Kurzschlsse.
Die Rckkhlwerke der Klimaanlage sind bei Aufstellung im Freien gegen
direkten Blitzeinschlag zu schtzen. Insbesondere in Hochsicherheitsbereichen
sollten die Rckkhlwerke nicht fr jedermann zugnglich sein und
gegebenenfalls gegen Sabotage materiell geschtzt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 760
Manahmenkatalog Infrastruktur M 1.27 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- In welchen fr IT genutzten Rumen knnen erhhte Temperaturen auf-
treten?
- Werden eingesetzte Klimagerte regelmig gewartet?
- Welches sind die fr die IT zulssigen Hchst- und Tiefstwerte fr Tempe-
ratur und Luftfeuchte?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 761
Manahmenkatalog Infrastruktur M 1.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 762
Manahmenkatalog Infrastruktur M 1.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 763
Manahmenkatalog Infrastruktur M 1.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 764
Manahmenkatalog Infrastruktur M 1.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 765
Manahmenkatalog Infrastruktur M 1.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 766
Manahmenkatalog Infrastruktur M 1.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 767
Manahmenkatalog Infrastruktur M 1.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 768
Manahmenkatalog Infrastruktur M 1.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 769
Manahmenkatalog Infrastruktur M 1.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 770
Manahmenkatalog Infrastruktur M 1.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 771
Manahmenkatalog Infrastruktur M 1.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 772
Manahmenkatalog Infrastruktur M 1.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 773
Manahmenkatalog Infrastruktur M 1.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 774
Manahmenkatalog Infrastruktur M 1.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 775
Manahmenkatalog Infrastruktur M 1.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 776
Manahmenkatalog Infrastruktur M 1.39 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Netzart ist in der Liegenschaft vorhanden?
- Wie und durch wen werden die Schutzbedingungen (eine gemeinsame
Verteilung oder nur einseitig aufgelegter Schirm) geprft?
- Werden nderungen im Datennetz mit der Haustechnik abgestimmt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 777
Manahmenkatalog Infrastruktur M 1.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 778
Manahmenkatalog Infrastruktur M 1.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 779
Manahmenkatalog Infrastruktur M 1.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 780
Manahmenkatalog Infrastruktur M 1.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 781
Manahmenkatalog Infrastruktur M 1.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 782
Manahmenkatalog Infrastruktur M 1.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 783
Manahmenkatalog Infrastruktur M 1.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 784
Manahmenkatalog Infrastruktur M 1.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 785
Manahmenkatalog Infrastruktur M 1.48 Bemerkungen
___________________________________________________________________ ..........................................
M 1.48 Brandmeldeanlage
Verantwortlich fr Initiierung: Behrden-/Unternehmensleitung
Verantwortlich fr Umsetzung: Planer
Neben der Aufstellung einer speziell auf den IT-Bereich zugeschnittenen
Brandschutzordnung sowie von Alarm- und Einsatzplnen, ist die Installation
einer Brandmeldeanlage von grter Wichtigkeit.
Da mehr als 90 % aller Brandschden in Rechenzentren durch Feuer im
Umfeld verursacht werden, empfiehlt es sich, diese Bereiche in die ber-
wachung durch die Brandmeldeanlage zu integrieren. Zum Einsatz sollten
Puls- bzw. Trendmelder (optisches Streulichtprinzip) kommen.
Die Identifikation des auslsenden Melders muss mglich sein. Zur Lokalisie-
rung des Brandherdes und der Brandausbreitung ist diese Identifikation der
Brandmelder ein besonders wichtiges Hilfsmittel.
Eine empfehlenswerte Mindestkonfiguration einer Brandmeldeanlage in der
Infrastruktur besteht aus
- Kanalmeldern in den Klimakanlen fr Zuluft und Abluft
- Meldern in der Frischluftansaugung, mit automatischer Sperrung der
Frischluft, wenn Strgren erkannt werden.
Alle Meldungen der Brandmeldeanlage und auch Strmeldungen sollten,
sofern mglich, auf einer stndig besetzte Stelle, z. B. der Pfrtnerloge, auf-
laufen.
Nach Mglichkeit sollte direkte Aufschaltung zur Berufsfeuerwehr erfolgen.
Beispiel:
Whrend einer Besprechung der Leitungsebene eines Rechenzentrums
bemerkte ein Teilnehmer, der sich kurz in einem Nebenzimmer aufhielt,
zufllig das Entstehen eines Grobrandes in einen nahegelegenen Chemie-
betrieb. Sein Hinweis auf den Brand ermglichte dem Leiter des Rechen-
zentrums, die Abschaltung der Frischluftzufuhr zu veranlassen. Nur wenige
Minuten spter wre der ruige Brandrauch von der Ansaugung, die ber
keine Detektion verfgte, in die Rechnerrume befrdert worden.
Die Funktionsfhigkeit aller Komponenten einer Brandmeldeanlage muss regelmige
berprfung
regelmig berprft werden. Auch wenn die Instandhaltung und Betrieb der
Brandmeldeanlage ber eine Wartungsfirma erfolgt, sollten zwei Mitarbeiter
mit elementaren Grundfunktionen (zumindest mit allen Betriebszustnden und
Statusmeldungen) der Anlage vertraut sein und als Ansprechpartner fr die
Wartungsfirma dienen.
Es sollten sporadisch einige der Melderlinien manuell auf ihre Funktions-
fhigkeit getestet werden.
Ergnzende Kontrollfragen:
- Wann wurde die Funktionsfhigkeit der Brandmeldeanlage zuletzt ber-
prft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 786
Manahmenkatalog Infrastruktur M 1.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 787
Manahmenkatalog Infrastruktur M 1.49 Bemerkungen
___________________________________________________________________ ..........................................
Bei der Planung sollte auch darauf geachtet werden, dass die Trassen der Ver- Versorgungsleitungen
sorgungsleitungen des Gebudes, z. B. fr Wasser oder Gas, (siehe M 1.24 vermeiden
Vermeidung von wasserfhrenden Leitungen) nicht in unmittelbarer Nhe oder
gar durch sensible Bereiche des Rechenzentrums verlaufen.
Ein Rechenzentrum ist ein sicherheitsrelevanter Bereich, daher sollten dort nur Zutritt nur fr Admini-
stratoren
die Administratoren der dort aufgestellten IT-Systeme Zutritt haben. Durch
eine darauf abgestimmte Zutrittsregelung muss fr eigene Mitarbeiter und
wichtiger noch fr nur zeitweilig Beschftigte, z. B. zu Wartungsarbeiten im
Rechenzentrum ttige, sichergestellt werden, dass sie keinen Zugriff auf
Systeme auerhalb ihres Ttigkeitsbereiches erhalten.
Es sollte verboten werden, in ein Rechenzentrum tragbare IT-Systeme,
Mobiltelefone oder Kameras mitzubringen, wenn diese nicht unter der
Kontrolle der jeweiligen Institution stehen. Generell sollte der Betrieb von
Mobiltelefonen in Rechenzentren untersagt werden, da diese den Betrieb der
IT-Systeme erheblich stren knnen. Ausnahmen hiervon mssen abgestimmt
sein (siehe M 2.188 Sicherheitsrichtlinien und Regelungen fr die Mobil-
telefon-Nutzung).
Bei der Planung von Umbau- oder Neubaumanahmen eines Rechenzentrums
sollten die im folgenden beschriebenen Parameter bercksichtigt werden.
In der Praxis hat sich fr einen Rechnersaal ein Seitenverhltnis von 1:1 bis
maximal 2:3 als gnstig erwiesen. Diese Aufteilung erleichtert die struktu-
rierte Anordnung von IT-Komponenten und deren Verkabelung im Rechen-
zentrum.
Sofern die baulichen Gegebenheiten es zulassen, ist die Installation eines
Doppelbodens empfehlenswert. Seine Hhe ist abhngig von der technischen
Ausstattung und Nutzung. Wenn der Doppelboden zur Klimatisierung genutzt
wird, sollte er ca. 50 cm Hhe haben.
Bei der Bemaung von IT-Rumen sind mindestens folgende Rahmenmae
empfehlenswert:
Lichte Raumhhe ab Doppelboden: 3,00 m
Sttzenabstnde 6,00 m
Rohbauma Trenbreite 1,10 m
Rohbauma Trenhhe 2,10 m
Decken und Doppelbden sollten auf eine Traglast von mindestens
1000 kg/m2 ausgelegt sein.
Der Doppelboden muss eine hohe Passgenauigkeit und ab einer Hhe von
20 cm eine Brandschutzqualitt von F30 in geschlossenem Zustand aufweisen.
Generell sollten die Sicherheitsrichtlinien fr Doppelbden vom Bundesver-
band Systembden e. V., Dsseldorf beachtet werden.
Hinweis: Die Doppelbden und abgehngten Decken mssen mit dem IT-
Raum abschlieen. Es drfen durch solche Konstruktionen keine unge-
sicherten Zugnge geschaffen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 788
Manahmenkatalog Infrastruktur M 1.49 Bemerkungen
___________________________________________________________________ ..........................................
Flure sollten mindestens eine Breite von 1,80 m aufweisen und mit rutsch-
festen, glatten Bodenbelgen, die hheren Transportlasten widerstehen, aus-
gelegt sein.
Aufzge als vertikale Transportwege innerhalb des Rechenzentrums sollten
eine Tragkraft von mindestens 1500 kg haben. Die lichten Kabineninnenmae
sollten mindestens 2,80 m in der Tiefe, 1,50 m in der Breite und 2,20 m in der
Hhe betragen.
Ergnzende Kontrollfragen:
- Gibt es technische und organisatorische Vorgaben fr das Rechenzentrum?
- Ist das Rechenzentrum als geschlossener Sicherheitsbereich konzipiert
worden?
- Ist der Zutritt zum Serverraum geregelt?
- Wurde bei der Planung auf eine ausreichende Trennung der Grob- und
Feintechnik geachtet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 789
Manahmenkatalog Infrastruktur M 1.50 Bemerkungen
___________________________________________________________________ ..........................................
M 1.50 Rauchschutz
Verantwortlich fr Initiierung: Behrden-/Unternehmensleitung
Verantwortlich fr Umsetzung: Planer
Rauch stellt bei Brnden die grte Personengefhrdung dar. Mehr als 90 %
der Brandtoten sind durch Raucheinwirkungen (Vergiftungen) zu beklagen.
Aber auch die IT-Hardware kann durch Rauch erheblich in Mitleidenschaft
gezogen werden. Daher ist auf einen umfassenden Rauchschutz Wert zu legen.
Die folgenden Empfehlungen sollten zum Rauchschutz bercksichtigt werden:
- Brandschutztren sollten Rauchschutzqualitt aufweisen.
- Rauchschutztren in Fluren sollten durch Rauchschalter gesteuert werden. Rauchschutztren
Solche Tren knnen immer offen stehen, da sie bei Rauchdetektion
selbstttig schlieen.
- Die Lftungsanlage bzw. die Klimaanlage sollte eine Entrauchung von IT-
Rumen gestatten.
- In Klimakanlen (Zu- und Abluft) sollten Kanalmelder installiert sein. Kanalmelder
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 790
Manahmenkatalog Infrastruktur M 1.51 Bemerkungen
___________________________________________________________________ ..........................................
M 1.51 Brandlastreduzierung
Verantwortlich fr Initiierung: Behrden-/Unternehmensleitung
Verantwortlich fr Umsetzung: Planer, Leiter IT, Leiter Haustechnik
Hohe Brandlasten entstehen z. B. durch die Konzentration von IT-Systemen,
falsche Auswahl von Baumaterialien, leicht brennbare Broausstattung und
groe Papiermengen. In vielen Fllen knnen solche Brandlasten auf einfache
Weise vermieden werden.
Bei Rechenzentren - ebenso wie bei anderen Gebuden - sollte bereits in der
Planungsphase die Reduzierung unntiger Brandlasten bercksichtigt werden.
Nicht brennbare Materialien sind fr den Ausbau zu bevorzugen (Baustoff-
klasse A).
Um den sicheren Betrieb unter Gesichtspunkten des Brandschutzes zu ge-
whrleisten und Grenzwerte nicht zu berschreiten, sollte schon in der
Planungsphase eine berschlgige Berechnung der spteren Brandlasten er-
folgen. Dabei sind die Brandklassen der Einrichtungen bzw. der Baustoff-
klassen der Materialien zu bercksichtigen. Dadurch werden spter
Schwierigkeiten bei der brandschutztechnischen Abnahme durch Bauauf-
sichtsbehrden und Feuerwehr vermieden.
Andererseits ist im laufenden Rechenzentrums-Betrieb dafr Sorge zu tragen,
dass beispielsweise Brandlasten im Doppelboden in Form von nicht mehr
bentigten Kabeln entfernt werden.
Aus Brorumen sollten nicht mehr bentigte Akten entfernt und in speziell
dafr vorgesehenen Archiven gelagert werden.
Eine der hufigsten Beispiele fr unntige Brandlasten in Rumen, die fr die
IT genutzt werden, ist Verpackungsmaterial, beispielsweise Pappe oder
Styropor. Aus den IT-Rumen ist Verpackungsmaterial umgehend zu
entfernen und in dafr vorgesehene Lagerrume zu transportieren, wenn es
noch bentigt wird.
Ergnzende Kontrollfragen:
- Wird regelmig berprft, ob sich Brandlasten in den genutzten Rum-
lichkeiten anhufen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 791
Manahmenkatalog Infrastruktur M 1.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 792
Manahmenkatalog Infrastruktur M 1.53 Bemerkungen
___________________________________________________________________ ..........................................
M 1.53 Videoberwachung
Verantwortlich fr Initiierung: Behrden-/Unternehmensleitung
Verantwortlich fr Umsetzung: Planer,
Die Manahmen zur Auenhautsicherung (siehe M 1.55 Perimeterschutz) und
Zutrittskontrolle knnen durch den Einsatz von Videotechnik ergnzt werden.
Videoberwachungsanlagen, ob eigenstndig oder ergnzend zu anderen
Sicherheitstechniken, werden zur Erreichung folgender Schutzziele eingesetzt:
- Abschreckung
- Fassadenberwachung
- Identifizierung
- berwachung
- Alarmierung
- Erkennung und Lokalisierung von Gefahren
- Schadenverhtung
- Dokumentation und Auswertung von Regelabweichungen
Bei der Planung einer Videoberwachung ist auf eine konsistente Einbettung
in das gesamte Schutzkonzept zu achten. Dies gilt umso mehr, wenn die
berwachungsterminals weit vom zu schtzenden Bereich entfernt sind. Eine
Videoberwachung ohne Auswertungs- und Alarmierungsmechanismen
macht auer zur Abschreckung keinen Sinn. Die bentigten zentralen
Technikkomponenten sind in geeigneter Umgebung aufzustellen und zu
schtzen.
Bei der Planung bzw. Installation einer Videoberwachung sollte der Daten-
schutzbeauftragte und der Personal- bzw. Betriebsrat hinzugezogen werden.
Ergnzende Kontrollfragen:
- Ist die Videoberwachung konsistent in das Schutzkonzept eingebettet?
- Wird die Funktionsfhigkeit der Videoberwachungsanlage regelmig
berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 793
Manahmenkatalog Infrastruktur M 1.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 794
Manahmenkatalog Infrastruktur M 1.55 Bemerkungen
___________________________________________________________________ ..........................................
M 1.55 Perimeterschutz
Verantwortlich fr Initiierung: Behrden-/Unternehmensleitung
Verantwortlich fr Umsetzung: Planer
Falls das Gebude oder Rechenzentrum innerhalb eines Grundstcks liegt, auf
dem zustzliche Sicherheitseinrichtungen installiert werden knnen, sollten
Manahmen ergriffen werden, um von auen wirkende Gefhrdungen vom
Rechenzentrum abzuhalten.
Insbesondere kann hier die erste Stufe einer Zutritts- und vor allem Zufahrts-
regelung geschaffen werden.
Je nach Schutzbedarf und topologischen Gegebenheiten kann ein Perimeter-
schutz aus folgenden Komponenten bestehen:
- uere Umschlieung oder Umfriedung, z. B. Zaunanlage, Mauerwerk uere Umfriedung
und Zaunberwachung
Dies bietet
- Schutz gegen unbeabsichtigtes berschreiten einer Grundstcks-
grenze,
- Schutz gegen beabsichtigtes gewaltloses berwinden der Grund-
stcksgrenze sowie
- Schutz gegen beabsichtigtes gewaltsames berwinden der Grund-
stcksgrenze.
- Freiland-Sicherungsmanahmen, z. B. Gelndegestaltung, Zufahrtssperren, Freiland-Sicherungs-
manahmen
Beleuchtung des Gelndes und des Gebudes, Bewachungsunternehmen,
Videoberwachung und Detektionssensorik auf dem Gelnde
Dies bietet Schutz gegen unbemerkten Zutritt eines Eindringlings fr die
Flche zwischen Umfriedung und Gebude.
- uere Personen- und Fahrzeugidentifikation, z. B. Videogegensprech- Personen- und Fahr-
zeugkontrollen
anlage, Personen- bzw. Fahrzeugschleuse, Tr- bzw. Torffnung und
Zutrittskontrolleinheiten
Dies bietet Schutz gegen erkennbar (visuell, akustisch oder sensorisch)
unberechtigte Zutrittsversuche als erste Stufe des Zutrittskontrollkonzeptes.
Diese Aufgabe kann durch einen Pfrtnerdienst untersttzt werden (siehe
auch M 1.17 Pfrtnerdienst).
Bevor Manahmen aus dem Bereich Perimeterschutz realisiert werden, muss
in jedem Fall ein stimmiges Schutzkonzept erarbeitet werden, das die oben
genannten Aspekte und den Gebudeschutz umfasst. Anderenfalls besteht die
Gefahr, dass vergleichsweise teure Sicherheitsmanahmen umgesetzt werden,
beispielsweise aufwndige Zaunanlagen und ausgefeilte Gelnde-Videober-
wachung, die in keinem Verhltnis zur Gebudesicherung stehen und daher
nicht angemessen sind.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 795
Manahmenkatalog Infrastruktur M 1.55 Bemerkungen
___________________________________________________________________ ..........................................
Das Schutzkonzept sollte darauf ausgerichtet sein, mit den zur Verfgung
stehenden Ressourcen mglichst wirksame Schutzmanahmen aufzubauen.
Dies betrifft besonders den Bereich Perimeterschutz. Die hier ergriffenen
Manahmen sollten die Gesamtsicherheit erhhen und nicht nur das Image
einer "Hochsicherheitskulisse" vermitteln, da sich qualifizierte Angreifer
allein durch den Anblick von hohen Zunen und Videoberwachung kaum
von ihrem Vorsatz abbringen lassen.
Beispiel:
Wenn ein Angreifer zwei Minuten bentigt, um den Weg ber den Zaun bis
zum Gebude zu nehmen und anschlieend nur eine halbe Minute fr das
Eindringen ins Gebude, stimmt die Relation nicht. Dies gilt um so mehr,
wenn das Eintreffen von Einsatzkrften der rtlichen Polizei nach Alarmie-
rung durch ein privates Bewachungsunternehmen beispielsweise acht Minuten
dauert. In dieser Zeit knnte ein Einbrecher schon wieder nach vollbrachter
Tat das Gelnde verlassen haben. Er wre zwar bemerkt und auf Videomate-
rial aufgenommen worden, bei geeigneter Maskierung jedoch kaum zu identi-
fizieren.
Ergnzende Kontrollfragen:
- Gibt es ein Schutzkonzept, das sowohl den Perimeterschutz als auch den
Gebudeschutz umfasst?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 796
Manahmenkatalog Infrastruktur M 1.56 Bemerkungen
___________________________________________________________________ ..........................................
M 1.56 Sekundr-Energieversorgung
Verantwortlich fr Initiierung: Leiter Haustechnik, Leiter IT, IT-
Sicherheitsmanagement
Verantwortlich fr Umsetzung: Haustechnik
Die primre Energieversorgung aus dem Netz eines Energieversorgungs-
Unternehmens (EVU) muss bei erhhten Anforderungen an die Verfgbarkeit
um Manahmen zur Notfall-Versorgung des Rechenzentrums selbst ergnzt
werden. Dabei sollte auch nicht weitere wichtige Infrastruktur des Gebudes,
wie z. B. die Notbeleuchtung und die Feuerwehr-Aufzge, vergessen werden.
Die Sekundr-Energieversorgung eines Rechenzentrums besteht dann
blicherweise aus einer zentralen USV fr das Rechenzentrum und einer
Netzersatzanlage (NEA). Falls die rtlichen Gegebenheiten und das Anforde-
rungsprofil an die Verfgbarkeit des Rechenzentrums es zulassen, kann statt
einer NEA auch eine zweite Einspeisung aus dem Netz eines zweiten Ener-
gieversorgungs-Unternehmens diese Auffang-Funktion erfllen.
Whrend eine Online-USV (siehe M 1.28 Lokale unterbrechungsfreie
Stromversorgung) Schwankungen oder kurzfristige Unterbrechungen der
Stromversorgung berbrckt, fngt eine Netzersatzanlage auerdem
lngerfristige Stromausflle auf.
Der gesamten IT-Umgebung wird eine zentrale Online-USV vorgeschaltet.
Die Regel-Elektronik dieser USV muss fr das frequenz- und phasenrichtige
Einkoppeln bei Anlauf der Netzersatzanlage und nach Wiederanlauf der
Stromversorgung des EVU sorgen.
Bei der Dimensionierung der Notstromaggregate sollte darauf geachtet
werden, dass die Nennleistung des Netzersatzes ber der Volllast-Betriebs-
leistung des Rechenzentrums liegen sollte. Damit kann sichergestellt werden,
dass die Netzersatzanlage, z. B. bei gleichzeitigem Anlauf mehrerer Verbrau-
cher, die bentigte Leistung zur Verfgung stellen kann.
Bei der bergabe der Versorgung von der USV an die NEA ist sicherzu-
stellen, dass eine schrittweise Weiterschaltung ohne berlastung der NEA und
daraus resultierendem Wiederanlauf der USV erfolgt. Dabei mssen die indi-
viduellen Anforderungen der IT-Infrastruktur und der sonstigen von der NEA
versorgten Gebudeteile mit Hilfe eines abgestimmten Lastmanagements
bercksichtigt werden.
Fr die Dimensionierung der Batterien der zentralen USV ist die ber-
brckungszeit bei Netzausfall entscheidend. Diese setzt sich aus folgenden
Faktoren zusammen:
- Wartezeit auf Netzrckkehr. Erst nach dieser Wartezeit von 1 bis 5 Minu-
ten luft die NEA an.
- Umschaltzeit bis zur Lastbernahme durch die NEA. In dieser Zeit
versorgt die USV alle Verbraucher der IT-Anlage mit Strom.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 797
Manahmenkatalog Infrastruktur M 1.56 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 798
Manahmenkatalog Infrastruktur M 1.57 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 799
Manahmenkatalog Infrastruktur M 1.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 800
Manahmenkatalog Infrastruktur M 1.58 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Gibt es technische und organisatorische Vorgaben fr Serverrume?
- Sind die Serverrume als geschlossene Sicherheitsbereiche konzipiert
worden?
- Ist der Zutritt zum Serverraum geregelt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 801
Manahmenkatalog Infrastruktur M 1.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 802
Manahmenkatalog Infrastruktur M 1.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 803
Manahmenkatalog Infrastruktur M 1.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 804
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
M2 Manahmenkatalog Organisation
M 2.1 Festlegung von Verantwortlichkeiten und Regelungen
fr den IT-Einsatz ...................................................................... 1
M 2.2 Betriebsmittelverwaltung........................................................... 3
M 2.3 Datentrgerverwaltung............................................................... 5
M 2.4 Regelungen fr Wartungs- und Reparaturarbeiten .................... 7
M 2.5 Aufgabenverteilung und Funktionstrennung ............................. 9
M 2.6 Vergabe von Zutrittsberechtigungen........................................ 10
M 2.7 Vergabe von Zugangsberechtigungen...................................... 11
M 2.8 Vergabe von Zugriffsrechten ................................................... 12
M 2.9 Nutzungsverbot nicht freigegebener Hard- und
Software................................................................................... 17
M 2.10 berprfung des Hard- und Software-Bestandes .................... 18
M 2.11 Regelung des Passwortgebrauchs ............................................ 19
M 2.12 Betreuung und Beratung von IT-Benutzern............................. 21
M 2.13 Ordnungsgeme Entsorgung von schtzenswerten
Betriebsmitteln......................................................................... 22
M 2.14 Schlsselverwaltung ................................................................ 23
M 2.15 Brandschutzbegehungen .......................................................... 24
M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen............ 25
M 2.17 Zutrittsregelung und -kontrolle................................................ 26
M 2.18 Kontrollgnge .......................................................................... 27
M 2.19 Neutrale Dokumentation in den Verteilern.............................. 28
M 2.20 Kontrolle bestehender Verbindungen ...................................... 29
M 2.21 Rauchverbot ............................................................................. 30
M 2.22 Hinterlegen des Passwortes ..................................................... 31
M 2.23 Herausgabe einer PC-Richtlinie............................................... 32
M 2.24 Einfhrung eines PC-Checkheftes ........................................... 34
M 2.25 Dokumentation der Systemkonfiguration ................................ 35
M 2.26 Ernennung eines Administrators und eines Vertreters............. 36
M 2.27 Verzicht auf Fernwartung der TK-Anlage............................... 37
M 2.28 Bereitstellung externer TK-Beratungskapazitt....................... 38
M 2.29 Bedienungsanleitung der TK-Anlage fr die Benutzer............ 39
M 2.30 Regelung fr die Einrichtung von Benutzern /
Benutzergruppen...................................................................... 40
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 805
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 806
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 807
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 808
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 809
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 810
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 811
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 812
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 813
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 814
Manahmenkatalog Organisation M2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 815
Manahmenkatalog Organisation M 2.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 816
Manahmenkatalog Organisation M 2.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 817
Manahmenkatalog Organisation M 2.2 Bemerkungen
___________________________________________________________________ ..........................................
M 2.2 Betriebsmittelverwaltung
Verantwortlich fr Initiierung: Behrden-/Unternehmensleitung
Verantwortlich fr Umsetzung: Leiter IT, Leiter Organisation
Betriebsmittel (oder Sachmittel) fr den IT-Einsatz sind alle erforderlichen
Mittel wie Hardware-Komponenten (Rechner, Tastatur, Drucker usw.), Soft-
ware (Systemsoftware, Individualprogramme, Standardprogramme u. .),
Verbrauchsmaterial (Papier, Toner, Druckerpatronen), Datentrger
(Magnetbnder, Disketten, Streamertapes, Festplatten, Wechselplatten, CD-
ROMs u. .).
Die Betriebsmittelverwaltung umfasst die Abwicklung der Aufgaben:
- Beschaffung der Betriebsmittel,
- Prfung vor Einsatz,
- Kennzeichnung und
- Bestandsfhrung.
Die Beschaffung von Betriebsmitteln ist beim Einsatz von Informations- Regelung der
Beschaffung
technik von besonderer Bedeutung. Mit einem geregelten Beschaffungs-
verfahren lassen sich insbesondere die Ziele untersttzen, die mit dem Einsatz
von Informationstechnik angestrebt werden: Leistungssteigerung, Wirtschaft-
lichkeit, Verbesserung der Kommunikationsmglichkeiten.
Neben reinen Wirtschaftlichkeitsaspekten kann durch ein geregeltes Beschaf-
fungsverfahren - das von zentraler Stelle aus vorgenommen werden kann -
auch die Neu- und Weiterentwicklung im Bereich der Informationstechnik
strker bercksichtigt werden.
Eine zentrale Beschaffung sichert darber hinaus die Einfhrung und Einhal- Hausstandards
tung eines "Hausstandards", der die Schulung der Mitarbeiter und Wartungs-
aktivitten vereinfacht.
Mit einem geregelten Prfverfahren vor Einsatz der Betriebsmittel lassen
sich unterschiedliche Gefhrdungen abwenden. Beispiele sind:
- berprfung der Vollstndigkeit von Lieferungen (z. B. Handbcher), um
die Verfgbarkeit aller Lieferteile zu gewhrleisten,
- Test neuer PC-Software sowie neuer vorformatierter Datentrger mit einem
Computer-Viren-Suchprogramm,
- Testlufe neuer Software auf speziellen Test-Systemen,
- berprfung der Kompatibilitt neuer Hardware- und Softwarekompo-
nenten mit den vorhandenen.
Erst mit Hilfe einer Bestandsfhrung der eingesetzten Betriebsmittel ist es
mglich, den Verbrauch zu ermitteln und Nachbestellungen zu veranlassen.
Darber hinaus ermglicht die Bestandsfhrung Vollstndigkeitskontrollen,
berprfung des Einsatzes von nicht genehmigter Software oder die Feststel-
lung der Entwendung von Betriebsmitteln. Hierzu bedarf es einer eindeutigen
Kennzeichnung der wesentlichen Betriebsmittel mit eindeutigen Identifi-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 818
Manahmenkatalog Organisation M 2.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 819
Manahmenkatalog Organisation M 2.3 Bemerkungen
___________________________________________________________________ ..........................................
M 2.3 Datentrgerverwaltung
Verantwortlich fr Initiierung: Leiter IT
Verantwortlich fr Umsetzung: Archivverwalter, IT-Verfahrensverantwortli-
cher,
Aufgabe der Datentrgerverwaltung als Teil der Betriebsmittelverwaltung ist
es, den Zugriff auf Datentrger im erforderlichen Umfang und in angemesse-
ner Zeit gewhrleisten zu knnen. Dies erfordert eine geregelte Verwaltung
der Datentrger, die eine einheitliche Kennzeichnung sowie eine Fhrung von
Bestandsverzeichnissen erforderlich macht. Weiterhin ist im Rahmen der Da-
tentrgerverwaltung die sachgerechte Behandlung und Aufbewahrung der
Datentrger, deren ordnungsgemer Einsatz und Transport und schlielich
auch noch die Lschung bzw. Vernichtung der Datentrger zu gewhrleisten.
Bestandsverzeichnisse ermglichen einen schnellen und zielgerichteten
Zugriff auf Datentrger. Bestandsverzeichnisse geben Auskunft ber: Aufbe-
wahrungsort, Aufbewahrungsdauer, berechtigte Empfnger.
Die uerliche Kennzeichnung von Datentrgern ermglicht deren schnelle
Identifizierung. Die Kennzeichnung sollte jedoch fr Unbefugte keine Rck-
schlsse auf den Inhalt erlauben (z. B. die Kennzeichnung eines Magnetban-
des mit dem Stichwort "Telefongebhren"), um einen Missbrauch zu erschwe-
ren. Eine festgelegte Struktur von Kennzeichnungsmerkmalen (z. B. Datum,
Ablagestruktur, lfd. Nummer) erleichtert die Zuordnung in Bestandsverzeich-
nissen.
Fr eine sachgerechte Behandlung von Datentrgern sind die Herstelleran-
gaben, die blicherweise auf der Verpackung zu finden sind, heranzuziehen.
Hinsichtlich der Aufbewahrung von Datentrgern sind einerseits Manahmen
zur Lagerung (magnetfeld-/staubgeschtzt, klimagerecht) und andererseits
Manahmen zur Verhinderung des unbefugten Zugriffs (geeignete Behlt-
nisse, Schrnke, Rume) zu treffen.
Der Versand oder Transport von Datentrgern muss in der Weise erfolgen,
dass eine Beschdigung der Datentrger mglichst ausgeschlossen werden
kann (z. B. Magnetbandversandtasche, luftgepolsterte Umschlge). Die Ver-
packung des Datentrgers ist an seiner Schutzbedrftigkeit auszurichten (z. B.
mittels verschliebaren Transportbehltnissen). Versand- oder Transportarten
(z. B. Kuriertransport) mssen ebenso festgelegt werden wie das Nachweis-
verfahren ber den Versand (z. B. Begleitzettel, Versandscheine) und den
Eingang beim Empfnger (z. B. Empfangsbesttigung). Der Datentrger darf
ber die zu versendenden Daten hinaus, keine "Restdaten" enthalten. Dies
kann durch physikalisches Lschen erreicht werden. Stehen hierzu keine
Werkzeuge zur Verfgung, so sollte der Datentrger zumindest formatiert
werden. Dabei sollte sichergestellt werden, dass mit dem zugrunde liegenden
Betriebssystem eine Umkehr des Befehls nicht mglich ist. Weiterhin ist zu
beachten, dass vor Abgabe wichtiger Datentrger eine Sicherungskopie erstellt
wird. Weitere Ausfhrungen zum Versand und Transport von Datentrgern
enthlt das Kapitel 7.1 Datentrgeraustausch.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 820
Manahmenkatalog Organisation M 2.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 821
Manahmenkatalog Organisation M 2.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 822
Manahmenkatalog Organisation M 2.4 Bemerkungen
___________________________________________________________________ ..........................................
soweit beaufsichtigen, dass sie beurteilen kann, ob whrend der Arbeit un-
autorisierte Handlungen vollzogen werden. Weiterhin ist zu berprfen, ob der
Wartungsauftrag ausgefhrt wurde.
Als Manahmen vor und nach Wartungs- und Reparaturarbeiten sind
einzuplanen:
- Wartungs- und Reparaturarbeiten sind gegenber den betroffenen Mit- Arbeiten ankndigen
arbeitern rechtzeitig anzukndigen.
- Wartungstechniker mssen sich auf Verlangen ausweisen.
- Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie mglich
zu vermeiden. Falls erforderlich, sind Speichermedien vorher auszubauen
oder zu lschen (nach einer kompletten Datensicherung), insbesondere
wenn die Arbeiten extern durchgefhrt werden mssen. Falls das Lschen
nicht mglich ist (z. B. aufgrund eines Defektes), sind die Arbeiten auch
extern zu beobachten bzw. es sind besondere vertragliche Vereinbarungen
zu treffen.
- Die dem Wartungstechniker eingerumten Zutritts-, Zugangs- und Rechte fr Wartungs-
techniker minimieren
Zugriffsrechte sind auf das notwendige Minimum zu beschrnken und nach
den Arbeiten zu widerrufen bzw. zu lschen.
- Nach der Durchfhrung von Wartungs- oder Reparaturarbeiten sind - je Passwrter hinterher
ndern!
nach "Eindringtiefe" des Wartungspersonals - Passwortnderungen er-
forderlich. Im PC-Bereich sollte ein Computer-Viren-Check durchgefhrt
werden.
- Die durchgefhrten Wartungsarbeiten sind zu dokumentieren (Umfang,
Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers).
- Beauftragte Firmen sollten schriftlich zusichern, dass sie einschlgige
Sicherheitsvorschriften und Richtlinien (z. B. Brandschutz, VdS 2008
Schwei-, Lt- und Trennschleifarbeiten) beachten. Dies gilt fr alle
Ttigkeiten, bei denen eine direkte oder indirekte Gefahr fr Gebude oder
Menschen entstehen knnen. Letztlich kommt es darauf an, dass das vor
Ort eingesetzte Personal mit diesen Regeln vertraut ist.
- Im Anschluss an die Wartungs- oder Reparaturarbeiten ist die ordnungs- Nach Reparatur Funk-
tionsfhigkeit prfen
geme Funktion der gewarteten Anlage zu berprfen. Insbesondere die
Rcknahme der fr Testzwecke vorgenommenen Eingriffe ist zu kontrol-
lieren.
Externe Wartungs- und Reparaturarbeiten
Werden IT-Systeme zur Wartung oder Reparatur auer Haus gegeben, sind
alle sensitiven Daten, die sich auf Datentrgern befinden, vorher physikalisch
zu lschen. Ist dies nicht mglich, weil aufgrund eines Defekts nicht mehr auf
die Datentrger zugegriffen werden kann, sind die mit der Reparatur beauf-
tragten Unternehmen auf die Einhaltung der erforderlichen IT-Sicherheits-
manahmen zu verpflichten. Entsprechend M 3.2 Verpflichtung der
Mitarbeiter auf Einhaltung einschlgiger Gesetze, Vorschriften und
Regelungen sind mit diesen vertragliche Regelungen ber die Geheimhaltung
von Daten zu treffen. Insbesondere ist festzulegen, dass Daten, die im Rahmen
der
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 823
Manahmenkatalog Organisation M 2.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 824
Manahmenkatalog Organisation M 2.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 826
Manahmenkatalog Organisation M 2.6 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 827
Manahmenkatalog Organisation M 2.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 828
Manahmenkatalog Organisation M 2.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 829
Manahmenkatalog Organisation M 2.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 830
Manahmenkatalog Organisation M 2.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 831
Manahmenkatalog Organisation M 2.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 832
Manahmenkatalog Organisation M 2.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 833
Manahmenkatalog Organisation M 2.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 834
Manahmenkatalog Organisation M 2.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 835
Manahmenkatalog Organisation M 2.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 836
Manahmenkatalog Organisation M 2.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 837
Manahmenkatalog Organisation M 2.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 838
Manahmenkatalog Organisation M 2.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 839
Manahmenkatalog Organisation M 2.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 840
Manahmenkatalog Organisation M 2.14 Bemerkungen
___________________________________________________________________ ..........................................
M 2.14 Schlsselverwaltung
Verantwortlich fr Initiierung: Leiter Organisation, IT-
Sicherheitsmanagement
Verantwortlich fr Umsetzung: Leiter Haustechnik
Fr alle Schlssel des Gebudes (von Etagen, Fluren und Rumen) ist ein
Schlieplan zu fertigen. Die Herstellung, Aufbewahrung, Verwaltung und
Ausgabe von Schlsseln ist zentral zu regeln. Reserveschlssel sind vorzu-
halten und gesichert aufzubewahren. Das gleiche gilt auch fr alle Identifi-
kationsmittel wie Magnetstreifen- oder Chipkarten. Zu beachten bleibt:
- Ist eine Schlieanlage vorhanden, sind fr schutzbedrftige Bereiche
eigene Schliegruppen zu bilden, ggf. einzelne Rume aus der Schlie-
gruppe herauszunehmen und mit Einzelschlieung zu versehen.
- Nicht ausgegebene Schlssel und die Reserveschlssel sind gegen unbe-
fugten Zugriff geschtzt aufzubewahren.
- Die Ausgabe der Schlssel erfolgt gegen Quittung und ist zu dokumen-
tieren.
- Es sind Vorkehrungen zu treffen, wie bei Verlust einzelner Schlssel zu
reagieren ist (Meldung, Ersatz, Kostenerstattung, Austausch des Schlosses,
Austausch von Schliegruppen etc.).
- Bei Zustndigkeitsnderungen von Mitarbeitern sind deren Schlieberech-
tigungen zu prfen, Schlssel ggf. einzuziehen.
- Beim Ausscheiden von Mitarbeitern sind alle Schlssel einzuziehen
(Aufnahme der Schlsselverwaltung in den Laufzettel).
- Schlsser und Schlssel zu besonders schutzbedrftigen Bereichen (zu
denen nur sehr wenige Schlssel ausgegeben werden sollten) knnen bei
Bedarf getauscht werden, um so illegal nachgefertigten Schlsseln die
Funktion zu nehmen.
Ergnzende Kontrollfragen:
- Welche Regelungen gibt es zur Schlsselverwaltung?
- Werden diese Regelungen von den Mitarbeitern angenommen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 841
Manahmenkatalog Organisation M 2.15 Bemerkungen
___________________________________________________________________ ..........................................
M 2.15 Brandschutzbegehungen
Verantwortlich fr Initiierung: Leiter Haustechnik , Leiter IT
Verantwortlich fr Umsetzung: Brandschutzbeauftragter
Bei der Errichtung und der Nutzung von Gebuden sind alle geltenden
Brandschutzvorschriften zu beachten. Diese werden durch DIN- und VDE-
Vorschriften festgeschrieben und durch Auflagen der Bauaufsicht ergnzt
(siehe auch M 1.6 Einhaltung von Brandschutzvorschriften).
Die Erfahrungen zeigen, dass nach Nutzungsbeginn im tglichen Betrieb diese
Regelungen immer nachlssiger gehandhabt werden - bis hin zur vlligen
Ignoranz. Einige Beispiele:
- Fluchtwege werden blockiert, z. B. durch Mbel und Papiervorrte.
- Brandabschnittstren bzw. Rauchschutztren werden durch Keile offen
gehalten.
- Zulssige Brandlasten werden durch anwachsende Kabelmengen oder
genderte Nutzungen berschritten.
- Brandabschottungen werden bei Arbeiten geffnet und/oder beschdigt
und nicht ordnungsgem wiederhergerichtet.
- Rauchmelder in der Nhe von "Raucherecken" werden bewusst auer
Funktion gesetzt.
Brandschutzbegehungen sollten ein- bis zweimal im Jahr angekndigt oder
unangekndigt erfolgen.
Da die Handlungsweise der Mitarbeiter in der Regel nicht vom bswilligen
Vorsatz, sondern von der betrieblichen Notwendigkeit oder Bequemlichkeit
bestimmt wird, kann es nicht Sinn einer Brandschutzbegehung sein, Tter zu
finden und zu bestrafen. Vielmehr sollten die vorgefundenen Mngel dazu
Anlass geben, die Zustnde sofort und ggf. auch deren Ursachen unverzglich
zu beheben.
Ergnzende Kontrollfragen:
- Werden Brandschutzbegehungen regelmig durchgefhrt und festgestellte
Mngel behoben?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 842
Manahmenkatalog Organisation M 2.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 843
Manahmenkatalog Organisation M 2.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 844
Manahmenkatalog Organisation M 2.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 845
Manahmenkatalog Organisation M 2.18 Bemerkungen
___________________________________________________________________ ..........................................
M 2.18 Kontrollgnge
Verantwortlich fr Initiierung: Haustechnik, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: Haustechnik, IT-Sicherheitsmanagement
Eine Manahme kann nur so gut wirken, wie sie auch tatschlich umgesetzt
wird. Kontrollgnge bieten das einfachste Mittel, die Umsetzung von
Manahmen und die Einhaltung von Auflagen und Anweisungen zu ber-
prfen.
Die Kontrollgnge sollen nicht dem Finden von Ttern dienen, um diese zu
bestrafen. Sinn der Kontrollen soll es in erster Linie sein, erkannte Nach-
lssigkeiten mglichst sofort zu beheben (Fenster zu schlieen, Unterlagen in
Aufbewahrung zu nehmen etc.). In zweiter Linie knnen Ursachen fr diese
Nachlssigkeiten erkannt und evtl. in der Zukunft vermieden werden.
Die Kontrollgnge sollten durchaus auch whrend der Dienstzeit erfolgen und
zur Information der Mitarbeiter ber das Wie und Warum von Regelungen
genutzt werden. So werden sie von allen Beteiligten eher als Hilfe denn als
Gngelung angesehen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 847
Manahmenkatalog Organisation M 2.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 848
Manahmenkatalog Organisation M 2.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 849
Manahmenkatalog Organisation M 2.21 Bemerkungen
___________________________________________________________________ ..........................................
M 2.21 Rauchverbot
Verantwortlich fr Initiierung: Leiter Haustechnik
Verantwortlich fr Umsetzung: Mitarbeiter
In Rumen mit IT oder Datentrgern (Serverraum, Datentrgerarchiv, aber
auch Belegarchiv), in denen Brnde oder Verschmutzungen zu hohen Schden
fhren knnen, sollte ein Rauchverbot erlassen werden. Dieses Rauchverbot
dient gleicherweise dem vorbeugenden Brandschutz wie der Betriebssicherheit
von IT mit mechanischen Funktionseinheiten.
Ergnzende Kontrollfragen:
- Wird das Rauchverbot in schutzbedrftigen Rumen eingehalten?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 850
Manahmenkatalog Organisation M 2.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 851
Manahmenkatalog Organisation M 2.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 852
Manahmenkatalog Organisation M 2.22 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Existiert eine Regelung zur Hinterlegung von Passwrtern?
- Sind die hinterlegten Passwrter vollstndig und aktuell?
- Ist die ordnungsgeme Verwendung eines hinterlegten Passwortes gere-
gelt?
- Wird anhand der Aktualisierungen der hinterlegten Passwrter die
Wechselsystematik kontrolliert?
- Wurde berprft, ob es Alternativen zur Passwort-Hinterlegung gibt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 853
Manahmenkatalog Organisation M 2.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 854
Manahmenkatalog Organisation M 2.23 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Existiert eine PC-Richtlinie?
- Wie wird die Einhaltung der PC-Richtlinie berprft?
- Mssen die Inhalte, insbesondere die IT-Sicherheitsmanahmen, aktuali-
siert werden?
- Besitzt jeder PC-Benutzer ein Exemplar dieser PC-Richtlinie?
- Ist die PC-Richtlinie Inhalt der Schulungen zu IT-Sicherheitsmanahmen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 855
Manahmenkatalog Organisation M 2.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 856
Manahmenkatalog Organisation M 2.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 857
Manahmenkatalog Organisation M 2.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 858
Manahmenkatalog Organisation M 2.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 859
Manahmenkatalog Organisation M 2.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 860
Manahmenkatalog Organisation M 2.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 861
Manahmenkatalog Organisation M 2.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 862
Manahmenkatalog Organisation M 2.30 Bemerkungen
___________________________________________________________________ ..........................................
Fr die Einrichtungsarbeiten im System sollte eine administrative Rolle spezielle Logins fr die
geschaffen werden: Die Einrichtung sollte mit Hilfe eines speziellen Logins, Benutzerverwaltung
unter dem ein entsprechendes Programm oder Shellskript gestartet wird, erfol-
gen. Die zustndigen Administratoren knnen Benutzer bzw. Benutzergrup-
pen somit nur auf definierte Weise einrichten, und es ist nicht erforderlich,
ihnen Rechte fr andere Administrationsaufgaben zu geben.
Diese Manahme wird unter Unix ergnzt durch folgende Manahmen: Besondere Unix-
Manahmen
- M 4.13 Sorgfltige Vergabe von IDs
- M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und
-verzeichnissen
- M 4.20 Restriktive Attributvergabe bei Unix-Benutzerdateien und
-verzeichnissen
Diese Manahme wird unter z/OS ergnzt durch folgende Manahmen: Besondere z/OS-
Manahmen
- M 2.289 Einsatz restriktiver z/OS-Kennungen
- M 2.297 Deinstallation von z/OS-Systemen
- M 4.211 Einsatz des z/OS-Sicherheitssystems RACF
Bei anderen Betriebssystemen sind die dort beschriebenen Hinweise in hn- Andere Betriebssysteme
licher Weise umzusetzen (siehe dazu auch die betriebssystemspezifischen
Bausteine in Kapitel 6).
Ergnzende Kontrollfragen:
- Gibt es organisatorische Regelungen zur Einrichtung von Benutzern bzw.
Benutzergruppen?
- Gibt es ein Programm zur Einrichtung von Benutzern bzw. Benutzergrup-
pen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 863
Manahmenkatalog Organisation M 2.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 864
Manahmenkatalog Organisation M 2.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 865
Manahmenkatalog Organisation M 2.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 866
Manahmenkatalog Organisation M 2.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 867
Manahmenkatalog Organisation M 2.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 868
Manahmenkatalog Organisation M 2.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 869
Manahmenkatalog Organisation M 2.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 870
Manahmenkatalog Organisation M 2.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 871
Manahmenkatalog Organisation M 2.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 872
Manahmenkatalog Organisation M 2.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 873
Manahmenkatalog Organisation M 2.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 874
Manahmenkatalog Organisation M 2.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 875
Manahmenkatalog Organisation M 2.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 876
Manahmenkatalog Organisation M 2.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 877
Manahmenkatalog Organisation M 2.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 878
Manahmenkatalog Organisation M 2.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 879
Manahmenkatalog Organisation M 2.45 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind Regelungen bekanntgegeben worden, wie ein Datentrgeraustausch
stattzufinden hat?
- Sind die fr den Datentrgeraustausch Verantwortlichen hinsichtlich mg-
licher Gefhrdungen ausreichend sensibilisiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 880
Manahmenkatalog Organisation M 2.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 881
Manahmenkatalog Organisation M 2.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 882
Manahmenkatalog Organisation M 2.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 883
Manahmenkatalog Organisation M 2.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 884
Manahmenkatalog Organisation M 2.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 885
Manahmenkatalog Organisation M 2.48 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 886
Manahmenkatalog Organisation M 2.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 887
Manahmenkatalog Organisation M 2.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 888
Manahmenkatalog Organisation M 2.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 889
Manahmenkatalog Organisation M 2.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 890
Manahmenkatalog Organisation M 2.53 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 891
Manahmenkatalog Organisation M 2.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 892
Manahmenkatalog Organisation M 2.54 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind obige Hinweise der Beschaffungsstelle bekannt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 893
Manahmenkatalog Organisation M 2.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 894
Manahmenkatalog Organisation M 2.56 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 895
Manahmenkatalog Organisation M 2.57 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 896
Manahmenkatalog Organisation M 2.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 897
Manahmenkatalog Organisation M 2.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 898
Manahmenkatalog Organisation M 2.59 Bemerkungen
___________________________________________________________________ ..........................................
- bertragungsgeschwindigkeit
Je hher die bertragungsgeschwindigkeit eines Modems ist, desto gerin-
ger sind die Kosten fr die bertragung groer Datenmengen aufgrund der
Zeiteinsparung.
Zunchst ist zu klren, welche bertragungsgeschwindigkeiten fr den
gewnschten Einsatzzweck notwendig ist. Ausreichend sind z. B. bei
ASCII-Terminalemulation 2400 bit/sec, bei Faxbertragung 9600 bit/sec,
bei Datex-J (T-Online) zurzeit 14400 bit/sec. Fr Datenbertragung groen
Ausmaes sind die aktuell grtmglichen bertragungs-
geschwindigkeiten einzusetzen. bertragungsgeschwindigkeiten von mehr
als 2400 bit/sec erschweren darber hinaus das Abhren erheblich.
Anschlieend muss bei Geschwindigkeiten ber 9600 bit/sec berprft
werden, ob die Schnittstelle des IT-Systems, an dem das Modem betrieben
werden soll, hhere Geschwindigkeiten zulsst.
Bei der Auswahl des Modems sollte beachtet werden, dass die Leistungs-
merkmale, die fr die tatschlich erreichte bertragungsgeschwindigkeit
ausschlaggebend sind, genormt sind. Dies sind zum einen Normen fr die
bertragungsgeschwindigkeit wie V.32bis fr 14400 bit/sec und zum
anderen Protokolle zur bertragungsoptimierung durch Datenkompression
und Fehlerkorrektur wie MNP 5 oder V.24bis.
- Befehlssatz
Die meisten Modems arbeiten heute nach dem herstellerabhngigen Hayes-
Standard (auch AT-Standard genannt). Aufgrund der weiten Verbreitung
dieses Standards kann bei Einsatz eines Modems, das diesen Standard
beherrscht, davon ausgegangen werden, dass die Kommunikation mit
anderen Modems meist problemlos mglich ist. Bei der Anschaffung von
Modems der neuesten Generation sollte bedacht werden, dass die ver-
sprochenen hohen bertragungsraten oftmals nur erreicht werden knnen,
wenn Gerten desselben Herstellers auf beiden Seiten eingesetzt werden.
- Handbuch
Ein gut lesbares und ausfhrliches Handbuch ist zur schnellen Installation
und bestmglichen Konfiguration eines Modems wichtig.
- Sicherheitsmechanismen
Es gibt vielfltige Sicherheitsmechanismen, die in Modems integriert sein
knnen wie Passwortmechanismus oder Callback-Funktion. Einige
Modems bieten sogar die Mglichkeit, die bertragenen Daten zu ver-
schlsseln.
Die Anschaffung eines Modems mit Verschlsselungsoption ist vorteilhaft,
wenn regelmig bertragungen groer Datenmengen innerhalb einer
Organisation mit verstreuten Liegenschaften durchgefhrt werden sollen.
Diese Online-Verschlsselung bedingt einen geringeren organisatorischen
Aufwand als das Verschlsseln der Daten mittels Zusatzprodukten.
Generelle Aussagen zur Sicherheit der eingesetzten Algorithmen knnen
nicht gemacht werden. Fr den IT-Grundschutz bietet der DES-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 899
Manahmenkatalog Organisation M 2.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 900
Manahmenkatalog Organisation M 2.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 901
Manahmenkatalog Organisation M 2.61 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 902
Manahmenkatalog Organisation M 2.61 Bemerkungen
___________________________________________________________________ ..........................................
Beim Callback sollte fr den Rckruf ein anderes Modem oder eine andere
Leitung benutzt werden, als das anrufende Modem benutzt hat (siehe auch
M 5.44 Einseitiger Verbindungsaufbau).
Ergnzende Kontrollfragen:
- Sind allen fr die Kommunikation zugelassenen Mitarbeitern die diesbe-
zglichen Regelungen bekannt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 903
Manahmenkatalog Organisation M 2.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 904
Manahmenkatalog Organisation M 2.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 905
Manahmenkatalog Organisation M 2.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 906
Manahmenkatalog Organisation M 2.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 907
Manahmenkatalog Organisation M 2.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 908
Manahmenkatalog Organisation M 2.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 909
Manahmenkatalog Organisation M 2.65 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 910
Manahmenkatalog Organisation M 2.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 911
Manahmenkatalog Organisation M 2.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 912
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 913
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 914
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 915
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 916
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 917
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
Unter Unix oder Linux ist nicht nur festzulegen, welche Ressourcen (z. B. Ressourcen und
Verzeichnisse oder Drucker) im Netz zur Verfgung gestellt werden sollen, Protokolle festlegen
sondern auch, ber welche Protokolle der Zugriff erfolgen soll. Dateien oder
Verzeichnisse knnen unter Unix beispielsweise via FTP, NFS oder SAMBA
fr die gemeinsame Nutzung bereitgestellt werden. Letzteres erlaubt auch
Windows-Systemen den Zugriff auf die Ressourcen, ohne dass dort zustz-
liche Software-Komponenten installiert werden mssten. Gngige Methoden
zur Bereitstellung von Druckdiensten unter Unix sind das LPR-Protokoll und
SAMBA.
Unter Unix untersttzen alle gngigen Netzdienste eine benutzerspezifische
Zugriffskontrolle. Diese sollte aktiviert und genutzt werden, sofern nicht alle
Benutzer im Netz unbeschrnkten Zugriff auf die Ressourcen haben sollen.
Beim Einsatz von SAMBA sollte die Einstellung security=share auf jeden
Fall vermieden werden (siehe auch M 5.82 Sicherer Einsatz von SAMBA).
6. Passwortwechselstrategie
Windows fr Workgroups:
Im WfW-Netz werden eine Reihe von Passwrtern gebraucht: die Anmelde-
passwrter, das Passwort fr den Aufruf von ADMINCFG.EXE und die
Passwrter fr die verschiedenen Rechte freigegebener Verzeichnisse,
Drucker und Ablagemappen. Die Anmeldepasswrter und das Passwort fr
den Aufruf von ADMINCFG.EXE sollten regelmig gewechselt werden
(siehe auch M 2.11 Regelung des Passwortgebrauchs). Eine maximale
Gltigkeitsdauer dieser Passwrter ist daher festzulegen. Damit auch der
Wechsel des ADMINCFG.EXE-Passwortes einfach mglich ist, knnen die
zugehrigen Konfigurationsdateien zentral auf einem Server hinterlegt
werden. Da ein Wechsel der Freigabe-Passwrter mit erheblichem organisa-
torischen Aufwand (siehe Nr. 5) verbunden sein kann, ist vorab festzulegen,
wie oft diese gewechselt und wie die neuen Passwrter den Betroffenen
bekannt gegeben werden sollen.
Windows 95:
Unter Windows 95 hngt die Anzahl der zu verwendenden Passwrter davon
ab, ob als Zugriffsmodell die Sicherheit auf Benutzer-Ebene oder die Sicher-
heit auf Freigabeebene verwendet wird. Im ersten Fall werden, analog zur
Situation bei Windows NT/2000, nur die Anmeldepasswrter zu den Rechnern
bentigt, die Ressourcen fr den Netzzugriff freigegeben haben. Dagegen
werden im zweiten Fall, hnlich wie bei WfW, auch Passwrter fr den
Zugriff auf freigegebenen Ressourcen bentigt. Eigene Passwrter zur
Verwaltung der Peer-to-Peer-Funktionalitt entfallen, da diese hier ber
Benutzerprofile gesteuert wird.
Der Zugriffsschutz auf Benutzer-Ebene basiert auf den Benutzerlisten, die auf Zugriffsschutz auf
Benutzer-Ebene
Windows NT/2000 oder Novell Netware Servern gefhrt werden, und kann
daher auch nur in solchen Netzen realisiert werden. Dieses Zugriffsmodell
bietet die grere Sicherheit und sollte daher vorzugsweise eingesetzt werden,
wenn trotz einer Vernetzung ber Windows NT/2000 oder Novell Netware
Server Peer-to-Peer-Funktionalitten eingesetzt werden sollen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 918
Manahmenkatalog Organisation M 2.67 Bemerkungen
___________________________________________________________________ ..........................................
Windows NT/2000:
Unter Windows NT/2000 erfolgt die Verwaltung der Peer-to-Peer-Funktiona-
litt unter der Kontrolle der allgemeinen Zugangs- und Zugriffskontrolle, so
dass hier keine eigenen Passwrter fr diese Verwaltungsttigkeiten erforder-
lich sind. Zur Verwaltung der Zugangspasswrter der betreffenden Benutzer
sollten die Vorgaben der Manahme M 2.11 Regelung des Passwortgebrauchs
bercksichtigt werden.
Unix bzw. Linux:
Werden Ressourcen unter Unix oder Linux ber mehr als ein Protokoll im inkonsistente Passwort-
Datenbanken
Netz zur Verfgung gestellt, so werden dabei u. U. unterschiedliche Passwort-
Datenbanken verwendet (z. B. NIS, /etc/passwd und smb.passwd). Diese soll-
ten entweder manuell oder mit Hilfe geeigneter Administrations-Tools
synchronisiert werden. Inkonsistente Inhalte in den Passwort-Datenbanken
fhren mglicherweise zu Verwirrung bei den Benutzern und sollten daher
vermieden werden.
7. Verantwortlichkeiten fr Benutzer im Peer-to-Peer-Netz
Neben der Wahrnehmung der Peer-to-Peer-Managementaufgaben (siehe
Nr. 2) mssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzu-
legen, welche Verantwortung die einzelnen Benutzer der Peer-to-Peer-Dienste
bernehmen mssen. Dies knnen zum Beispiel Verantwortlichkeiten sein fr
- die Auswertung der Protokolldateien auf den einzelnen Rechnern,
- die Vergabe von Zugriffsrechten,
- das Hinterlegen und den Wechsel von Passwrtern und
- die Durchfhrung von Datensicherungen.
8. Schulung
Abschlieend muss festgelegt werden, welche Peer-to-Peer-Benutzer zu
welchen Punkten geschult werden mssen. Erst nach ausreichender Schulung
kann der Wirkbetrieb aufgenommen werden.
Die so entwickelte Sicherheitsstrategie ist zu dokumentieren und im erforder-
lichen Umfang den Benutzern der Peer-to-Peer-Dienste mitzuteilen.
Ergnzende Kontrollfragen:
- Wird die Sicherheitsstrategie an Vernderungen im Einsatzumfeld ange-
passt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 919
Manahmenkatalog Organisation M 2.68 Bemerkungen
___________________________________________________________________ ..........................................
Beispiel:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 920
Manahmenkatalog Organisation M 2.68 Bemerkungen
___________________________________________________________________ ..........................................
Zeigt sich dabei, dass ein Rechner unberechtigt auf ein Verzeichnis oder
den Drucker zugreift, ist die Freigabe rckgngig zu machen. Eventuelle
Druckjobs knnen ber den Druckmanager abgebrochen werden. Im
Ereignisprotokoll (siehe nchste Grafik) werden die entsprechenden
Aktionen dokumentiert. Zeigt sich, dass unberechtigt auf die Ablagemappe
zugegriffen wird, ist ebenfalls zu trennen, jedoch empfiehlt es sich vorher
mit der Druck-Taste den Fensterinhalt des Netzwerkmonitors in die
Zwischenablage zu kopieren, da Zugriffe auf die Ablagemappe nicht
dokumentiert werden.
- Kontrolle der Protokolldaten: Sind auf einem Rechner Ressourcen
freigegeben, sollte das Ereignisprotokoll aktiviert und regelmig
ausgewertet werden. Die entsprechenden Optionen finden sich
- unter WfW in der Programmgruppe Systemsteuerung unter Netzwerk
bzw. in der Programmgruppe Netzwerk unter Netzwerkmonitor,
- unter Windows NT in der Programmgruppe Verwaltung unter
Benutzer-Manager bzw. unter Ereignisanzeige und
- unter Windows 2000 in den MMC-Snap-ins Gruppenrichtlinien und
Ereignisanzeige.
Windows 95 bietet standardmig keine Mglichkeit zur Ereignis-
protokollierung. Daher sollte unter Windows 95 der Netzwerkmonitor
offen gehalten werden, falls trotz dieser Schwachstelle die Peer-to-Peer-
Funktionalitten genutzt werden sollen.
Es sollte regelmig, beispielsweise wchentlich, berprft werden, ob Protokolle auswerten
sich unberechtigte Benutzer mit freigegebenen Verzeichnissen verbunden
hatten, ob es fehlerhafte Versuche zum Verbinden freigegebener
Verzeichnisse gab oder ob das System zu ungewhnlichen Zeiten gestartet
wurde. Da diese Protokolldaten auch personenbezogene Daten beinhalten,
sind sie nach ihrer Auswertung, wenn die Notwendigkeit der Speicherung
nicht mehr besteht, zu lschen.
Beispiel fr ein mgliches Ereignisprotokoll:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 921
Manahmenkatalog Organisation M 2.68 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 922
Manahmenkatalog Organisation M 2.69 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 923
Manahmenkatalog Organisation M 2.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 924
Manahmenkatalog Organisation M 2.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 925
Manahmenkatalog Organisation M 2.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 926
Manahmenkatalog Organisation M 2.70 Bemerkungen
___________________________________________________________________ ..........................................
- Die Benutzer des lokalen Netzes sollten durch den Einsatz eines
Sicherheitsgateways mglichst wenig Einschrnkungen hinnehmen
mssen.
Ein Sicherheitsgateway kann das interne Netz vor vielen Gefahren beim An- Sicherheitsgateways
haben auch Grenzen
schluss an das Internet schtzen, aber nicht vor allen. Beim Aufbau eines
Sicherheitsgateways und der Erarbeitung einer Sicherheitsrichtlinie sollte man
sich daher die Grenzen eines Sicherheitsgateways verdeutlichen:
- Es werden Protokolle berprft, nicht die bertragenen Informationen.
Eine Protokollprfung besttigt beispielsweise, dass eine E-Mail mit
ordnungsgemen Befehlen zugestellt wurde, kann aber keine Aussagen
zum eigentlichen Inhalt der E-Mail machen.
- Die Filterung von aktiven Inhalten ist unter Umstnden nur teilweise
erfolgreich, da eventuell nicht alle verschiedenen Mglichkeiten zur Ein-
bettung von aktiven Inhalten erkannt werden.
- Sobald ein Benutzer eine Kommunikation ber ein Sicherheitsgateway
herstellen darf, kann er ber das verwendete Kommunikationsprotokoll
beliebige andere Protokolle tunneln. Damit knnte ein Innentter einem
Externen den Zugriff auf interne Rechner ermglichen oder selbst
unerlaubte Protokolle nutzen. Die unberechtigte Nutzung von Tunnel-Ver-
fahren ist meist nur schwer feststellbar.
- Eine Einschrnkung der Internet-Zugriffe auf festgelegte Webserver ist
praktisch unmglich, da viele Webserver auch ber Proxies nutzbar sind.
Daher kann eine Sperrung bestimmter IP-Adressen leicht umgangen
werden.
- Software zum Filtern anhand von Web-Adressen ("URLs") ist hufig noch
unausgereift. Beispielweise ist es mglich, dass nicht alle Arten der
Adressierung erfasst werden. Das folgende Beispiel mit dem BSI-Web-
server soll aufzeigen, welche Mglichkeiten zur Adressierung vorhanden
sind. Die Liste ist bei weitem nicht vollstndig, da einzelne Buchstaben
auch durch Escape-Sequenzen dargestellt werden knnen.
www.bsi.bund.de
www.bsi.de
194.95.176.226
3261051106
Zudem knnen URL-Filter durch Nutzung von "Anonymizern" umgangen
werden.
- Die Filterung von Spam-Mails ist noch nicht ausgereift. Kein SMTP-Proxy
kann zweifelsfrei feststellen, ob eine E-Mail vom Empfnger erwnscht ist
oder nicht. Spam-Mails drften frhestens dann verschwinden, wenn die
Absender von E-Mails zweifelsfrei nachweisbar sind. Dies ist aber mit dem
herkmmlichen Protokoll SMTP alleine nicht realisierbar.
- Sicherheitsgateways schtzen nicht vor allen Denial-of-Service-Angriffen.
Wenn ein Angreifer z. B. die Anbindung zum Provider lahmlegt, hilft auch
das beste Sicherheitsgateway nicht. Auerdem gibt es immer wieder Fehler
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 927
Manahmenkatalog Organisation M 2.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 928
Manahmenkatalog Organisation M 2.70 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind die Sicherheitsziele fr das Sicherheitsgateway dokumentiert?
- Ist die Sicherheitsrichtlinie fr das Sicherheitsgateway mit der allgemeinen
Sicherheitsstrategie abgestimmt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 929
Manahmenkatalog Organisation M 2.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 930
Manahmenkatalog Organisation M 2.71 Bemerkungen
___________________________________________________________________ ..........................................
werden sollen (z. B. der "PORT"-Befehl von FTP zur Verhinderung von
aktivem FTP) und welche der bertragenen Nutzdaten gefiltert werden sollen
(z. B. zur Kontrolle auf Computer-Viren).
Es muss festgelegt werden, zu welchen Wochentagen und Tageszeiten die
bereitgestellten Dienste genutzt werden knnen.
Fr kurzzeitige nderungen (z. B. fr Tests) oder neue Dienste sollten Aus-
nahmeregelungen vorgesehen werden.
Es sind Forderungen an die Filter zu stellen, und zwar einmal an die Paket-
filter, die die Header-Informationen der Dienste der Schichten 3 und 4 des
OSI-Schichtenmodells (IP, ICMP, ARP, TCP und UDP) verwenden, sowie an
die Sicherheitsproxies, die die Informationen der Dienste der
Anwendungsschicht (z. B. Telnet, FTP, SMTP, DNS, NNTP, HTTP)
verwenden. Einen berblick, was fr einen sicheren Einsatz der einzelnen
Protokolle und Dienste zu beachten ist, gibt M 5.39 Sicherer Einsatz der
Protokolle und Dienste. Darauf aufbauend mssen Filterregeln formuliert
werden (siehe M 2.76 Auswahl und Einrichtung geeigneter Filterregeln).
Organisatorische Regelungen
Neben der sorgfltigen Aufstellung und Umsetzung der Filterregeln sind dar-
ber hinaus folgende organisatorische Regelungen erforderlich:
- Es mssen Verantwortliche sowohl fr den Entwurf als auch fr die Um-
setzung und das Testen der Filterregeln benannt werden. Es muss geklrt
werden, wer befugt ist, die Filterregeln z. B. fr Tests neuer Dienste zu
verndern.
- Es muss festgelegt werden, welche Informationen protokolliert werden und
wer die Protokolle auswertet. Es mssen sowohl alle korrekt aufgebauten
als auch die abgewiesenen Verbindungen protokolliert werden. Die Proto-
kollierung muss den datenschutzrechtlichen Bestimmungen entsprechen.
- Die Benutzer mssen ber ihre Rechte, insbesondere auch ber den Um-
fang der Nutzdaten-Filterung umfassend informiert werden.
- Es ist empfehlenswert, den Benutzern eine Dokumentation zur Verfgung
zu stellen, aus der hervorgeht, welche Dienste in welchem Umfang genutzt
werden knnen und ob dabei besondere Dinge zu beachten sind.
- Angriffe auf das Sicherheitsgateway sollten nicht nur erfolgreich ver-
hindert, sondern auch schnell erkannt werden knnen. Angriffe knnen
ber die Auswertung der Protokolldateien erkannt werden. Das Sicher-
heitsgateway sollte aber auch in der Lage sein, aufgrund von vordefinierten
Ereignissen, wie z. B. hufigen fehlerhaften Passworteingaben auf einem
Application-Level-Gateway oder Versuchen, verbotene Verbindungen auf-
zubauen, Warnungen auszugeben oder evtl. sogar Aktionen auszulsen.
- Es ist zu klren, welche Aktionen bei einem Angriff gestartet werden, ob
z. B. der Angreifer verfolgt werden soll oder ob die Netzverbindungen
nach auen getrennt werden sollen. Da hiermit starke Eingriffe in den
Netzbetrieb verbunden sein knnen, mssen Verantwortliche bestimmt
sein, die entscheiden knnen, ob ein Angriff vorliegt und die entsprechende
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 931
Manahmenkatalog Organisation M 2.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 932
Manahmenkatalog Organisation M 2.72 Bemerkungen
___________________________________________________________________ ..........................................
entfallen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 933
Manahmenkatalog Organisation M 2.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 934
Manahmenkatalog Organisation M 2.73 Bemerkungen
___________________________________________________________________ ..........................................
Der Einsatzbereich fr diesen Typ von Sicherheitsgateways ist vor allem die
Trennung zweier Netze, falls sich das Ma der Vertrauenswrdigkeit dieser
Netze erheblich unterscheidet (z. B. Trennung des Internets von einem
Intranet), oder Trennung zweier Teilnetze des internen Netzes mit deutlich
unterschiedlichen Sicherheitsanforderungen.
Bei den beiden Paketfiltern braucht es sich nicht notwendigerweise um
dedizierte IT-Systeme (Rechner oder Appliances) zu handeln. Falls die
eingesetzten Router eine integrierte Paketfilter-Funktionalitt besitzen, so
knnen die Router die Funktion des Paketfilters im Sicherheitsgateway mit
bernehmen.
Die Mglichkeiten der Paketfilter-Funktionalitt in Routern sind jedoch oft
eingeschrnkt, so dass in bestimmten Einsatzszenarien ein dedizierter
Paketfilter erforderlich sein kann.
2. Nur Paketfilter
Die einfachste Grundstruktur eines Sicherheitsgateways besteht ausschlielich
aus einem Paketfilter.
Das Grundproblem bei der Filterung der Kommunikation alleine mit einem
Paketfilter liegt darin, dass die Entscheidung darber, ob ein Zugriff erlaubt
oder abgewiesen werden soll, anhand der leicht zu flschenden Daten aus den
Headern der verschiedenen IP-basierten Protokolle gefllt wird.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 935
Manahmenkatalog Organisation M 2.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 936
Manahmenkatalog Organisation M 2.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 937
Manahmenkatalog Organisation M 2.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 938
Manahmenkatalog Organisation M 2.73 Bemerkungen
___________________________________________________________________ ..........................................
Andere Strukturen
Neben den bisher beschriebenen Strukturen sind weitere Strukturen mglich,
die meist aus einem Verzicht auf Komponenten des P-A-P-Aufbaus
resultieren. Dies ist jedoch immer mit Einbuen bei der Sicherheit verbunden.
Gelegentlich wird beispielsweise auf den "inneren" Paketfilter verzichtet, der Verzicht auf Paketfilter
ist nicht sinnvoll
das ALG vom vertrauenswrdigen (bzw. internen) Netz trennt. Da einerseits
die meisten Router bereits eine integrierte Paketfilter-Funktionalitt bieten und
angesichts der vergleichsweise geringen Kosten fr einen entsprechend
ausgestatteten Rechner gibt es jedoch kaum schlssige Grnde, auf einen der
Paketfilter zu verzichten.
Appliances
Verschiedene Hersteller bieten Sicherheitsgateways als Appliances an. Dabei
handelt es sich um vorkonfigurierte Gerte, die zwar teilweise aus normalen
Rechner-Komponenten aufgebaut sind und unter einem darauf angepassten
herkmmlichen Betriebssystem laufen, aber nur fr einen genau vorgegebenen
Einsatzzweck (hier: Paketfilter bzw. ALG) hergestellt und konfiguriert
wurden. Die Bandbreite der angebotenen Gerte reicht von reinen Paketfiltern
bis zu mehrstufigen Lsungen, die in einem Gert mehrere Komponenten
eines Sicherheitsgateway integrieren.
Gegenber einem Aufbau des Sicherheitsgateways aus "normalen" Rechnern,
die (in Eigenregie oder durch einen Dienstleister) entsprechend konfiguriert
werden, bieten Appliances oft den Vorteil einer einfacheren Konfiguration.
Dem steht jedoch meist der Nachteil gegenber, dass die Konfiguration
weniger flexibel ist und weniger Mglichkeiten zur Anpassung an individuelle
Bedrfnisse bietet.
Appliances, die mehrere Funktionen (z. B. Paketfilter und ALG) unter einer
Betriebssysteminstallation betreiben, haben gegenber einer Realisierung des
Sicherheitsgateways durch drei getrennte Systeme den weiteren Nachteil, dass
ein Angreifer nur die Sicherheitsmechanismen eines einzigen Betriebssystems
berwinden muss, um das Sicherheitsgateway komplett zu kompromittieren.
Dieser Aspekt muss bei der Planung des Sicherheitsgateways mit
bercksichtigt werden. Soll trotzdem ein entsprechendes Gert eingesetzt
werden, so knnen gegebenenfalls zustzliche Sicherheitsmanahmen
erforderlich werden, um das angestrebte Sicherheitsniveau zu erreichen.
Dokumentation
Die Entscheidung fr eine bestimmte Struktur sollte zusammen mit den
Grnden, die fr die Entscheidung ausschlaggebend waren, nachvollziehbar
dokumentiert werden.
Ergnzende Kontrollfragen:
- Welche Struktur wurde fr das Sicherheitsgateway ausgewhlt? Sind die
Entscheidungsgrnde dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 939
Manahmenkatalog Organisation M 2.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 940
Manahmenkatalog Organisation M 2.74 Bemerkungen
___________________________________________________________________ ..........................................
Vorteile Nachteile
Je nach verwendetem Betriebssystem - Evtl. lange Ausfallzeiten bei
relativ geringe Investitionskosten. Defekten, da u. U. das
Betriebssystem aufgrund
ausgetauschter Hardware neu
installiert oder konfiguriert werden
muss.
- Relativ hoher Aufwand zur
Konfiguration als Minimalsystem
(im Vergleich zu einem Router mit
Paketfilterfunktion).
- Know-How-Aufbau notwendig zur
Konfiguration als Minimalsystem.
- Die Hardware von PC-Systemen
ist oft anflliger als die Hardware
von Appliances, da letztere z. B.
meist keine Festplatten oder Lfter
enthalten.
- Die Administrationskosten sind in
der Regel hher als bei Appliances,
da Konfigurationsoberflchen
meist nicht zur Verfgung stehen.
- Die Komplexitt ist oft hher als
bei Appliances.
Tabelle 1: Einrichten eines Rechners als Paketfilter
Vorteile Nachteile
- Keine Investitionskosten, falls ein - Die Erweiterungsmglichkeiten
Router schon vorhanden ist. von Routern sind oft
eingeschrnkt.
- Im Vergleich zu rechnerbasierten
Paketfiltern besteht eine geringe - Die Konfiguration ist evtl.
Ausfallwahrscheinlichkeit, da schwieriger als bei Appliances
Router in der Regel eine bessere oder rechnerbasierten Paketfiltern.
Verfgbarkeit aufweisen.
- Keine Kontrolle ber die
Sicherheitsfunktionen des Routers
durch organisationsinternes Personal,
falls dieser bei einem Dienstleister
aufgestellt ist und von diesem
administriert wird.
Tabelle 2: Vor- und Nachteile der Einrichtung von Filterregeln auf einem
Router
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 941
Manahmenkatalog Organisation M 2.74 Bemerkungen
___________________________________________________________________ ..........................................
Anforderungen an Paketfilter
Bei allen drei Realisierungsformen lsst sich gegebenenfalls die
Paketfilterkonfiguration aus den Einstellungen eines eventuell vorhandenen
ALGs automatisch ableiten. Dies besitzt zum einen den Vorteil des geringen
Konfigurationsaufwandes, zum anderen den Nachteil der geringeren
Sicherheit, da eine Fehlkonfiguration des ALGs automatisch eine
Fehlkonfiguration des Paketfilters bewirkt.
Vor der Beschaffung sollte berprft werden, welche der folgenden
Anforderungen das ALG erfllt. Je nach Anwendungszusammenhang kann
dabei auf einige Anforderungen verzichtet werden, d. h. es muss eine
Bewertung der aufgelisteten Anforderungen im Anwendungszusammenhang
erfolgen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 942
Manahmenkatalog Organisation M 2.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 943
Manahmenkatalog Organisation M 2.74 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Anforderungen an den Paketfilter wurden festgelegt?
- Welche Formen von Paketfiltern (Rechner, Router, Appliance) werden
eingesetzt? Sind die Grnde fr die Auswahl dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 944
Manahmenkatalog Organisation M 2.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 945
Manahmenkatalog Organisation M 2.75 Bemerkungen
___________________________________________________________________ ..........................................
Proxies knnen in zwei verschiedenen Betriebarten arbeiten, dem sogenannten Transparente und nicht-
transparente Proxies
transparenten und dem nicht-transparentem Modus. Ein transparenter Proxy
braucht den Clients nicht mitgeteilt zu werden. Er liest alle im Netz
befindlichen IP-Pakete mit und entscheidet anhand von IP-Adresse und
Portnummer, welche davon in ein anderes Netz weitergeleitet werden sollen.
Bei Verwendung eines nicht-transparenten Proxies hingegen muss dessen
IP-Adresse und Portnummer in der Client-Software (z. B. dem Webbrowser)
eingetragen werden, um eine Verbindung ber den Proxy hinweg zu
ermglichen.
Vor der Beschaffung sollte berprft werden, welche der folgenden
Anforderungen das ALG erfllt. Je nach Anwendungszusammenhang kann
dabei auf einige Anforderungen verzichtet werden.
Die aufgelisteten Anforderungen mssen im Anwendungszusammenhang
bewertet werden. Wenn ein bestimmtes Protokoll nicht genutzt wird, braucht
das ALG keine Untersttzung fr das Protokoll zu bieten. Untersttzt das
ALG Protokolle, die nicht genutzt werden, so sollte die Mglichkeit bestehen,
das betreffende Protokoll zu deaktivieren.
Wurde fr einige der im folgenden aufgefhrten Protokolle in der Policy des
Sicherheitsgateway festgelegt, dass sie nicht erlaubt sein sollen, so brauchen
Sie natrlich auch nicht untersttzt zu werden.
Die die Kriterien der Bewertung und die getroffenen Entscheidungen mssen
nachvollziehbar dokumentiert werden.
Allgemein
1. Untersttzung der wichtigsten verwendeten Protokolle (beispielsweise
Telnet, FTP, SMTP, NNTP, HTTP und HTTPS) auf Anwendungsschicht.
Fr die Nutzung anderer Dienste sollten generische Proxies fr TCP- und
UDP vorhanden sein.
2. Die Proxies des Application-Level-Gateways sollten transparent betrieben
werden knnen.
3. Es sollte ein eigener MTA auf dem ALG integriert werden knnen, um
gegebenenfalls mehrere MTAs in verschiedenen vertrauenswrdigen
Netzen bedienen zu knnen.
4. Es sollte eine Schnittstelle zum Anbinden von externen
Analyseprogrammen zum Auffinden von Schadsoftware (z. B.
Virensuchprogramme) vorhanden sein.
5. Die Kommunikation mit einem Directory-Dienst fr die Authentisierung
der Anwender sollte untersttzt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 946
Manahmenkatalog Organisation M 2.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 947
Manahmenkatalog Organisation M 2.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 948
Manahmenkatalog Organisation M 2.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 949
Manahmenkatalog Organisation M 2.75 Bemerkungen
___________________________________________________________________ ..........................................
62. Sichere Abschottung des DNS-Proxies vom Rest des Betriebssystems des
ALGs
Klartextprotokolle wie Telnet und FTP sollten nach Mglichkeit nicht mehr in
ffentlichen Netzen benutzt werden und durch sicherere Alternativen (SSH /
SCP) ersetzt werden. Auch im internen Netz sollten sie nur dann noch
verwendet werden, wenn aus zwingenden Grnden ein Umstieg auf SSH oder
ein anderes sicheres Protokoll nicht mglich ist.
Auch POP sollte nach Mglichkeit allenfalls noch intern verwendet werden.
Sollen von einem externen Mailserver (etwa bei einem Provider) E-Mails
abgerufen werden, so sollte der Variante "POP ber SSL" der Vorzug gegeben
werden. In diesem Fall ist allerdings ein SSL-Proxy (analog zum HTTPS-
Proxy) ntig, der die verschlsselte Verbindung am Sicherheitsgateway
unterbricht und es so ermglicht, E-Mails zentral auf Viren und andere
schdliche Inhalte zu prfen.
Ergnzende Kontrollfragen:
- Welche Protokolle untersttzt das ausgewhlte ALG? Knnen nicht
genutzte Protokolle deaktiviert werden?
- Wurde die Auswahl und Bewertung der Anforderungen an das ALG
dokumentiert?
- Erfllen die eingesetzten Proxies die aufgefhrten Anforderungen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 950
Manahmenkatalog Organisation M 2.76 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 951
Manahmenkatalog Organisation M 2.76 Bemerkungen
___________________________________________________________________ ..........................................
Zwischennetz
an Appl.-Level- externen DNS- externen
von Gateway Server Mailserver
TCP > 1023
Internem Mailserver ---- ---- ----
TCP: 25
UDP: 53
Internem DNS-Server ---- ---- ----
UDP: 53
IT-System mit TCP > 1023
IP-Adresse ---- ---- -----
192.168.0.5
TCP: 20,21
IT-System mit TCP > 1023
IP-Adresse ---- ---- ----
192.168.0.7
TCP: 23
IT-Systeme mit TCP > 1023
IP-Adresse ---- ---- ----
192.168.0.*
TCP: 22,80
IT-Systeme mit TCP > 1023
IP-Adresse ---- ---- ----
192.168.1.*
TCP: 80
Dies bedeutet beispielsweise, dass der interne Mailserver mit TCP von einem
Port mit einer Portnummer > 1023 auf Port 25 (SMTP) des externen
Mailservers im Zwischennetz zugreifen darf. Ports mit einer Portnummer >
1023 werden auch als unprivilegierte Ports bezeichnet, im Gegensatz zu Ports
mit niedrigeren Portnummern, die als privilegierte oder "well-known Ports"
bezeichnet werden, da die Dienste hinter diesen Portnummern von der
"Internet Assigned Numbers Authority" (IANA) zugewiesen sind.
Diese Tabelle muss dann in entsprechende Filterregeln umgesetzt werden.
Dies ist hufig nicht einfach und muss deshalb sehr genau kontrolliert werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 952
Manahmenkatalog Organisation M 2.76 Bemerkungen
___________________________________________________________________ ..........................................
Ggf. knnen die Filterregeln mit Hilfe von Tools umgesetzt werden, die ber
Bedienoberflchen die Modellierung des Netzes und der zugehrigen
Filterregeln erleichtern. Durch regelmige Tests muss berprft werden, dass
alle Filterregeln korrekt umgesetzt worden sind. Insbesondere muss
sichergestellt werden, dass nur die Dienste zugelassen werden, die in der
Sicherheitsrichtlinie vorgesehen sind.
Fr die Regeln eines Application-Level-Gateways sind analoge Tabellen zu
erstellen und in die entsprechenden Filterregeln umzusetzen.
Beispiel:
Die Benutzerin Frau Beispiel darf (unter anderem) die Befehle RETR und
STOR des Dienstes FTP benutzen, d. h. sie darf ber FTP Dateien laden und
senden, whrend Herr Mustermann nur Dateien laden darf.
Ergnzende Kontrollfragen
- Besitzen die Administratoren die notwendigen Kenntnisse, um die
Filterregeln zu formulieren?
- Wurde die Tabelle der erlaubten IP- und Port-Kombinationen erstellt?
- Wurde die Umsetzung der Tabelle in Filterregeln berprft? Entsprechen
die Filterregeln den in der Tabelle formulierten Anforderungen?
- Wurden die Regeln des ALG entsprechend formuliert und umgesetzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 953
Manahmenkatalog Organisation M 2.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 954
Manahmenkatalog Organisation M 2.77 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen
- Werden Daten, die nur fr interne Benutzer verfgbar sein sollen, von
Daten fr externe Benutzer getrennt?
- Sind Server mit sensiblen Daten, die nur fr interne Benutzer zugnglich
sein sollen, in einer eigenen DMZ angesiedelt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 955
Manahmenkatalog Organisation M 2.78 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 956
Manahmenkatalog Organisation M 2.78 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind die Komponenten des Sicherheitsgateways sicher konfiguriert?
- Wie wird sichergestellt, dass die Betriebssysteme und Programme, die auf
den Komponenten des Sicherheitsgateways eingesetzt werden, stets auf
einem sicheren Patch-Stand sind?
- Auf welchem Weg greifen Administratoren oder Revisoren auf das
Sicherheitsgateway bzw. die Komponenten zu?
- In welchen Abstnden finden Integrittsprfungen statt?
- Was geschieht bei einem Absturz oder Neustart des Sicherheitsgateways?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 957
Manahmenkatalog Organisation M 2.79 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 958
Manahmenkatalog Organisation M 2.79 Bemerkungen
___________________________________________________________________ ..........................................
- Der Personal- bzw. Betriebsrat muss in vielen Fllen bei der Auswahl
neuer Standardsoftware beteiligt werden, insbesondere wenn damit grere
nderungen im Arbeitsablauf verbunden sind oder wenn die zu
beschaffende Software zur Leistungskontrolle geeignet ist (siehe M 2.40
Rechtzeitige Beteiligung des Personal-/Betriebsrates).
Im Gesamtprozess "Standardsoftware" muss fr jeden einzelnen Schritt fest-
gelegt werden, welche der zuvor beschriebenen Instanzen fr die Durch-
fhrung verantwortlich sind und welche Instanzen dabei beteiligt werden
mssen. Eine mgliche sinnvolle Verantwortungsverteilung ist zur Orien-
tierung in nachfolgender Tabelle zusammengefasst:
verantwortlich zu beteiligen
Erstellung des Fachabteilung, IT- Beschaffungsstelle, Haushlter,
Anforderungs- Bereich IT-Sicherheitsbeauftragter,
katalogs Datenschutzbeauftragter,
Personal- oder Betriebsrat
Vorauswahl eines Beschaffungsstelle IT-Bereich, Fachabteilung
geeigneten
Produktes
Testen Fachabteilung und IT- IT-Sicherheitsbeauftragter,
Bereich Datenschutzbeauftragter,
Personal- oder Betriebsrat
Freigabe Behrden- -
/Unternehmensleitung
evtl. delegiert an Leiter
Fachabteilung
Beschaffung Beschaffungsstelle Haushalt
Sicherstellen der IT-Bereich -
Integritt der
Software
Installation und IT-Bereich -
Konfiguration
Versionskontrolle IT-Bereich -
und Lizenz-
verwaltung
Deinstallation IT-Bereich -
Kontrolle des IT- IT-Sicherheits- -
Betriebs beauftragter
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 959
Manahmenkatalog Organisation M 2.79 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Sind alle Mitarbeiter ber bestehende Richtlinien und ber deren Kontrolle
unterrichtet?
- Werden alle relevanten Stellen (z. B. Personalrat, Haushalt, Datenschutz-
beauftragter, ...) entsprechend ihrer Funktion beteiligt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 960
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 961
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 962
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 963
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
Verkrzte Beispiele:
- Das Produkt darf maximal 15000.- kosten.
- Die Schulungskosten drfen 2000.- nicht berschreiten
- Aus den Anforderungen an die Dokumentation muss hervorgehen,
welche Dokumente in welcher Gte (Vollstndigkeit, Verstndlichkeit)
erforderlich sind.
Verkrzte Beispiele:
- Die Benutzerdokumentation muss leicht nachvollziehbar und zum
Selbststudium geeignet sein. Die gesamte Funktionalitt des Produk-
tes ist zu beschreiben.
- Die Systemverwalterdokumentation muss Handlungsanweisungen
fr mgliche Fehler enthalten.
- Bezglich der Softwarequalitt knnen Anforderungen gestellt werden,
die von Herstellererklrungen ber das eingesetzten Qualittssicherungs-
verfahren, ber ISO 9000 ff. Zertifikate bis hin zu unabhngigen Soft-
wareprfungen nach ISO 12119 reichen.
Verkrzte Beispiele:
- Der Software-Herstellungsprozess des Herstellers muss nach ISO
9000 zertifiziert sein.
- Die Funktionalitt des Produktes muss unabhngig gem ISO
12119 berprft worden sein.
- Sollen durch das Produkt IT-Sicherheitsfunktionen erfllt werden, sind sie
in Form von Sicherheitsanforderungen zu formulieren (vgl. M 4.42
Implementierung von Sicherheitsfunktionalitten in der IT-Anwendung).
Dies wird nachfolgend noch ausfhrlich erlutert.
Sicherheitsanforderungen
Abhngig davon, ob das Produkt Sicherheitseigenschaften bereitstellen muss,
knnen im Anforderungskatalog Sicherheitsfunktionen aufgefhrt werden.
Typische Sicherheitsfunktionen, die hier in Frage kommen, seien kurz erlu-
tert. Weitere Ausfhrungen findet man in den ITSEC.
- Identifizierung und Authentisierung
In vielen Produkten wird es Anforderungen geben, diejenigen Benutzer zu
bestimmen und zu berwachen, die Zugriff auf Betriebsmittel haben, die
vom Produkt kontrolliert werden. Dazu muss nicht nur die behauptete
Identitt des Benutzers festgestellt, sondern auch die Tatsache nachgeprft
werden, dass der Benutzer tatschlich die Person ist, die er zu sein vorgibt.
Dies geschieht, indem der Benutzer dem Produkt Informationen liefert, die
fest mit dem betreffenden Benutzer verknpft sind.
- Zugriffskontrolle
Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass Be-
nutzer und Prozesse, die fr diese Benutzer ttig sind, daran gehindert
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 964
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 965
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
- Zugriffskontrolle
- Datenvertraulichkeit
- Datenintegritt
- Sende- und Empfangsnachweis
Einige dieser Funktionen werden mittels kryptographischer Verfahren
realisiert.
ber die ITSEC hinaus knnen weitere Sicherheitsanforderungen an Stan-
dardsoftware konkretisiert werden.
- Datensicherung
An die Verfgbarkeit der mit dem Produkt verarbeiteten Daten werden
hohe Anforderungen gestellt. Unter diesen Punkt fallen im Produkt inte-
grierte Funktionen, die Datenverlusten vorbeugen sollen wie die automa-
tische Speicherung von Zwischenergebnissen oder die automatische
Erstellung von Sicherungskopien vor der Durchfhrung grerer nde-
rungen.
- Verschlsselung
Verschlsselung dient der Wahrung der Vertraulichkeit von Daten. Bei vie-
len Produkten wird es erforderlich sein, Nutzdaten vor einer bertragung
oder nach der Bearbeitung zu verschlsseln und sie nach Empfang oder vor
der Weiterverarbeitung zu entschlsseln. Hierzu ist ein anerkanntes Ver-
schlsselungsverfahren zu verwenden. Es ist sicherzustellen, dass die zur
Entschlsselung bentigten Parameter (z. B. Schlssel) in der Weise
geschtzt sind, dass kein Unbefugter Zugang zu diesen Daten besitzt.
- Funktionen zur Wahrung der Datenintegritt
Fr Daten, deren Integrittsverlust zu Schden fhren kann, knnen Funk-
tionen eingesetzt werden, die Fehler erkennen lassen oder sogar mittels
Redundanz korrigieren knnen. Meist werden Verfahren zur Integrittspr-
fung eingesetzt, die absichtliche Manipulationen am Produkt bzw. den
damit erstellten Daten sowie ein unbefugtes Wiedereinspielen von Daten
zuverlssig aufdecken knnen. Sie basieren auf kryptographischen Ver-
fahren (siehe M 5.36 Verschlsselung unter Unix und Windows NT und
M 4.34 Einsatz von Verschlsselung, Checksummen oder Digitalen
Signaturen).
- Datenschutzrechtliche Anforderungen
Wenn mit dem Produkt personenbezogene Daten verarbeitet werden sollen,
sind ber die genannten Sicherheitsfunktionen hinaus zustzliche spezielle
technische Anforderungen zu stellen, um den Datenschutzbestimmungen
gengen zu knnen.
Strke der Mechanismen
Sicherheitsfunktionen werden durch Mechanismen umgesetzt. Je nach Ein-
satzzweck mssen diese Mechanismen eine unterschiedliche Strke besitzen,
mit der sie Angriffe abwehren knnen. Die erforderliche Strke der Mecha-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 966
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 967
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 968
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 969
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
Beispiele:
Auszugsweise sollen fr einige typische Standardsoftwareprodukte Sicher-
heitsanforderungen erlutert werden:
Textverarbeitungsprogramm:
Notwendige Sicherheitseigenschaften:
- Automatische Datensicherung im laufenden Betrieb von Zwischen-
ergebnissen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 970
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
Wnschenswerte Sicherheitseigenschaften:
- Passwortschutz einzelner Dateien
- Verschlsselung einzelner Dateien
- Makro-Programmierung muss abschaltbar sein
Dateikompressionsprogramm:
Notwendige Sicherheitseigenschaften:
- Im Sinne der Datensicherung drfen nach Kompression zu
lschende Dateien erst dann vom Kompressionsprogramm gelscht
werden, wenn die Kompression fehlerfrei abgeschlossen wurde.
- Vor der Dekomprimierung einer Datei muss deren Integritt ber-
prft werden, damit z. B. Bitfehler in der komprimierten Datei
erkannt werden.
Wnschenswerte Sicherheitseigenschaften:
- Passwortschutz komprimierter Dateien
Terminplaner:
Notwendige Sicherheitseigenschaften:
- Eine sichere Identifikation und Authentisierung der einzelnen Benut-
zer muss erzwungen werden, z. B. ber Passwrter.
- Eine Zugriffskontrolle fr die Terminplne der einzelnen Mitarbeiter
ist erforderlich.
- Zugriffsrechte mssen fr Einzelne, Gruppen und Vorgesetzte
getrennt vergeben werden knnen.
- Eine Unterscheidung zwischen Lese- und Schreibrecht muss
mglich sein.
Wnschenswerte Sicherheitseigenschaften:
- Eine automatisierte Datensicherung in verschlsselter Form ist vor-
zusehen.
Reisekostenabrechnungssystem:
Notwendige Sicherheitseigenschaften:
- Eine sichere Identifikation und Authentisierung der einzelnen Benut-
zer muss erzwungen werden, z. B. ber Passwrter.
- Eine Zugriffskontrolle muss vorhanden und auch fr einzelne Daten-
stze einsetzbar sein.
- Zugriffsrechte mssen fr Benutzer, Administrator, Revisor und
Datenschutzbeauftragter getrennt vergeben werden knnen. Eine
Rollentrennung zwischen Administrator und Revisor muss durch-
fhrbar sein.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 971
Manahmenkatalog Organisation M 2.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 972
Manahmenkatalog Organisation M 2.81 Bemerkungen
___________________________________________________________________ ..........................................
Beispiel:
Die im Anforderungskatalog geforderten und bewerteten Eigenschaften fr ein
Komprimierungsprogramm werden nun wie folgt gewichtet:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 973
Manahmenkatalog Organisation M 2.81 Bemerkungen
___________________________________________________________________ ..........................................
Die erstellte Hitliste zusammen mit der Marktbersicht sollte dann der
Beschaffungsstelle vorgelegt werden, damit dieser berprfen kann, inwieweit
die dort aufgefhrten Produkte den internen Regelungen und gesetzlichen
Vorgaben entsprechen. Dabei muss die Beschaffungsstelle auch darauf achten,
dass die anderen Stellen, deren Vorgaben eingehalten werden mssen, wie der
Datenschutzbeauftragte, der IT-Sicherheitsbeauftragte oder der Personal- bzw.
Betriebsrat, rechtzeitig beteiligt werden.
Es muss entschieden werden, wie viele und welche Kandidaten der Hitliste
getestet werden sollen. Sinnvollerweise sollten die ersten zwei oder drei
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 974
Manahmenkatalog Organisation M 2.81 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 975
Manahmenkatalog Organisation M 2.81 Bemerkungen
___________________________________________________________________ ..........................................
Ist dann die Kaufentscheidung fr ein Produkt gefallen, sollte der Kauf natr-
lich beim gnstigsten Anbieter gettigt werden. Dieser hat sich evtl. schon bei
der Marktsichtung herauskristallisiert.
Ergnzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Bietet die ausgewhlte Software alle im Anforderungskatalog zusammen-
gestellten Funktionen?
- Ist das Produkt kompatibel zu der aktuellen IT-Infrastruktur?
- Welche Folgekosten sind beispielsweise fr Schulung und Programm-
pflege zu erwarten?
- Sind Installation und Betrieb durch vorhandenes Personal mglich, wird
zustzlicher Personalaufwand erforderlich oder muss externe Fachkompe-
tenz verpflichtet werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 976
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 977
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
Anhand der bei der Vorauswahl erstellten Hitliste sind diejenigen Produkte
auszuwhlen, die getestet werden sollen. Anschlieend wird ein Testplan
entwickelt.
Dieser umfasst folgende Inhalte:
- Festlegung der Testinhalte anhand des Anforderungskataloges,
- berprfung von Referenzen,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 978
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 979
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 980
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
- Die Testumgebung muss frei sein von Seiteneffekten auf den Echtbetrieb.
Um Wechselwirkungen von vornherein zu vermeiden, empfiehlt es sich,
dedizierte IT-Systeme zu installieren.
- Die Zugriffsrechte mssen in der Testumgebung derart konfiguriert
werden, wie sie dem Produktionsbetrieb entsprechen.
- Der Zutritt und Zugang zur Testumgebung muss geregelt sein.
- Es muss sichergestellt werden, dass das Produkt genau in der Test-
umgebung ermittelten Konfiguration in den Produktionsbetrieb ber-
nommen wird. Daher ist in der Testumgebung ein geeignetes Verfahren
zum Integrittsschutz einzusetzen (digitale Signaturen, Checksummen).
- Die Kosten fr den Aufbau der Testumgebung mssen angemessen sein.
Nach Beendigung aller geplanten Tests ist zu entscheiden, ob die Testumge-
bung abgebaut werden soll. Ggf. sind weitere Tests auch nach der Beschaf-
fung eines Produktes notwendig, so dass es eventuell wirtschaftlich ist, die
Testumgebung vorzuhalten. Vor dem Abbau der Testumgebung sind die
Testdaten zu lschen, falls sie nicht mehr bentigt werden (z. B. fr eine
sptere Installation). Druckerzeugnisse sind ordnungsgem zu entsorgen,
Programme sind zu deinstallieren. Die Testlizenzen der nicht ausgewhlten
Produkte sind zurckzugeben.
Inhalt der Testdokumentation
Im Testplan ist vorzugeben, wie ausfhrlich die Testdokumentation zu erstel-
len ist. Hierbei sind die Aspekte der Nachvollziehbarkeit, Reproduzierbarkeit
und Vollstndigkeit zu bercksichtigen.
Die Testdokumentation muss Testplne, -ziele, -verfahren und -ergebnisse
enthalten und die bereinstimmung zwischen den Tests und den spezifizierten
Anforderungen beschreiben. Smtliche Testaktivitten sowie die getroffene
Testbewertung (inklusive Entscheidungsargumentation) sind schriftlich fest-
zuhalten. Dazu gehren im einzelnen
- Produktbezeichnung und Beschreibung,
- Testbeginn, -ende und -aufwand,
- Testverantwortliche,
- Konfiguration der Testumgebung,
- Beschreibung der Testflle,
- Entscheidungskriterien, Testergebnisse und Argumentationsketten, und
- nicht erfllte Anforderungen des Anforderungskataloges.
Der Testgruppe sollte eine Mglichkeit zur bersichtlichen Dokumentation
und Protokollierung der Testaktivitten und -ergebnisse zur Verfgung gestellt
werden (z. B. Protokollierungstool, Formbltter o. .).
Wird beim Testen ein automatisiertes Werkzeug verwendet, muss die Test-
dokumentation ausreichende Informationen ber dieses Werkzeug und die Art
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 981
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
Note Entscheidungskriterien
0 - Anforderungen sind nicht erfllt.
oder
- Es wurden nicht tolerierbare Fehler festgestellt, die sich
nicht beheben lassen.
1 - Anforderungen sind erfllt, aber es bestehen Vorbehalte
(z. B. Funktion ist nur eingeschrnkt geeignet).
oder
- Es sind geringfgige Fehler festgestellt worden. Diese
spielen nur eine untergeordnete Rolle, da sie tolerierbare
Auswirkungen auf den Produktionsbetrieb haben oder da
sie nur mit vernachlssigbarer Wahrscheinlichkeit
vorkommen knnen.
2 - Anforderungen sind in vollem Umfang erfllt.
oder
- Fehler, die ggf. aufgetaucht sind, sind entweder zu
beheben oder haben fr den Betrieb keinerlei Bedeutung.
Sind Fehler aufgetaucht, die nicht reproduziert werden knnen, hat der Prfer
zu entscheiden, welcher Kategorie (Note) der Fehler zuzuordnen ist.
Sind Fehler aufgetreten, die whrend des Tests behoben werden knnen, ist
nach deren Behebung erneut im erforderlichen Umfang zu testen.
Beispiel:
Das Beispiel des Kompressionsprogramms aus M 2.81 Vorauswahl eines
geeigneten Standardsoftwareproduktes wird hier fortgesetzt, um eine Mg-
lichkeit zu beschreiben, den Prfaufwand fr jede Anforderung des Anforde-
rungskataloges festzulegen. Hier wird der Prfaufwand aus Prftiefe und
Komplexitt abgeleitet. Der Vertrauensanspruch kennzeichnet den Bedarf an
Vertrauen in die Eigenschaft.
Die Nutzungshufigkeit, Fehleranflligkeit und Komplexitt einer Eigenschaft
werden wie folgt bewertet:
- 1 bedeutet "niedrig",
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 982
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
- 2 bedeutet "mittel",
- 3 bedeutet "hoch".
Ein besonderer Fall ist gegeben, wenn eine unvernderbare Eigenschaft des
Produktes betrachtet werden soll, die unabhngig von der Fehleranflligkeit
oder Nutzungshufigkeit ist. Fr diesen Fall wird der Wert 0 vergeben. Fr
das Beispiel des Kompressionsprogramms ergibt sich folgende Tabelle:
in %
Prfaufwand
Komplexitt
Prftiefe
Nutzungshufigkeit
Fehleranflligkeit
Vertrauensanspruch
korrekte Kompression 5 2 3 10 2 20 23
und Dekompression
Erkennen von Bitfehlern 2 2 1 5 2 10 11
in einer komprimierten
Datei
Lschung von Dateien 3 2 1 6 1 6 7
nur nach erfolgreicher
Kompression
DOS-PC, 80486, 8 MB 5 0 0 5 1 5 6
Windows-tauglich 1 0 0 1 1 1 1
Durchsatz bei 50 MHz 3 1 2 6 1 6 7
ber 1 MB/s
Kompressionsrate ber 3 2 2 7 1 7 8
40% fr Textdateien des
Programms XYZ
Online-Hilfefunktion 1 1 2 4 1 4 5
Maximale Kosten 50.- 5 0 0 5 1 5 5
DM pro Lizenz
Passwortschutz fr kom- 5 1 2 8 3 24 27
primierte Dateien (Me-
chanismenstrke hoch)
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 983
Manahmenkatalog Organisation M 2.82 Bemerkungen
___________________________________________________________________ ..........................................
dabei ist
Prftiefe = Vertrauensanspruch + Fehleranflligkeit + Nutzungshufigkeit
(Die Prozentzahlen fr den Prfaufwand in der letzten Spalte der Tabelle erge-
ben sich aus den fr den Prfaufwand errechneten Werten bei Division durch
die Summe dieser Werte.)
Ein Beispiel fr eine andere Methode, den Prfaufwand zu berechnen und die
Prfergebnisse zu bewerten, findet sich in der Norm ISO 12119. Hier wird
folgende Gewichtung der einzelnen Anforderungen vorgenommen: Bewertung
jedes Prfinhaltes =(Komplexitt+Fehleranflligkeit) * (Benutzungshufigkeit
+ Wichtigkeit).
Letztendlich muss der Testverantwortliche eine dem Produkt und der Institu-
tion adquate Bewertungsmethode individuell festlegen.
Nach Erstellung des Testplans wird fr jeden im Testplan spezifizierten
Testinhalt ein Tester oder eine Testgruppe mit der Durchfhrung des ihr
zugeteilten Tests beauftragt. Der Testplan ist der Testgruppe zu bergeben und
die fr die Einzeltests vorgegebenen Zeiten sind mitzuteilen.
Ergnzende Kontrollfragen:
- Sind alle fr die Testdurchfhrung bentigten Formbltter und Checklisten
erstellt?
- Wurden alle Aufgaben fr das Testen zugeteilt?
- Wurden alle Prfinhalte entsprechend den Vorgaben in Testflle umge-
setzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 984
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
Testvorbereitung
Festlegung der Testmethoden fr die Einzeltests (Testarten, -verfahren
und -werkzeuge)
Methoden zur Durchfhrung von Tests sind z. B. statistische Analyse, Simu-
lation, Korrektheitsbeweis, symbolische Programmausfhrung, Review,
Inspektion, Versagensanalyse. Hierbei muss beachtet werden, dass einige
dieser Testmethoden nur bei Vorliegen des Quellcodes durchfhrbar sind. In
der Vorbereitungsphase muss die geeignete Testmethode ausgewhlt und fest-
gelegt werden.
Es muss geklrt werden, welche Verfahren und Werkzeuge zum Testen von
Programmen und zum Prfen von Dokumenten eingesetzt werden. Typische
Verfahren zum Testen von Programmen sind z. B. Black-Box-Tests, White-
Box-Tests oder Penetrationstests. Dokumente knnen z. B. durch informelle
Prfungen, Reviews oder anhand von Checklisten kontrolliert werden.
Ein Black-Box-Test ist ein Funktionalittstest ohne Kenntnis der internen
Programmablufe, bei dem z. B. das Programm mit allen Datenarten fr alle
Testflle mit Fehlerbehandlung und Plausibilittskontrollen durchlaufen wird.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 985
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 986
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
Testdurchfhrung
Die Durchfhrung der Tests muss anhand des Testplans erfolgen. Jede Aktion
sowie die Testergebnisse mssen ausreichend dokumentiert und bewertet
werden. Insbesondere wenn Fehler auftreten, sind diese derart zu dokumen-
tieren, dass sie reproduziert werden knnen. Die fr den spteren Produktions-
betrieb geeigneten Betriebsparameter mssen ermittelt und fr die sptere
Erstellung einer Installationsanweisung festgehalten werden.
Werden zustzliche Funktionen beim Produkt erkannt, die nicht im Anforde-
rungskatalog aufgefhrt, aber trotzdem von Nutzen sein knnen, so ist hierfr
mindestens ein Kurztest durchzufhren. Zeigt sich, dass diese Funktion von
besonderer Bedeutung fr den spteren Betrieb sind, sind diese ausfhrlich zu
testen. Fr den zustzlich anfallenden Prfaufwand ist ggf. eine Fristverlnge-
rungen bei den Verantwortlichen zu beantragen. Die Testergebnisse sind in die
Gesamtbewertung mit einzubeziehen.
Zeigt sich bei Bearbeitung einzelner Testinhalte, dass eine oder mehrere
Anforderungen des Anforderungskataloges nicht konkret genug waren, sind
diese gegebenenfalls zu konkretisieren.
Beispiel: Im Anforderungskatalog wird zum Vertraulichkeitsschutz der zu
bearbeitenden Daten Verschlsselung gefordert. Whrend des Testens hat sich
gezeigt, dass eine Offline-Verschlsselung fr den Einsatzzweck ungeeignet.
Daher ist der Anforderungskatalog hinsichtlich einer Online-Verschlsselung
zu ergnzen. (Eine Offline-Verschlsselung muss vom Anwender angestoen
und die zu verschlsselnden Elemente jeweils spezifiziert werden; eine
Online-Verschlsselung erfolgt transparent fr den Anwender mit
voreingestellten Parametern.)
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 987
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
Eingangsprfungen
Vor allen anderen Tests sind zunchst die folgenden grundlegenden Aspekte
zu testen, da ein Misserfolg bei diesen Eingangsprfungen zu direkten
Aktionen oder dem Testabbruch fhrt:
- Die Computer-Virenfreiheit des Produktes ist durch ein aktuelles Viren-
suchprogramm zu berprfen.
- In einem Installationstest muss festgestellt werden, ob das Produkt fr den
spteren Einsatzzweck einfach, vollstndig und nachvollziehbar zu instal-
lieren ist. Ebenfalls muss berprft werden, wie das Produkt vollstndig
deinstalliert wird.
- Die Lauffhigkeit des Produktes ist in der geplanten Einsatzumgebung zu
berprfen; dies beinhaltet insbesondere eine berprfung der Bild-
schirmaufbereitung, der Druckerausgabe, der Mausuntersttzung, der
Netzfhigkeit, etc.
- Die Vollstndigkeit des Produktes (Programme und Handbcher) ist zu
berprfen, z. B. durch einen Vergleich mit dem Bestandsverzeichnis, der
Produktbeschreibung oder hnlichem.
- Es sollten Kurztests von Funktionen des Programms durchgefhrt werden,
die nicht explizit in den Anforderungen erwhnt wurden, im Hinblick auf
Funktion, Plausibilitt, Fehlerfreiheit, etc.
Funktionale Tests
Die funktionalen Anforderungen, die im Anforderungskatalog an das Produkt
gestellt wurden, sind auf folgende Aspekte zu untersuchen:
- Existenz der Funktion durch Aufruf im Programm und Auswertung der
Programmdokumentationen.
- Fehlerfreiheit bzw. Korrektheit der Funktion
Um die Fehlerfreiheit bzw. Korrektheit der Funktion sicherzustellen, sind
je nach Prftiefe bei der Untersuchung unterschiedliche Testverfahren wie
Black-Box-Tests, White-Box-Tests oder simulierter Produktionsbetrieb
anzuwenden.
Die in der Vorbereitungsphase erstellten Testdaten und Testflle werden
im Funktionalittstest eingesetzt. Bei den Funktionalittstests ist es not-
wendig, die Testergebnisse mit den vorgegebenen Anforderungen zu ver-
gleichen. Auerdem ist zu berprfen, wie das Programm bei fehlerhaften
Eingabeparametern oder fehlerhafter Bedienung reagiert. Die Funktion ist
auch mit den Grenzwerten der Intervalle von Eingabeparametern sowie mit
Ausnahmefllen zu testen. Diese mssen entsprechend erkannt und korrekt
behandelt werden.
- Eignung der Funktion
Die Eignung einer Funktion zeichnet sich dadurch aus, dass die Funktion
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 988
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 989
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 990
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
Sicherheitsspezifische Tests
Wurden sicherheitsspezifische Anforderungen an das Produkt gestellt, so sind
zustzlich zu den vorgenannten Untersuchungen auch folgende Aspekte zu
untersuchen:
- Wirksamkeit und Korrektheit der Sicherheitsfunktionen,
- Strke der Sicherheitsmechanismen und
- Unumgnglichkeit und Zwangslufigkeit der Sicherheitsmechanismen.
Als Grundlage fr eine Sicherheitsuntersuchung knnte beispielsweise das
Handbuch fr die Bewertung der Sicherheit von Systemen der Informations-
technik (ITSEM) herangezogen werden, in dem viele der nachfolgend aufge-
zeigten Vorgehensweise beschrieben sind. Die weiteren Ausfhrungen dienen
zur Orientierung und zur Einfhrung in die Thematik.
Zu Beginn muss durch funktionale Tests zunchst nachgewiesen werden, dass
das Produkt die erforderlichen Sicherheitsfunktionen bereitstellt.
Anschlieend ist zu berprfen, ob alle erforderlichen Sicherheitsmechanis-
men im Anforderungskatalog genannt wurden, ggf. ist dieser zu ergnzen. Um
die Mindeststrke der Mechanismen zu besttigen oder zu verwerfen sind
Penetrationstests durchzufhren. Penetrationstests sind nach allen anderen
Tests durchzufhren, da sich aus diesen Tests Hinweise auf potentielle
Schwachstellen ergeben knnen.
Durch Penetrationstests kann das Testobjekt oder die Testumgebung besch-
digt oder beeintrchtigt werden. Damit solche Schden keine Auswirkungen
haben, sollten vor der Durchfhrung von Penetrationstests Datensicherungen
gemacht werden.
Penetrationstests knnen durch Verwendung von Sicherheitskonfigurations-
und Protokollierungstools untersttzt werden. Diese Tools untersuchen eine
Systemkonfiguration und suchen nach gemeinsamen Schwachstellen wie etwa
allgemein lesbaren Dateien und fehlenden Passwrtern.
Mit Penetrationstests soll das Produkt auf Konstruktionsschwachstellen unter-
sucht werden, indem dieselben Methoden angewandt werden, die auch ein
potentieller Angreifer zur Ausnutzung von Schwachstellen benutzen wrde,
wie z. B.
- ndern der vordefinierten Befehlsabfolge,
- Ausfhren einer zustzlichen Funktion,
- Direktes oder indirektes Lesen, Schreiben oder Modifizieren interner
Daten,
- Ausfhren von Daten, deren Ausfhrung nicht vorgesehen ist,
- Verwenden einer Funktion in einem unerwarteten Kontext oder fr einen
unerwarteten Zweck,
- Aktivieren der Fehlerberbrckung,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 991
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 992
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
- Wenn Dateien mit Passwrtern geschtzt werden, kann durch einen Ver-
gleich einer Datei vor und nach der Passwortnderung die Stelle ermittelt
werden, an der das Passwort gespeichert wird. Ist es mglich, an dieser
Stelle nderungen oder alte Werte einzugeben, um bekannte Passwrter zu
aktivieren? Werden die Passwrter verschlsselt gespeichert? Wie ist die
Stelle belegt, wenn der Passwortschutz deaktiviert ist?
- Kann die Passwort-Prfroutine unterbrochen werden? Gibt es Tastenkom-
binationen, mit denen die Passworteingabe umgangen werden kann?
Zugriffsrechte:
- In welchen Dateien werden Zugriffsrechte gespeichert und wie werden sie
geschtzt?
- Knnen Zugriffsrechte von Unberechtigten gendert werden?
- Knnen Dateien mit alten Zugriffsrechten zurckgespielt werden und
welche Rechte bentigt man dazu?
- Knnen die Rechte des Administrators so eingeschrnkt werden, dass er
keinen Zugriff auf die Nutz- oder Protokolldaten erhlt?
Datensicherung:
- Knnen erstellte Datensicherungen problemlos rekonstruiert werden?
- Knnen Datensicherungen durch ein Passwort geschtzt werden? Wenn ja,
knnen die oben dargestellten Untersuchungsanstze fr Passwrter einge-
setzt werden.
Verschlsselung:
- Bietet das Produkt an, Dateien oder Datensicherungen zu verschlsseln?
- Werden mehrere verschiedene Verschlsselungsalgorithmen angeboten?
Hierbei ist im allgemeinen folgende Faustregel zu beachten: "Je schneller
ein in Software realisierter Verschlsselungsalgorithmus ist, um so
unsicherer ist er."
- Wo werden die zur Ver- oder Entschlsselung genutzten Schlssel gespei-
chert?
Bei einer lokalen Speicherung ist zu untersuchen, ob diese Schlssel
passwortgeschtzt oder mit einem weiteren Schlssel berschlsselt
geschtzt werden. Bei einem Passwortschutz sind die obigen Punkte zu
bercksichtigen. Bei einer berschlsselung ist zu betrachten, wie der
zugehrige Schlssel geschtzt wird.
Dazu knnen folgende Punkte betrachtet werden: Welche Datei ndert
sich, wenn ein Schlssel gendert wurde? Durch den Vergleich dieser
Datei vor und nach der Schlsselnderung kann die Stelle ermittelt werden,
an der dieser Schlssel gespeichert wird. Ist es mglich, an dieser Stelle
nderungen vorzunehmen, um neue Schlssel zu aktivieren, die dann vom
Anwender genutzt werden, ohne dass dieser die Kompromittierung
bemerkt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 993
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
Pilotanwendung
Nach Abschluss aller anderen Tests kann noch eine Pilotanwendung, also ein
Einsatz unter Echtbedingungen, fr notwendig gehalten werden.
Erfolgt der Test in der Produktionsumgebung mit Echtdaten, muss vorab
durch eine ausreichende Anzahl von Tests die korrekte und fehlerfreie
Funktionsweise des Programms besttigt worden sein, um die Verfgbarkeit
und Integritt der Produktionsumgebung nicht zu gefhrden. Dabei kann das
Produkt beispielsweise bei ausgewhlten Benutzern installiert werden, die es
dann fr einen gewissen Zeitraum im echten Produktionsbetrieb einsetzen.
Testauswertung
Anhand der festgelegten Entscheidungskriterien sind die Testergebnisse zu
bewerten, alle Ergebnisse zusammenzufhren und mit der Testdokumentation
der Beschaffungsstelle bzw. Testverantwortlichen vorzulegen.
Anhand der Testergebnisse sollte ein abschlieendes Urteil fr ein zu
beschaffendes Produkt gefllt werden. Hat kein Produkt den Test bestanden,
muss berlegt werden, ob eine neue Marktsichtung vorgenommen werden
soll, ob die gestellten Anforderungen zu hoch waren und gendert werden
mssen oder ob von einer Beschaffung zu diesem Zeitpunkt abgesehen
werden muss.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 994
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
Beispiel:
Am Beispiel eines Kompressionsprogramms wird nun eine Mglichkeit
beschrieben, Testergebnisse auszuwerten. Getestet wurden vier Produkte, die
nach der dreistufigen Skala aus M 2.82 Entwicklung eines Testplans fr
Standardsoftware bewertet wurden.
Produkt 3 war bereits in der Vorauswahl gescheitert und wurde daher nicht
getestet.
Produkt 4 scheiterte in dem Testabschnitt "korrekte Kompression und
Dekompression", weil die Erfllung der Eigenschaft mit 0 bewertet wurde, es
sich dabei aber um eine notwendige Eigenschaft handelt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 995
Manahmenkatalog Organisation M 2.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 996
Manahmenkatalog Organisation M 2.84 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 997
Manahmenkatalog Organisation M 2.84 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 998
Manahmenkatalog Organisation M 2.85 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 999
Manahmenkatalog Organisation M 2.85 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1000
Manahmenkatalog Organisation M 2.86 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1001
Manahmenkatalog Organisation M 2.87 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1002
Manahmenkatalog Organisation M 2.87 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Welche Regelungen bestehen bezglich mglicher Abweichungen von der
Installationsanweisung?
- Wie wird der Erfolg einer Installation berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1003
Manahmenkatalog Organisation M 2.88 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1004
Manahmenkatalog Organisation M 2.89 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1005
Manahmenkatalog Organisation M 2.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1006
Manahmenkatalog Organisation M 2.90 Bemerkungen
___________________________________________________________________ ..........................................
- Wartungsvertrge, Wartungsintervalle.
Ergnzende Kontrollfragen:
- Welche Regelungen zum Wareneingang von informationstechnischen
Produkten sind in Kraft?
- Wie wird verfahren, wenn unvollstndige Lieferungen festgestellt werden?
- Sind schon hufiger unvollstndige Lieferungen auffllig geworden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1007
Manahmenkatalog Organisation M 2.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1008
Manahmenkatalog Organisation M 2.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1009
Manahmenkatalog Organisation M 2.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1010
Manahmenkatalog Organisation M 2.91 Bemerkungen
___________________________________________________________________ ..........................................
ist jedoch zu beachten, dass ein Mehr an Protokollierung nicht unbedingt auch
die Sicherheit des berwachten Systems erhht. Protokolldateien, die nicht
ausgewertet werden oder die aufgrund ihres Umfangs nur mit groem Auf-
wand auswertbar sind, fhren nicht zu einer besseren Kontrolle der System-
ablufe, sondern sind letztlich nutzlos. Aus diesen Grnden sollte die Proto-
kollierung so eingestellt werden, dass sie im Normalfall nur die wirklich
bedeutsamen Ereignisse aufzeichnet (siehe M 4.54 Protokollierung unter
Windows NT).
8. Regelungen zur Datenspeicherung
Es ist festzulegen, wo Benutzerdaten gespeichert werden (siehe M 2.138
Strukturierte Datenhaltung). So ist denkbar, dass Benutzerdaten nur auf einem
Server abgelegt werden. Eine Datenspeicherung auf der lokalen Festplatte ist
bei diesem Modell nicht erlaubt. Mglich ist aber auch, bestimmte Benutzer-
daten nur auf der lokalen Festplatte abzulegen. Nach welcher Strategie
verfahren werden soll, muss an den konkreten Umstnden des Einzelfalles
festgelegt werden. Eine generelle Empfehlung auszusprechen, ist nicht
mglich.
9. Einrichtung von Projektverzeichnissen
Um eine saubere Trennung von Benutzer- und projektspezifischen Daten
untereinander sowie von den Programmen und Daten des Betriebssystems
durchzusetzen, sollte eine geeignete Verzeichnisstruktur festgelegt werden,
mit der eine projekt- und benutzerbezogene Dateiablage untersttzt wird. So
knnen beispielsweise zwei Hauptverzeichnisse \Projekte und \Benutzer ange-
legt werden, unter denen dann die Dateien und Verzeichnisse der Projekte
bzw. Benutzer in jeweils eigenen Unterverzeichnissen abgelegt werden.
10. Vergabe der Zugriffsrechte
Fr die Server ist festzulegen, welche Verzeichnisse und bei Nutzung von
NTFS-Partitionen welche Dateien fr den Betrieb freizugeben und welche
Zugriffsrechte ihnen zuzuweisen sind (siehe M 4.53 Restriktive Vergabe von
Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT). Zustzlich
ist bei Nutzung von Peer-to-Peer-Funktionalitten auf der Ebene der Clients
zu entscheiden, welche Verzeichnisse fr Netzzugriff freizugeben sind (siehe
M 2.94 Freigabe von Verzeichnissen unter Windows NT).
Das zuvor gesagte gilt analog fr die Freigabe von Druckern.
11. Verantwortlichkeiten fr Administratoren und Benutzer im Client-
Server-Netz
Neben der Wahrnehmung der Netzmanagement-Aufgaben (siehe Nr. 2)
mssen weitere Verantwortlichkeiten festgelegt werden. Es ist festzulegen,
welche Verantwortung die einzelnen Administratoren im Client-Server-Netz
bernehmen mssen. Dies knnen zum Beispiel Verantwortlichkeiten sein fr
- die Auswertung der Protokolldateien auf den einzelnen Servern oder
Clients,
- die Vergabe von Zugriffsrechten,
- das Hinterlegen und den Wechsel von Passwrtern und
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1011
Manahmenkatalog Organisation M 2.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1012
Manahmenkatalog Organisation M 2.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1013
Manahmenkatalog Organisation M 2.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1014
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1015
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
knnen hingegen nur die von Servern zur Verfgung gestellten Ressourcen
nutzen.
Ein NT-Rechner kann mit dem Betriebssystem "Windows NT Server" oder
"Windows NT Workstation" betrieben werden. In kleinen Netzen kann auch
eine Lizenzversion "Windows NT Workstation" als Server betrieben werden.
Zu beachten ist aber, dass sich aufgrund der lizenzrechtlichen Einschrnkung
nicht mehr als 10 Benutzer gleichzeitig ber das Netz auf diesem Rechner
anmelden drfen. Reicht dies nicht aus, muss Windows NT Server installiert
werden. Auf Servern unter dem Betriebssystem Windows NT sollten generell
keine normalen Benutzer arbeiten. Die Clients mssen nicht zwingend unter
Windows NT betrieben werden.
Der Vorteil dieses Konzeptes liegt in der Zentralisierung der Datenhaltung
und -verwaltung. Sofern in einem solchen Netz nur ein Server zum Einsatz
kommt, ist fr die Arbeit im Netz auch nur auf diesem Rechner je Benutzer
ein Konto anzulegen. Fr die Benutzung von Ressourcen oder Diensten des
Servers ber das Netz ist lediglich die Anmeldung des Benutzers an diesem
einen Rechner notwendig. Fr kleinere Netze kann der Einsatz dieses Konzep-
tes durchaus wirtschaftlich sinnvoll sein.
Sofern jedoch die Kapazitt eines Servers nicht mehr ausreicht, um den
jeweiligen Anforderungen hinsichtlich Geschwindigkeit und Plattenspeicher-
platz zu gengen, nimmt der Verwaltungsaufwand erheblich zu, wenn ein oder
mehrere Server dem Netz hinzugefgt werden. Sollen alle Benutzer das Recht
erhalten, auf alle Server ber das Netz zuzugreifen, mssen die
Benutzerkonten auf jedem einzelnen Server eingerichtet und gepflegt werden.
3. Domnen-Konzept
Eine Domne unter Windows NT ist eine Gruppe von Rechnern, die ber eine
gemeinsame Sicherheits- und Benutzerkontendatenbank (SAM-Datenbank)
verfgt. Fr den Benutzer bedeutet dies, dass er sich nur einmal an der
Domne anmelden muss. Danach stehen ihm smtliche fr ihn freigegebene
Ressourcen zur Verfgung, unabhngig davon, auf welchem Server sich diese
befinden.
Ein Server der Domne unter dem Betriebssystem Windows NT Server dient
als primrer Domnencontroller (PDC). Daneben kann die Domne einen oder
mehrere Backup Domnencontroller (BDC), Mitgliedsserver, d. h. Server
ohne Domnencontrollerfunktionalitt (siehe auch weiter unten) und Windows
NT Workstations enthalten. Auerdem knnen zu einer Domne
Arbeitsstationen mit anderen Betriebssystemen wie z. B. Windows fr Work-
groups, Windows 95 oder MS-DOS gehren.
Die Entscheidung, ob ein Server als primrer Domnencontroller, als Backup
Domnencontroller oder als Mitgliedsserver fungieren soll, muss vor der
Installation getroffen werden, da spter eine nderung ohne Neuinstallation
nicht mehr mglich ist. Zum besseren Verstndnis soll zunchst nher auf die
verschiedenen Serverarten einer Domne eingegangen werden:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1016
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1017
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
Fr die Benutzer bedeutet dies, dass sie sich bei der Benutzeranmeldung nur
gegenber dieser Datenbank authentisieren mssen. Danach knnen sie auf
alle Objekte und Ressourcen der Domne zugreifen, sofern sie die ent-
sprechenden Berechtigungen besitzen. Dabei spielt keine Rolle, auf welchem
Server sich diese Objekte und Ressourcen befinden. Arbeitet der Benutzer auf
einem Rechner unter dem Betriebssystem Windows NT Workstation, gengt
die Benutzeranmeldung gegenber der zentralen Benutzerdatenbank, um auch
auf diesen Rechner Zugang zu erhalten.
Organisation von Domnen
Innerhalb eines Netzes knnen mehrere Domnen eingerichtet werden; jede
muss dabei aber ber einen eindeutigen Namen verfgen. Jede Domne ver-
waltet ihre eigene zentrale SAM-Datenbank. Die jeweiligen Benutzer- und
Gruppenkonten sind daher auch nur in der Domne gltig, in der sie definiert
wurden.
Es kann aber innerhalb eines Netzes die Notwendigkeit bestehen, dass
Benutzer einer Domne auf Ressourcen einer anderen Domne zugreifen
mssen. Hierzu gibt es den Mechanismus der Vertrauensbeziehungen
zwischen Domnen.
Dabei unterscheidet man zwischen vertrauten Domnen (Trusted Domains)
und vertrauenden Domnen (Trusting Domains). Den Benutzerkonten und
globalen Gruppen der vertrauten Domne knnen in der vertrauenden Domne
Rechte und Berechtigungen zugewiesen werden, wodurch auch der Zugriff auf
freigegebene Ressourcen mglich wird.
Es sind folgende Domnen-Modelle mglich:
a) Single-Domnen-Modell
Dies ist das einfachste Domnen-Modell, da in einem Netz hierbei nur eine
einzige Domne existiert. Daher besteht nicht die Notwendigkeit, Vertrauens-
beziehungen zu verwalten. Im gesamten Netz existiert hierbei nur eine einzige
SAM-Datenbank, ber die die Verwaltung erfolgt. Eine Abwandlung dieses
Modells liegt vor, wenn in einem Netz mehrere Einzeldomnen eingerichtet
wurden, zwischen denen keine Vertrauensbeziehungen definiert wurden.
Hierbei verwaltet jede Domne ihre eigene SAM-Datenbank und ihre eigenen
Benutzer- und Gruppenkonten. Das Single-Domnen-Modell eignet sich
besonders gut fr Netze mit wenigen Benutzern (ca. 200 bis 300) und wenigen
Computerkonten. Nachteilig ist bei diesem Modell, dass die Performance bei
steigender Benutzer- und Gruppenanzahl abnimmt. Auerdem ist eine
Gruppierung der Ressourcen nach Organisationseinheiten in dem Sinne, dass
ein Server z. B. fr eine Abteilung reserviert ist, nicht mglich.
b) Master-Domnen-Modell
Kennzeichen dieses Modells ist, dass ein Netz in mehrere Domnen eingeteilt
wird, wobei eine Domne zentral alle Benutzer- und Gruppenkonten verwal-
tet. Diese Domne wird Master-Domne genannt. In den anderen Domnen
werden die Ressourcen zusammengefasst. Die Ressourcen-Domnen
vertrauen dabei der Domne mit den Benutzerkonten. Folgende Abbildung
zeigt das Master-Domnen-Modell:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1018
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
Dieses Domnen-Modell lsst sich nach Angaben von Microsoft bis zu einer
Zahl von ca. 15.000 Benutzern einsetzen. Besonders geeignet ist dieses
Modell, wenn eine Organisation aus mehreren Abteilungen besteht und alle
Abteilungen ihre eigenen Ressourcen verwalten sollen, wobei die Benutzer-
administration zentral erfolgt. Es ist bei diesem Domnen-Modell mglich, fr
die Administration der Ressourcen-Domnen jeweils einen eigenen
Administrator zu benennen. Auerdem ist ein zentrales Sicherheitsmanage-
ment mglich.
c) Multiple-Master-Domnen
Dieses Modell besteht aus mehreren Master-Domnen, die sich gegenseitig
vertrauen. Die Benutzer- und Gruppenkonten werden in diesen Master-
Domnen gefhrt. Darber hinaus existieren Ressourcen-Domnen, die
einseitig allen Master-Domnen vertrauen. Die folgende Abbildung zeigt das
Modell der Multiple-Master-Domnen:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1019
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1020
Manahmenkatalog Organisation M 2.93 Bemerkungen
___________________________________________________________________ ..........................................
Bei diesem Modell ist es mglich, den Abteilungen einer Organisation sowohl
die Verwaltung der Benutzerkonten als auch die Verwaltung der Ressourcen
zu berlassen. Es wird keine zentrale Abteilung zur Verwaltung bentigt. Das
Modell ist mit jeder Anzahl von Benutzern skalierbar. Dieses Modell hat aber
auch erhebliche Nachteile. So ist die Kontrolle, ob die Sicherheitspolitik ein-
gehalten wird, schwierig. Dies erschwert es, ein zentrales Sicherheits-
management aufzubauen. Auerdem ist es schwierig, die Ttigkeit der einzel-
nen Administratoren zu koordinieren. Wenn ein Netz sehr viele Domnen
umfasst, sind sehr viele Vertrauensbeziehungen zu verwalten, was letztlich
unbersichtlich ist.
Es knnen keine globalen Aussagen dazu gemacht werden, welches der
beschriebenen Domnen-Modelle in einer Organisation Anwendung finden
sollte. Dies kann nur in Abhngigkeit von der physischen und logischen
Netzstruktur sowie der Verteilung von Daten, Anwendungen und Benutzern
im Netz spezifisch festgelegt werden. Die Bestimmung der optimalen
Domnenstruktur bedarf daher einer detaillierten Analyse, die fr umfang-
reiche Netze aufwendig werden kann und ggf. durch Planungssoftware zu
untersttzen ist.
Ergnzende Kontrollfragen:
- Ist die gewhlte Netzstruktur einschlielich eventueller Vertrauens-
beziehungen zwischen Domnen dokumentiert?
- Wird sie an Vernderungen im Einsatzumfeld angepasst?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1021
Manahmenkatalog Organisation M 2.94 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1022
Manahmenkatalog Organisation M 2.94 Bemerkungen
___________________________________________________________________ ..........................................
kontrolliste, die nach Wahl des Feldes "Berechtigungen" durch das System
geffnet wird. Das Symbol des freigegebenen Verzeichnisses wird im
"Windows NT Explorer" oder im Desktop-Symbol "Arbeitsplatz" mit einer
Hand unterlegt, um anzuzeigen, dass es freigegeben wurde.
Das Recht, Verzeichnisse freizugeben sowie die Freigabeberechtigungen zu
verwalten, haben nur Mitglieder der Gruppen "Administratoren" und "Server-
Operatoren" auf Domnencontrollern bzw. Mitglieder der Gruppen
"Administratoren" und "Hauptbenutzer" auf Windows NT-Workstations und
Mitgliedsservern.
Unter Windows NT gibt es folgende Freigabeberechtigungen: "Kein Zugriff",
"Lesen", "ndern" und "Vollzugriff". Die Aktionen, die die einzelnen Frei-
gabeberechtigungen ermglichen, ergeben sich aus folgender Tabelle:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1023
Manahmenkatalog Organisation M 2.94 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1024
Manahmenkatalog Organisation M 2.94 Bemerkungen
___________________________________________________________________ ..........................................
rechte auf diese speziellen Freigaben sind nicht vernderbar und auf die
Benutzergruppe "Administratoren" eingeschrnkt. Diese Freigaben sind nicht
direkt sichtbar, da sie Freigabenamen der Form "Plattenname$", also z.B.
"C$" bzw. den Namen "ADMIN$" haben.
Dadurch besteht die Gefahr, dass
- jemand Administratorkennung und Passwort ausprobieren kann oder
- ein Administrator jederzeit unbemerkt auf Benutzerrechner zugreifen kann.
Falls diese Eigenschaft zur Erleichterung der Workstation-Betreuung
gewnscht ist, ist zu berlegen, ob ein Administrator fr alle von ihm betreu-
ten Workstations dasselbe Administrator-Passwort verwenden soll. Dies lsst
sich zwar leichter merken, fhrt aber dazu, dass ein Angreifer auf alle Work-
stations zugreifen kann, wenn er dieses eine Passwort herausgefunden hat.
Falls diese Zugriffsmglichkeiten nicht gewnscht sind, z. B. weil der
Administrator nicht auf lokale Benutzerdaten zugreifen knnen soll, sollte
ber den Benutzer-Manager, unter Richtlinien - Benutzerrechte das Recht
"Zugriff auf diesen Computer vom Netz" fr Administratoren gesperrt
werden.
Windows NT vergibt bei jeder Freigabe standardmig die Freigabeberechti-
gung "Vollzugriff" fr die Gruppe "Jeder". Dies ist insbesondere fr
Verzeichnisse, die sich auf Datentrgern ohne NTFS-Dateisystem befinden,
nicht akzeptabel, da es hier auer den Freigabeberechtigungen keine andere
Mglichkeit der Vergabe von Rechten und damit der Zugriffskontrolle gibt.
Die Gruppe "Jeder" muss daher aus der Zugriffskontrolliste entfernt und durch
die Gruppen und ggf. einzelnen Benutzer ersetzt werden, die auf das freige-
gebene Verzeichnis Zugriff nehmen sollen. Dabei sind dann auch entspre-
chende Freigabeberechtigungen zu vergeben.
Auch bei Verzeichnissen, die sich auf NTFS-Datentrgern befinden, sollte im
Falle der Freigabe die Gruppe "Jeder" aus der Zugriffskontrolliste entfernt
werden. Denkbar ist hier aber die Aufnahme der Gruppe "Benutzer" mit der
Vergabe der Zugriffsberechtigung "Vollzugriff". Die individuelle Vergabe
von Zugriffsberechtigungen auf das Verzeichnis bzw. auf enthaltene Dateien
und Unterverzeichnisse erfolgt dann auf der Ebene der NTFS-Berechtigungen
(siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und
Verzeichnisse unter Windows NT).
Ergnzende Kontrollfragen:
- Ist dokumentiert, welche Verzeichnisse auf welchen Rechnern fr den
Netzzugriff freigegeben sind?
- Ist die Gruppe "Jeder" in den freigegebenen Verzeichnissen, die sich auf
Datentrgern ohne NTFS-Dateisystem befinden, entfernt und durch die
Gruppen und ggf. einzelnen Benutzer, die auf das jeweilige freigegebene
Verzeichnis ber das Netz zugreifen drfen, ersetzt worden?
- Werden die vorhandenen Freigaben an Vernderungen im Einsatzumfeld
angepasst?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1025
Manahmenkatalog Organisation M 2.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1026
Manahmenkatalog Organisation M 2.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1027
Manahmenkatalog Organisation M 2.96 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1028
Manahmenkatalog Organisation M 2.97 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1029
Manahmenkatalog Organisation M 2.98 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1030
Manahmenkatalog Organisation M 2.98 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1031
Manahmenkatalog Organisation M 2.98 Bemerkungen
___________________________________________________________________ ..........................................
aus, so wird der Netzbetrieb, fast ohne Zeit- und Datenverlust, durch den
zweiten Novell Netware Server weitergefhrt.
Die Entscheidung, ob zustzlich zur Stufe SFT I weitere Manahmen (SFT II,
SFT III) ergriffen werden mssen, ist abhngig vom angestrebten Grad der
Verfgbarkeit des Netzes.
Notstromversorgung
Durch den Einsatz einer Notstromversorgung (UPS=Unterbrechungsfreie
Stromversorgung) knnen die Folgen eines pltzlichen Stromausfalles abge-
fangen werden. Novell Netware untersttzt den Einsatz geeigneter Gerte
durch das so genannte UPS-Monitoring. Im Falle eines pltzlichen
Stromausfalles wird der File Server am Ende der berbrckungszeit der UPS
geregelt heruntergefahren, d. h. die sich im Cache des Servers befindlichen
Daten werden auf die Festplatten bertragen, Verbindungen zum Server
ordnungsgem terminiert sowie die Serverprozesse geregelt beendet.
Ergnzende Kontrollfragen:
- Gengt die Dokumentation auch dem Vertretungsfall des Administrators?
- Wie wurde die Auswahl des SFT-Levels begrndet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1032
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1033
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1034
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1035
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
durch SECURE CONSOLE das DOS aus dem Hauptspeicher des Novell
Netware Servers entfernt, sowie die definierten Serversuchpfade auer Kraft
gesetzt, die zudem nicht erneut definiert werden knnen.
File Server Console Operators
Mit Hilfe des Menu-Utilities SYS:\PUBLIC\FCONSOLE.EXE kann,
ausgehend von einer Workstation, die begrenzte Kontrolle ber einen Novell
Netware Server bernommen werden.
Der File Server Operator, der neben der ausdrcklichen Berechtigung zur
Nutzung von SYS:\PUBLIC\FCONSOLE.EXE keine weiteren Privilegien
bentigt, kann hiermit Konsolennachrichten an die Benutzer versenden, den
Novell Netware Server wechseln sowie den Server herunterfahren. Weiterhin
knnen Statusanzeigen des Novell Netware Servers eingesehen und verndert
werden (Datum, Uhrzeit, etc.) sowie Informationen zu den aktuellen Verbin-
dungen eingesehen werden. Das Programm SYS:\PUBLIC\FCONSOLE.EXE
kann standardmig durch den Supervisor bzw. einen quivalenten Account
aufgerufen werden. Andere Benutzer sollten auf diese Dateien keine Rechte
besitzen.
Intruder Detection/Lockout
Durch die Aktivierung des "Detect Intruders" werden unautorisierte Login-
Versuche am Novell Netware Server erkannt und die hiervon betroffenen
Accounts ggf. gesperrt.
Die Aktivierung des "Detect Intruders" sowie die weitere Parametrisierung
dieses Menpunktes beugt somit einer "Brute Force Attacke" unter Novell
Netware vor.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1036
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
Incorrect Login Attempts gibt hierbei die Anzahl der zulssigen Login Fehl-
versuche an; blicherweise sollte hierbei der Wert "Drei" eingestellt werden.
Mit Hilfe von Bad Login Count Retention Time kann die zeitliche Zurck-
verfolgung von fehlgeschlagenen Login-Versuchen eines Accounts aktiviert
werden. bersteigt die Anzahl der Login-Fehlversuche eines Accounts
innerhalb des definierten Zeitraumes den unter Incorrect Login Attempts
eingestellten Wert, so wird der Benutzer Account auf dem Novell Netware
Server gesperrt.
Der Menupunkt Lock Account After Detection sollte auf "Yes" eingestellt
sein, um einen Account, der die Anzahl der ungltigen Login Versuche ber-
schritten hat, zu sperren.
Der Zeitwert fr Length of Account Lockout sollte keinesfalls zu gering
gewhlt werden (> 1 Stunde) um sicherzustellen, dass die Ursache fr einen
Intruder Lockout durch die Systemadministration und den betroffenen
Benutzer aufgeklrt werden kann.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1037
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
Soll vermieden werden, dass ein Benutzer durch Verwendung des eigenen
UER-Login-Scripts die Standardeinstellungen verndert, muss beim Verlassen
des System-Login-Scripts der Befehl EXIT aufgenommen werden
Hinweis: Weiterhin ist fr jeden Benutzer ein User-Login-Script zu erstellen.
Dies ist erforderlich, da jeder Benutzer ber das Zugriffsrecht "Create" im
Verzeichnis SYS:MAIL verfgt. Einem Benutzer ohne User-Login-Script kann
daher in seinem SYS:MAIL-Verzeichnis eine Datei LOGIN erzeugt werden,
die Schadfunktionen ausfhren kann.
View File Server Error Log
Das File Server Error Log ist das Fehlerprotokoll eines Novell Netware Ser-
vers. In ihm werden alle Fehler und Warnmeldungen des Servers gespeichert
und knnen durch den Supervisor ausgewertet werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1038
Manahmenkatalog Organisation M 2.99 Bemerkungen
___________________________________________________________________ ..........................................
Station Restrictions
Mit Hilfe des Menpunktes Station Restrictions knnen die Netzadressen fest-
gelegt werden, von denen aus sich ein Benutzer am Novell Netware Server
anmelden darf. Informationen ber die jeweilige Adresse einer Workstation
im Netz lassen sich z. B. mit SYS:PUBLIC\USERLIST.EXE /A in Erfahrung
bringen. Die Festlegung von erlaubten Netzadressen ist insbesondere fr den
Supervisor bzw. fr quivalente Accounts empfehlenswert. Dieses sollte
jedoch vor Ort, je nach Gegebenheit, entschieden werden.
Standardisierte Einrichtung von Benutzern und Benutzergruppen
Neben der Einrichtung von Benutzern unter Einsatz des Menu-Utilities
SYS:PUBLIC\SYSCON.EXE besteht zudem die Mglichkeit, Benutzer mit
Hilfe der Utilities SYS:\PUBLIC\MAKEUSER.EXE und
SYS:\PUBLIC\USERDEF.EXE einzurichten.
Diese eignen sich besonders fr die gleichzeitige Einrichtung einer greren
Anzahl von Benutzern.
SYS:\PUBLIC\MAKEUSER.EXE erzeugt eine Art Batch-Datei, mit deren
Hilfe mehrere Benutzer mit unterschiedlichen Rechten eingerichtet werden
knnen.
SYS:\PUBLIC\USERDEF.EXE dient zur Einrichtung mehrerer Benutzer mit
gleichen Rechten. Zu diesem Zweck wird eine Schablone (Template) erstellt,
in der eingetragen wird, nach welchen Vorgaben die Benutzer einzurichten
sind.
Diese Menu-Utilities sollten insbesondere in greren Netzen aus Grnden
einer vereinfachten und einheitlichen Administration eingesetzt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1039
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1040
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1041
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
Dateien verstanden. Das Setzen dieses Attributes bewirkt, dass nur voll-
stndig durchgefhrte Transaktionen in den Datenbestand der Datei ber-
nommen werden. Transaktionen, die unkorrekt abgebrochen wurden,
werden von Novell Netware rckgngig gemacht.
Archive needed (A): Die so durch Novell Netware gekennzeichneten
Dateien sind seit der letzten Datensicherung inhaltlich verndert oder neu
auf dem Novell Netware Server aufgespielt worden. Datensicherungs-
software kann somit bei einer sequentiellen Datensicherung erkennen, dass
die Datei erneut gesichert werden muss.
Copy Inhibit (C): Derartige Dateien knnen nicht kopiert werden. Dieses
Netware-Attribut gilt allerdings nur fr APPLE Macintosh Workstations.
Delete Inhibit (D): Die Datei kann nicht gelscht werden.
Rename Inhibit (R): Die Datei kann nicht umbenannt werden.
Execute Only (X): Ausfhrbare Programmdateien (*.EXE, *.COM), die
mit diesem Attribut versehen werden, knnen ausschlielich ausgefhrt
oder gelscht werden. Ein Kopieren der Datei ist nicht mglich.
Hidden (H): Die Datei wird als versteckt gekennzeichnet. Sie erscheint
nicht in einem Inhaltsverzeichnis unter DOS und kann weder kopiert noch
gelscht werden.
System (S): Die Datei (z. B. Bindery Dateien -NET$OBJ.SYS,
NET$PROP.SYS, NET$VAL.SYS) wird vom Netzbetriebssystem verwen-
det; sie erscheint ebenfalls nicht in einem Inhaltsverzeichnis unter DOS
und kann weder kopiert noch gelscht werden.
Sicherung wichtiger Systemdateien
Die Server Startdateien AUTOEXEC.NCF und STARTUP.NCF sollten, in
ihrer jeweils aktuellen Fassung, durch den Systemadministrator auf Diskette
gesichert werden und vor unbefugtem Zugriff gesichert hinterlegt werden. Es
ist sinnvoll, diese Dateien durch Kommentierungszeilen zu ergnzen, damit
beim Auftreten von Problemen die jeweils eingestellten Parameter nachvoll-
zogen werden knnen.
Weiterhin sollte die Bindery (NET$OBJ.SYS, NET$PROP.SYS,
NET$VAL.SYS) eines Novell Netware Servers regelmig mit Hilfe des
Programms SYS:SYSTEM\BINDFIX.EXE gesichert werden. Die gesicherte
Bindery (SYS:SYSTEM\*.OLD) sollte im Anschluss auf einen Datentrger
gesichert und vor unbefugten Zugriff geschtzt hinterlegt werden.
Nach der Ausfhrung von SYS:SYSTEM\BINDFIX.EXE sollte die Integritt
der neuen Bindery auf jeden Fall getestet werden. Im Zweifelsfalle kann die
alte Bindery durch SYS:SYSTEM\BINDREST.EXE wiederhergestellt werden.
Da die aktuelle Bindery whrend der Ausfhrung von
SYS:SYSTEM\BINDFIX.EXE dem Zugriff der Benutzer entzogen wird, sollte
aus Grnden der Betriebssicherheit bei der Sicherung der Bindery eines
Novell Netware Servers auer dem Supervisor bzw. dem Supervisor-qui-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1042
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
valenten Benutzer kein Benutzer auf dem Novell Netware Server eingeloggt
sein.
Eingeschrnkte Nutzung des Supervisor Account bzw. eines Supervisor-
quivalenten Account
Der Account des Supervisors sollte bei der tglichen Administrationsarbeit
nicht verwendet werden, sondern nur in Notfllen benutzt werden. Um
dennoch die Systemadministration zu gewhrleisten, sollte daher fr jeden
Benutzer mit der Netware-Sicherheitsstufe "Supervisor" ein Supervisor-qui-
valenter Account eingerichtet werden, mit dem die Systemadministration
normalerweise erfolgt. Werden die Administrationsarbeiten nicht haupt-
amtlich wahrgenommen, so sollten fr die nicht-administrativen Aufgaben
zustzlich aufgabenbezogene Accounts eingerichtet werden.
Der Account des Supervisors bzw. eines Supervisor-quivalenten Account
sollte weiterhin nur auf hierzu definierten Workstations verwendet werden, da
die Integritt anderer Workstations u. U. durch Benutzer manipuliert sein
knnte.
Delegierung der Systemverwaltung
In greren Netzen (mehrere Novell Netware Server oder verschiedene
Liegenschaften) bzw. bei einer greren Anzahl von Benutzern empfiehlt es
sich, bestimmte Aufgaben der Systemadministration zu delegieren. Novell
Netware 3.x bietet hierzu die Mglichkeit, Benutzer zu User-Account-
Managern bzw. Workgroup-Managern zu bestimmen.
User-Account-Manager knnen die Benutzer und Gruppen verwalten, die
ihnen vom Systemverwalter zugewiesen wurden. Dabei sind sie in der Lage,
neben der nderung der Benutzerdaten (Passwort, Benutzungszeiten usw.)
alle Rechte, ber die sie selbst verfgen, weiter zu geben. Des weiteren kann
der User-Account-Manager einzelne Benutzer einer Gruppe zuweisen. Dabei
mssen sowohl die Gruppen als auch die Benutzer vom entsprechenden User-
Account-Manager verwaltet werden. Der User-Account-Manager ist nicht in
der Lage neue Benutzer oder Gruppen einzurichten. Allerdings kann er ihm
zugewiesene Benutzer oder Gruppen lschen.
Ein Workgroup-Manager hat alle Rechte eines User-Account-Managers.
Darber hinaus ist er in der Lage, neue Benutzer und Gruppen einzurichten.
Eine weitere Aufgabe des Workgroup-Managers ist das Einrichten von
Druckerwarteschlangen.
Nutzung von NCP-Paket-Signatur
Die Kommunikation eines Novell Netware Clients mit einem Novell Netware-
Server wird durch das Netware Core Protokoll (NCP) gesteuert. Client und
Server tauschen hierbei einzelne Pakete aus, in denen die Daten enthalten sind.
Ein potentieller Angreifer kann diese Pakete mittels spezieller Programme
(siehe G 5.58 "Hacking Novell Netware") berwachen und die Datenpakete
hher privilegierter Benutzer manipulieren.
Um dieser Bedrohung entgegenzuwirken, wurde die Paket-Signatur
entwickelt. Bei der Anmeldung eines Benutzers am Server wird ein geheimer
Schlssel ermittelt. Wann immer die Workstation daraufhin eine Anfrage ber
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1043
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
NCP an den Server sendet, wird diese mit einer Signatur versehen, die aus
dem geheimen Schlssel und der Signatur des vorherigen Pakets gebildet
wird. Diese Signatur wird an das betreffende Paket angehngt und zum Server
gesandt. Bevor die eigentliche Anfrage bearbeitet wird, verifiziert der Server
die Paket-Signatur.
Durch die Option Set NCP Packet Signature -Wert- kann die Paket-Signatur
am Server aktiviert werden.
Es sind folgende NCP-Paket-Signatur Level mglich:
Wert "0": Es findet keine NCP-Paket-Signatur statt.
Wert "1": Der Novell Netware Server arbeitet auf Anforderung des
Clients mit der NCP-Paket-Signatur.
Wert "2": Der Novell Netware Server fordert vom Client NCP-Paket-
Signatur an. Sollte der Client dieses nicht realisieren knnen,
so wird die Kommunikation zwischen Client und Novell
Netware Server trotzdem zugelassen.
Wert "3": Die NCP-Paket-Signatur ist zwingend vorgeschrieben.
Zur Gewhrleistung der IT-Sicherheit sollte die NCP-Paket-Signatur mit dem
Wert "3" gewhlt werden. Da sich jedoch die Netzlast beim Einsatz der NCP-
Paket-Signatur um bis zu 30% erhht, sollte im Vorfeld des Einsatzes geklrt
werden, ob die Performance hierdurch nicht unzumutbar eingeschrnkt wird.
Beschrnkung des nutzbaren Festplattenspeichers
Mit Hilfe des Programms SYS:PUBLIC\DSPACE.EXE sollte der auf einem
Volume oder einem Verzeichnis zur Verfgung stehende Festplattenspeicher
limitiert werden, da erfahrungsgem die Inanspruchnahme des zur Verfgung
stehenden Festplattenspeichers mit der Kapazitt des Festplattenspeichers
steigt.
Alternativ hierzu kann auch, soweit eingerichtet, die Kapazitt des jeweiligen
persnlichen Verzeichnis eines Benutzers beschrnkt werden, wenn fr die
Arbeitsdaten eigene Verzeichnisse eingerichtet wurden.
Sperrung von nicht bentigten Programmen
Die meisten der unter SYS:PUBLIC bereitgestellten Novell Netware
Programme werden durch die Netware-Benutzer im Regelfall nicht bentigt,
da viele der Funktionen (Druckerkonfigurationen, nderung des Passwortes,
Laufwerkszuweisungen) durch die Client- Software gehandhabt werden
knnen. Aus diesem Grund sowie der meist ungewohnten Handhabung der
Novell Netware Dienstprogramme empfiehlt es sich, nicht bentigte
Programme in das Verzeichnis SYS:SYSTEM zu verschieben. Insbesondere
das Programm SYS:PUBLIC\RENDIR.EXE sollte wegen der erkannten
Gefhrdung (G 5.54 Vorstzliches Herbeifhren eines Abnormal End) den
Benutzern nicht zur Verfgung gestellt werden.
Keinesfalls sollten, wie oftmals beobachtet, die unter SYS:SYSTEM gespei-
cherten Programme in das Verzeichnis SYS:PUBLIC verlagert werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1044
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1045
Manahmenkatalog Organisation M 2.100 Bemerkungen
___________________________________________________________________ ..........................................
Aus diesem Grund sollten die Programme und Dateien eines Novell Netware
Servers regelmig mit einem aktuellen Virensuchprogramm auf evtl.
vorhandene Computer-Viren berprft werden.
Zu diesem Zweck empfiehlt es sich einen speziellen Benutzer-Account auf
dem Novell Netware Server einzurichten, der ber die Zugriffsrechte "Read"
(R) und "File Scan" (F) auf alle Dateien des Servers verfgt. Die Prfung auf
Computer-Viren sollte keinesfalls mit den Rechten des Supervisors, bzw.
Supervisor-quivalenten Rechten durchgefhrt werden, da ein Computer-
Viren-Checkprogramm, welches selbst mit einem Computer-Virus infiziert ist,
diesen auf alle Programme und Dateien des Novell Netware Servers ber-
tragen wrde.
Die Benutzer bzw. Benutzergruppen sollten auf die Verzeichnisse und Dateien
mit ausfhrbarem Programmcode lediglich die effektiven Rechte "Read" (R)
und "File scan" (F) erhalten, zudem sollten ausfhrbare Programme mit dem
Netware-Attribut "Read only" (RO) versehen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1046
Manahmenkatalog Organisation M 2.101 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1047
Manahmenkatalog Organisation M 2.101 Bemerkungen
___________________________________________________________________ ..........................................
Excessive rights
Novell Netware 3.x stellt im Rahmen der Installation standardmig mehrere
Verzeichnisse zur Verfgung (SYS:SYSTEM, SYS:PUBLIC, SYS:LOGIN).
SYS:SYSTEM\SECURITY.EXE berprft die Bindery des Novell Netware
Servers, ob Benutzer in diesen Verzeichnissen grere Rechte haben, als die
standardmig vorgegebenen. Weiterhin werden die SYS:MAIL Verzeichnisse
aller Benutzer auf das alleinige Verfgungsrecht (Ausnahme "Create" fr die
Gruppe "Everyone") des jeweiligen Inhabers geprft.
Ergnzende Kontrollfragen:
- Wann wurde die letzte Revision durchgefhrt?
- In welchen Intervallen erfolgt eine Revision?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1048
Manahmenkatalog Organisation M 2.102 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1049
Manahmenkatalog Organisation M 2.103 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1050
Manahmenkatalog Organisation M 2.103 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1051
Manahmenkatalog Organisation M 2.104 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1052
Manahmenkatalog Organisation M 2.104 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1053
Manahmenkatalog Organisation M 2.104 Bemerkungen
___________________________________________________________________ ..........................................
Beispielsweise:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1054
Manahmenkatalog Organisation M 2.104 Bemerkungen
___________________________________________________________________ ..........................................
Shell-Zugriffsbeschrnkungen
- Der Befehl AUSFHREN sollte deaktiviert werden, wenn verhindert
werden soll, dass bestimmte Programme unter Angaben von Optionen
gestartet werden knnen.
- Die SYSTEM- und DRUCKERSTEUERUNG kann vollstndig deaktiviert
werden, wenn man die Option ORDNER UNTER "EINSTELLUNGEN" IM
MEN "START" ENTFERNEN aktiviert. Dies ist immer dann notwendig,
wenn dem Benutzer jegliche Mglichkeit genommen werden soll, System-
oder Druckereinstellungen zu ndern. Damit der Benutzer sein
Bildschirmpasswort ndern kann, ist unter der Systemsteuerungsoption
ANZEIGE die Registerkarte BILDSCHIRMSCHONER (s. o.) freizugeben.
Der Benutzer kann dann durch Klicken mit der rechten Maustaste auf den
Desktop ber EIGENSCHAFTEN auf die Bildschirmsperre zugreifen.
- Soll die Benutzung des EXPLORERS nicht erlaubt sein, so ist die Option
LAUFWERKE IM FENSTER "ARBEITSPLATZ" AUSBLENDEN zu akti-
vieren, da der EXPLORER ber den ARBEITSPLATZ gestartet werden
kann, selbst wenn die Nutzung explizit verboten wurde.
System-Zugriffsbeschrnkungen
- Die Option PROGRAMME ZUM BEARBEITEN DER REGISTRIERUNG
DEAKTIVIEREN ist zu whlen.
Hinweis: Diese Option betrifft nur den Registrierungseditor
(REGEDIT.EXE). Mit dem Systemrichtlinien-Editor (POLEDIT.EXE) lsst
sich die lokale Registrierung nach wie vor bearbeiten. Dieses Programm
sollte daher von der Festplatte gelscht werden.
- Es sollten nur zugelassene Anwendungen ausfhrbar sein.
Es sind diejenigen Anwendungen, wie etwa WINWORD.EXE,
ACCESS.EXE, EXPLORER.EXE, einzutragen, die der Benutzer ausfhren
knnen soll.
- Die MS-DOS-Eingabeaufforderung ist zu deaktivieren.
- Ggf. sind Single-Mode-Anwendungen fr MS-DOS zu deaktivieren.
Falls einige DOS-Anwendungen unter Windows 95 aufgerufen werden
sollen, der Benutzer aber nicht auf die DOS-Ebene gelangen soll, ist die
DOS-Eingabeaufforderung zu aktivieren, jedoch sind bei den
zugelassenen Anwendungen fr Windows nur diejenigen zu nennen, die
bentigt werden. Die COMMAND.COM darf dann dort nicht genannt
werden.
Fr einen Standardcomputer sollten folgende Restriktionen eingestellt
werden:
Netzwerk
- Unter KENNWRTER ist ein alphanumerisches Windows-Anmeldekenn-
wort und eine Mindestlnge von sechs Zeichen zu fordern.
- Unter UPDATE ist REMOTE-UPDATE nicht zu deaktivieren, da sonst die
Systemrichtlininen nicht geladen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1055
Manahmenkatalog Organisation M 2.104 Bemerkungen
___________________________________________________________________ ..........................................
System
- Die BENUTZERPROFILE sind zu aktivieren.
3. Definition einer Richtlinie fr den Administrator
In einer Richtlinie fr den Administrator sollten keine der obigen Restrik-
tionen gesetzt werden. Hierfr ist ein eigener Benutzer unter Windows 95
sowie ein Benutzer und Computer mittels Systemrichtlinien einzurichten, da
sonst fr ihn die ber den Standardbenutzer eingestellten Einschrnkungen
gelten. Das dazugehrige Passwort darf nur dem Administrator und seinem
Vertreter bekannt sein.
Diese Richtlinie ist ebenfalls in der Datei CONFIG.POL abzulegen.
4. Definition von Richtlinien fr einzelne Benutzer basierend auf dem
Standardbenutzer und Standardcomputer
Werden weitere Benutzer bentigt, deren Restriktionen sich von den unter 1.
spezifizierten unterscheiden sollen, so sind analog zu 1. diese Richtlinien
zustzlich in der Datei CONFIG.POL einzurichten. Dazu kopiert man das
Standardprofil, gibt diesem den Namen des betreffenden Benutzers und stellt
die Restriktionen wie unter 1. fr diesen Benutzer ein.
5. Aktivieren der Richtlinien
Beim Einrichten der Systemrichtlinien durch den Administrator ist besondere
Vorsicht und Aufmerksamkeit geboten, da sehr leicht inkonsistente System-
zustnde eingestellt werden knnen, die ein Arbeiten mit dem Rechner ver-
hindern. Das Betriebssystem wre neu zu installieren. Die Systemrichtlinien
sollten also nur dann aktiviert werden, wenn die Richtlinien mit uerster
Sorgfalt definiert wurden.
Dazu ffnet der Administrator mit dem Systemrichtlinieneditor
(POLEDIT.EXE) die lokale Registrierung und setzt dort fr den LOKALEN
COMPUTER unter der Option NETZWERK-UPDATE den Schalter REMOTE-
UPDATE. Als Update-Modus muss INTERAKTIV gewhlt werden. Der Pfad
fr die oben definierte CONFIG.POL ist ebenfalls anzugeben.
Die notwendigen Einstellungen knnen von besonders erfahrenen Administra-
toren auch mit dem Registrierungseditor (Programm REGEDIT.EXE)
vorgenommen werden.
Darber hinaus sind in der Programmgruppe SYSTEMSTEUERUNG mit der
Schaltflche KENNWRTER die Benutzerprofile zu aktivieren.
Ergnzende Kontrollfragen:
- Ist die Einschrnkung der Benutzerumgebung aus betrieblicher Sicht not-
wendig?
- Ist die Einschrnkung bestimmter Ressourcen notwendig?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1056
Manahmenkatalog Organisation M 2.105 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1057
Manahmenkatalog Organisation M 2.106 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1058
Manahmenkatalog Organisation M 2.107 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1059
Manahmenkatalog Organisation M 2.108 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1060
Manahmenkatalog Organisation M 2.109 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1061
Manahmenkatalog Organisation M 2.110 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1062
Manahmenkatalog Organisation M 2.110 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1063
Manahmenkatalog Organisation M 2.110 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1064
Manahmenkatalog Organisation M 2.110 Bemerkungen
___________________________________________________________________ ..........................................
- Es sollte ein Revisionskonzept erstellt werden, das den Zweck der Proto-
kolle und deren Kontrollen sowie Schutzmechanismen fr die Rechte der
Mitarbeiter und der sonstigen betroffenen Personen klar definiert.
- Die Zwangslufigkeit und damit die Vollstndigkeit der Protokolle muss
ebenso gewhrleistet werden wie die Manipulationssicherheit der Eintrge
in Protokolldateien.
- Entsprechend der Zweckbindung der Datenbestnde mssen wirksame
Zugriffsbeschrnkungen realisiert werden.
- Die Protokolle mssen so gestaltet sein, dass eine effektive berprfung
mglich ist. Dazu gehrt auch eine IT-Untersttzung der Auswertung.
- Die Auswertungsmglichkeiten sollten vorab abgestimmt und festgelegt
sein.
- Kontrollen sollten so zeitnah durchgefhrt werden, dass bei aufgedeckten
Versten noch Schden abgewendet sowie Konsequenzen gezogen
werden knnen. Kontrollen mssen rechtzeitig vor dem Ablauf von
Lschungsfristen von Protokolldateien stattfinden.
- Kontrollen sollten nach dem 4-Augen-Prinzip erfolgen.
- Es sollte vorab definiert werden, welche Konsequenzen sich aus Versten
ergeben, die durch die Kontrolle von Protokollen aufgedeckt werden.
- Die Mitarbeiter sollten darber informiert sein, dass Kontrollen durchge-
fhrt werden, ggf. auch unangekndigt.
- Fr Routinekontrollen sollten automatisierte Verfahren (z. B. watch dogs)
verwendet werden.
- Personal- bzw. Betriebsrte sollten bei der Erarbeitung des Revisionskon-
zeptes und bei der Festlegung der Auswertungsmglichkeiten der Proto-
kolle beteiligt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1065
Manahmenkatalog Organisation M 2.111 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1066
Manahmenkatalog Organisation M 2.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1067
Manahmenkatalog Organisation M 2.113 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1068
Manahmenkatalog Organisation M 2.113 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1069
Manahmenkatalog Organisation M 2.114 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1070
Manahmenkatalog Organisation M 2.115 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1071
Manahmenkatalog Organisation M 2.116 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1072
Manahmenkatalog Organisation M 2.116 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1073
Manahmenkatalog Organisation M 2.117 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1074
Manahmenkatalog Organisation M 2.118 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1075
Manahmenkatalog Organisation M 2.118 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1076
Manahmenkatalog Organisation M 2.118 Bemerkungen
___________________________________________________________________ ..........................................
Funktionalitt hat die Auswahl der E-Mail-Clients und -Server auch Einfluss
auf die Benutzungsfreundlichkeit und den Administrationsaufwand, aber auch
auf die Sicherheit der gesamten IT-Umgebung. Neben eigenstndigen Client-
Programmen kann auch auf Webmail zurckgegriffen werden.
Als Webmail werden Angebote bezeichnet, bei denen ber einen Browser auf Webmail
webbasierte E-Mail-Dienste zugegriffen wird. Verschiedene Anbieter von
Mailservern bieten entsprechende Erweiterungen entweder direkt in ihr Pro-
dukt integriert oder als Zusatzmodule an. Webmail hat den Vorteil, dass hier-
bei von jedem Rechner mit Internet-Anschluss weltweit auf die E-Mail-Post-
fcher zugegriffen werden kann, ohne dass hierfr in aufwendige Infrastruktur
investiert werden muss. Es ist allerdings schwieriger als beim Transport ber
die internen E-Mail-Server, die organisationsweit gltigen Sicherheitsricht-
linien durchzusetzen, beispielsweise im Hinblick auf Virenschutz oder Ver-
schlsselung. Auerdem ist die Gefahr, dass vertrauliche E-Mails mitgelesen
oder Passwrter abgehrt werden, beim externen Zugriff auf Webmailzugnge
wesentlich hher.
Bei der Nutzung von Webmail aus einem Behrden- bzw. Unternehmensnetz Webmail und
Virenschutz
heraus muss unbedingt der Virenschutz beachtet werden. Bei aktuellen Viren-
warnungen kann es einige Zeit in Anspruch nehmen, die neuen Virenschutz-
Updates auf alle Clients aufzuspielen. In einer solchen Situation kann es sinn-
voll sein, den Zugriff auf Webmail zumindest, solange zu verhindern, bis die
Verantwortlichen fr Virenschutz sicher sind, dass ein ausreichender Schutz
besteht.
Der Umgang mit Webmail in der Behrde bzw. dem Unternehmen sollte
daher geregelt sein. Hierbei gibt es mehrere Varianten:
- Organisationen knnen beschlieen, die Nutzung von Webmail generell zu
verbieten. Dies muss dann natrlich den Mitarbeitern bekannt gegeben
werden. Das Verbot kann auerdem technisch durch Filterung bezglich
der bekannten Anbieter untersttzt werden, wobei man sich hier darber
klar sein sollte, dass Benutzer immer neue Wege finden knnen, um auf
solche Dienste zuzugreifen.
- Es kann die Empfehlung ausgesprochen werden, Webmail fr private
E-Mails, die aus dem internen LAN verschickt werden sollen, zu nutzen.
Damit kann vermieden werden, dass Mitarbeiter trotz entsprechender Ver-
bote dienstliche E-Mail-Zugnge fr private Zwecke nutzen - beispielswei-
se, weil es dringend oder einfach praktisch ist.
- Es gibt auch Organisationen, in denen Webmail offiziell fr dienstliche
E-Mails freigegeben ist. Die Grnde hierfr sind unterschiedlich. So gibt es
z. B. eine Reihe kleinerer Organisationen, die keinen eigenen E-Mail-Ser-
ver haben und Webmail fr Kommunikation nach auen einsetzen. Web-
mail kann auch fr Mitarbeiter praktisch sein, die auf Dienstreisen auf ihre
E-Mail zugreifen mssen, fr die aber kein Zugang ber Remote Access
eingerichtet ist. Ein weiterer Grund fr die Nutzung von Webmail kann da-
rin bestehen, dass die jeweilige Organisation bei bestimmten E-Mails nicht
nach auen in Erscheinung treten will oder dass Webmail-Adressen dort
angegeben werden, wo Spam erwartet wird, also bei bestimmten
Downloads, Newsgruppen etc.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1077
Manahmenkatalog Organisation M 2.118 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Existiert eine Sicherheitsrichtlinie fr die E-Mail-Nutzung?
- An wen knnen sich die Benutzer bei Fragen zur E-Mail-Nutzung wenden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1078
Manahmenkatalog Organisation M 2.119 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1079
Manahmenkatalog Organisation M 2.119 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1080
Manahmenkatalog Organisation M 2.119 Bemerkungen
___________________________________________________________________ ..........................................
Zur Vermeidung von berlastung durch E-Mail sind die Mitarbeiter ber Keine Kettenbriefe!
potentielles Fehlverhalten zu belehren. Sie sollten dabei ebenso vor der Teil-
nahme an E-Mail-Kettenbriefen wie vor der Abonnierung umfangreicher
Mailinglisten gewarnt werden.
Benutzer mssen darber informiert werden, dass Dateien, deren Inhalt
Ansto erregen knnte, weder verschickt noch auf Informationsservern ein-
gestellt werden noch nachgefragt werden sollten. Auerdem sollten Benutzer
darauf verpflichtet werden, dass bei der Nutzung von Kommunikations-
diensten
- die fahrlssige oder gar vorstzliche Unterbrechung des laufenden
Betriebes unter allen Umstnden vermieden werden muss. Zu unterlassen
sind insbesondere Versuche, ohne Autorisierung Zugang zu Netzdiensten
- welcher Art auch immer - zu erhalten, Informationen, die ber die Netze
verfgbar sind, zu verndern, in die individuelle Arbeitsumgebung eines
Netzbenutzers einzugreifen oder unabsichtlich erhaltene Angaben ber
Rechner und Personen weiterzugeben.
- die Verbreitung von fr die Allgemeinheit irrelevanten Informationen
unterlassen werden muss. Die Belastung der Netze durch ungezielte und
bermige Verbreitung von Informationen sollte vermieden werden.
- die Verbreitung von redundanten Informationen vermieden werden sollte.
Ergnzende Kontrollfragen:
- Sind Regelungen fr die Dateibertragung bzw. den Nachrichtenaustausch
mit Externen festgelegt worden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1081
Manahmenkatalog Organisation M 2.120 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1082
Manahmenkatalog Organisation M 2.121 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1083
Manahmenkatalog Organisation M 2.122 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1084
Manahmenkatalog Organisation M 2.123 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1085
Manahmenkatalog Organisation M 2.124 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1086
Manahmenkatalog Organisation M 2.124 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1087
Manahmenkatalog Organisation M 2.124 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1088
Manahmenkatalog Organisation M 2.125 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1089
Manahmenkatalog Organisation M 2.125 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1090
Manahmenkatalog Organisation M 2.125 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden die Benutzer ber die bevorstehende Installation informiert?
- Sind vor Erstellen der Datenbank alle erforderlichen Parameter und deren
Werte bekannt, die whrend der Installation bentigt werden?
- Sind alle Nacharbeiten bekannt, die nach der Erstellung der Datenbank
durchgefhrt werden mssen?
- Wurde der Installationsvorgang, die Erstellung und Konfiguration der
Datenbank sowie der Datenbankobjekte dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1091
Manahmenkatalog Organisation M 2.126 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1092
Manahmenkatalog Organisation M 2.126 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1093
Manahmenkatalog Organisation M 2.126 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1094
Manahmenkatalog Organisation M 2.127 Bemerkungen
___________________________________________________________________ ..........................................
M 2.127 Inferenzprvention
Verantwortlich fr Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: Administrator
Zum Schutz personenbezogener und anderer vertraulicher Daten eines Daten-
banksystems ist grundstzlich jedem Benutzer nur der Zugriff auf diejenigen
Daten zu gestatten, die fr seine Ttigkeiten notwendig sind. Alle anderen
Informationen, die sich zustzlich in der Datenbank befinden, sind vor ihm zu
verbergen.
Zu diesem Zweck mssen die Zugriffsberechtigungen auf Tabellen bis hin zu
deren Feldern definiert werden knnen. Dies kann mittels Verwendung von
Views und Grants durchgefhrt werden (vgl. M 2.129 Zugriffskontrolle einer
Datenbank). Damit ist es einem Benutzer nur mglich, die fr ihn bestimmten
Daten einzusehen und zu verarbeiten. Stellt er Datenbankabfragen, die auf
andere Informationen zugreifen wollen, werden diese vom DBMS zurck-
gewiesen.
Im Zusammenhang mit statistischen Datenbanken, die Daten ber Personen-
gruppen, Bevlkerungsschichten oder hnliches enthalten, treten dagegen
andere Schutzanforderungen auf. In einer statistischen Datenbank unterliegen
die einzelnen, personenbezogenen Eintrge dem Datenschutz, statistische
Informationen sind jedoch allen Benutzern zugnglich.
Hier gilt es zu verhindern, dass aus Kenntnissen ber die Daten einer Gruppe
auf die Daten eines individuellen Mitglieds dieser Gruppe geschlossen werden
kann. Es muss auerdem verhindert werden, dass durch das Wissen der in der
Datenbank gespeicherten Informationen bzw. der Ablagestrukturen der Daten
in der Datenbank die Anonymitt dieser Daten durch entsprechend formulierte
Datenbankabfragen umgangen werden kann (z. B. wenn die Ergebnismenge
einer Datenbankabfrage nur einen Datensatz beinhaltet). Diese Problematik
wird Inferenzproblem, der Schutz vor solchen Techniken Inferenzprvention
genannt.
Auch wenn die Daten einer statistischen Datenbank anonymisiert sind, kann
durch Inferenztechniken der Personenbezug zu bestimmten Datenstzen
wiederhergestellt werden. Eine Zurckweisung bestimmter Anfragen (z. B.
Anfragen mit nur einem oder wenigen Ergebnistupeln) reicht im allgemeinen
nicht aus, da auch die Verweigerung einer Antwort durch das DBMS Infor-
mationen beinhalten kann.
Durch das Erstellen verschiedener Statistiken kann die Anonymitt der Daten
ebenfalls verloren gehen. Ein solcher indirekter Angriff zielt darauf ab, aus
mehreren Statistiken Rckschlsse auf die persnlichen Daten eines einzelnen
Individuums ziehen zu knnen. Eine Schutzmanahme ist in diesem Fall, die
Freigabe von so genannten sensitiven Statistiken nicht zu erlauben, was als
unterdrckte Inferenzprvention bezeichnet wird. Eine weitere Mglichkeit ist
die Verzerrung solcher Statistiken durch kontrolliertes Runden (gleiche
Statistiken sind gleich zu runden) oder die Beschrnkung auf statistisch rele-
vante Teilmengen mit der Auflage, dass gleiche Anfragen immer Bezug auf
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1095
Manahmenkatalog Organisation M 2.127 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1096
Manahmenkatalog Organisation M 2.128 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1097
Manahmenkatalog Organisation M 2.129 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1098
Manahmenkatalog Organisation M 2.129 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1099
Manahmenkatalog Organisation M 2.129 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1100
Manahmenkatalog Organisation M 2.130 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1101
Manahmenkatalog Organisation M 2.130 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1102
Manahmenkatalog Organisation M 2.131 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1103
Manahmenkatalog Organisation M 2.131 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind die Administrator-Rollen getrennt worden?
- Welche Administratoren sind fr die fachlich bergreifende Administration
der Datenbank-Software und welche fr die Administration der
anwendungsspezifischen Belange benannt worden?
- Wie ist die Zusammenarbeit zwischen den Administratoren geregelt? Sind
deren Aufgaben und Zustndigkeitsbereiche schriftlich fixiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1104
Manahmenkatalog Organisation M 2.132 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1105
Manahmenkatalog Organisation M 2.132 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1106
Manahmenkatalog Organisation M 2.133 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1107
Manahmenkatalog Organisation M 2.133 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1108
Manahmenkatalog Organisation M 2.134 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1109
Manahmenkatalog Organisation M 2.134 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1110
Manahmenkatalog Organisation M 2.134 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1111
Manahmenkatalog Organisation M 2.134 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1112
Manahmenkatalog Organisation M 2.135 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1113
Manahmenkatalog Organisation M 2.135 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1114
Manahmenkatalog Organisation M 2.136 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1115
Manahmenkatalog Organisation M 2.137 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1116
Manahmenkatalog Organisation M 2.137 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1117
Manahmenkatalog Organisation M 2.138 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1118
Manahmenkatalog Organisation M 2.138 Bemerkungen
___________________________________________________________________ ..........................................
\
\bin
\bin\program1
\bin\program2
\bin\program3
\user
\user\user1
\user\user2
\projekte
\projekte\p1
\projekte\p1\texte
\projekte\p1\bilder
\projekte\p2
\projekte\p2\projektplan
\projekte\p2\teilprojekt1
\projekte\p2\teilprojekt2
\projekte\p2\teilprojekt3
\projekte\p2\ergebnis
\vordrucke
Es sollte regelmig berprft werden, Verzeichnisse regel-
mig aufrumen
- ob Daten aus dem Produktionssystem entfernt werden knnen, weil sie
archiviert oder gelscht werden knnen,
- ob Zugriffsrechte entzogen werden knnen, weil Mitarbeiter die Projekt-
gruppe verlassen haben,
- ob auf allen IT-Systemen die aktuellsten Versionen von Formularen, Vor-
lagen, etc. gespeichert sind.
Dies ist durch die Benutzer fr deren IT-Systeme bzw. die von ihnen verwal-
teten Verzeichnisse und von den Administratoren der Server regelmig zu
berprfen. Diese Prfungen sollten mindestens vierteljhrlich durchgefhrt
werden, da sonst die Kenntnisse ber Inhalt und Herkunft der Dateien wieder
aus den Gedchtnissen der Mitarbeiter verschwunden sind.
Ergnzende Kontrollfragen:
- Werden ausschlielich aufgaben- bzw. projektbezogene Verzeichnisse fr
die Datenhaltung benutzt?
- Wann wurde zuletzt berprft, ob alte Dateien gelscht bzw. archiviert
werden knnen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1119
Manahmenkatalog Organisation M 2.139 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1120
Manahmenkatalog Organisation M 2.139 Bemerkungen
___________________________________________________________________ ..........................................
Anhand der Darstellung der Netztopologie muss feststellbar sein, ber welche
aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen End-
gerten aufgebaut werden kann. Zustzlich sind die Konfigurationen der
aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente
verwendet werden. Dies knnen bei logischer Segmentierung die Konfigu-
rationsdateien sein, bei physikalischer Segmentierung die konkrete Konfigu-
ration der Netzkomponenten.
Ist-Aufnahme der verwendeten Netzprotokolle
Bezogen auf die gewhlte Segmentierung des Netzes, sind die in den einzel-
nen Segmenten verwendeten Netzprotokolle und die hierfr notwendigen
Konfigurationen (z. B. die MAC-Adressen, die IP-Adressen und die Sub-
netzmasken fr das IP-Protokoll) festzustellen und zu dokumentieren. Hier
sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B.
HTTP, SMTP, Telnet) und welche Dienste nach welchen Kriterien gefiltert
werden.
Ist-Aufnahme von Kommunikationsbergngen im LAN und WAN
Die Kommunikationsbergnge im LAN und WAN sind, soweit sie nicht in
der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Fr jeden
Kommunikationsbergang zwischen zwei Netzen ist zu beschreiben,
- welche bertragungsstrecken (z. B. Funkstrecke fr eine LAN/LAN-
Kopplung) hierfr eingesetzt werden,
- welche Kommunikationspartner und -dienste in welche Richtung hierber
zugelassen sind, und
- wer fr die technische Umsetzung zustndig ist.
Hierzu gehrt auch die Dokumentation der verwendeten WAN-Protokolle
(z. B. ISDN, X.25). Bei einem Einsatz einer Firewall (siehe Kapitel 7.3
Sicherheitsgateway (Firewall)) ist zustzlich deren Konfiguration (z. B.
Filterregeln) zu dokumentieren.
Ist-Aufnahme der Netzperformance und des Verkehrsflusses
Es ist eine Messung der Netzperformance und eine Analyse des Verkehrs-
flusses in und zwischen den Segmenten oder Teilnetzen durchzufhren. Fr
jedes eingesetzte Netzprotokoll mssen die entsprechenden Messungen erfol-
gen.
Bei jeder nderung der Netzsituation sind die zuletzt durchgefhrten Ist-Auf-
nahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Doku-
mentation ist so aufzubewahren, dass sie einerseits vor unbefugtem Zugriff
geschtzt ist, aber andererseits fr das Sicherheitsmanagement oder die
Administratoren jederzeit verfgbar ist.
Ergnzende Kontrollfragen:
- Werden regelmig Performance-Messungen und Verkehrsfluss-Analysen
durchgefhrt und ausgewertet?
- Wird die erstellte Dokumentation laufend aktualisiert?
- Ist die Dokumentation auch fr Dritte verstndlich und nachvollziehbar?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1121
Manahmenkatalog Organisation M 2.140 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1122
Manahmenkatalog Organisation M 2.140 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1123
Manahmenkatalog Organisation M 2.141 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1124
Manahmenkatalog Organisation M 2.141 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1125
Manahmenkatalog Organisation M 2.141 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1126
Manahmenkatalog Organisation M 2.142 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1127
Manahmenkatalog Organisation M 2.142 Bemerkungen
___________________________________________________________________ ..........................................
- Migrationsschritt 3
Die Anbindung der Server erfolgt zentral an einen Switch mit Fast-
Ethernet Anschlssen (Installation einer so genannten Serverfarm).
- Migrationsschritt 4
Anwender, die eine hohe Bandbreite bentigen, werden durch Austausch
der entsprechenden Schnittstellen ebenfalls mit Fast-Ethernet angeschlos-
sen.
- Migrationsschritt 5
Migration der verbleibenden Ethernet-Segmente zu einem vollstndig
geswitchten System. Hierzu knnen beispielsweise Ethernet-Switches an
die Fast-Ethernet-Switches des Backbones angebunden werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1128
Manahmenkatalog Organisation M 2.143 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1129
Manahmenkatalog Organisation M 2.143 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wurden alle Sicherheitsanforderungen an das Netzmanagement formuliert
und dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1130
Manahmenkatalog Organisation M 2.144 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1131
Manahmenkatalog Organisation M 2.144 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1132
Manahmenkatalog Organisation M 2.144 Bemerkungen
___________________________________________________________________ ..........................................
SNMPv2 ist derzeit die Unsicherheit bei den Herstellern von Netzkompo-
nenten und Netzmanagement-Systemen gro, so dass Implementierungen nach
SNMPv2 noch nicht flchendeckend anzutreffen und nur eingeschrnkt
interoperabel sind.
Die unterschiedlichen Ausprgungen von SNMPv2 sollen in der nchsten
SNMP-Version (SNMPv3) konsolidiert werden. Die Verabschiedung von
SNMPv3 ist zurzeit in Arbeit, aber noch nicht abgeschlossen.
Aus den oben genannten Grnden kann im Sinne des IT-Grundschutzes
bislang nur der Einsatz von SNMPv1 empfohlen werden. Werden weiter-
gehende Anforderungen an die Sicherheit des Netzmanagement-Protokolls
bzw. an die Sicherheitsmechanismen des Netzes gestellt, muss entweder
SNMPv2u oder SNMPv2* mit benutzerbasierter Authentisierung oder CMIP
eingesetzt werden. Prinzipiell lsst sich festhalten, dass Vertraulichkeits- bzw.
Authentizittsaspekte bei den neueren Versionen von SNMP strker berck-
sichtigt werden, Bandbreitenverluste dabei jedoch in Kauf zu nehmen sind.
CMIP
CMIP setzt im Gegensatz zu SNMP auf einem implementierten OSI-Proto-
kollstapel (die OSI-Schichten 1 bis 3 sind als Protokollstapel implementiert)
auf und arbeitet damit auch verbindungsorientiert. Hierdurch wird die Ver-
wendung des CMIP auf Komponenten eingeschrnkt, die die notwendigen
Hard- und Softwarevoraussetzungen fr die Implementation eines vollstn-
digen OSI-Stapels bieten. Aufgrund der hohen Anforderungen, die diese
Implementation stellt, wurde auch ein "CMIP Over TCP/IP" (CMOT) defi-
niert (RFC 1189). Hierdurch wird es mglich, CMIP auch in reinen TCP/IP-
Netzen zu betreiben.
Eines der Ziele bei der Entwicklung des CMIP war es, ein objektorientiertes
Management zu entwickeln. CMIP ist dementsprechend konsequent objekt-
orientiert aufgebaut. Im CMIP bernimmt eine CMIP-Maschine (CMIPM) die
Aufgaben, die unter SNMP der Manager durchfhrt. An diese CMIPM, die
wie der SNMP-Manager als Software realisiert ist, werden von den Agenten
der zu verwaltenden Objekte Service-Requests zur Einleitung verschiedener
Aktionen geschickt und umgekehrt versendet die CMIPM CMIP-Nachrichten
an die Agenten der zu verwaltenden Objekte. Die zu verwaltenden Objekte
werden nach den Grundstzen des objektorientierten Ansatzes in mehreren
Bumen verwaltet, die zueinander verschiedene Relationen und Zugriffsarten
aufweisen.
Das CMIP ist aufgrund der beschriebenen Objektstruktur sehr leistungsfhig
und komplex. Das Protokoll selbst besteht dagegen aus relativ wenigen
Operationen, mit denen das gesamte Management auf der Basis der o. g.
Objektstruktur ermglicht wird.
Die wesentlichen Vor- und Nachteile sind:
+ CMIP bietet durch den objektorientierten Ansatz wesentlich mehr Mg-
lichkeiten als SNMP, da z. B. auch Aktionen ausgefhrt und Instanzen von
Management-Objekten verwaltet werden knnen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1133
Manahmenkatalog Organisation M 2.144 Bemerkungen
___________________________________________________________________ ..........................................
+ CMIP bietet grere Sicherheit als SNMP, insbesondere durch die Bereit-
stellung von Mechanismen zum Zugriffsschutz, zur Authentisierung der
Benutzer und zum Auditing.
+ CMIP ist ein durch OSI genormtes Protokoll und damit ein offizieller
internationaler Standard, whrend SNMP nur einen De-Facto-Standard auf
RFC-Basis darstellt.
+ Die genannten Schwchen von SNMP werden vermieden.
- CMIP ist ein sehr komplexes Protokoll, dessen gesamte Leistungsfhigkeit
jedoch nur selten bentigt und genutzt werden kann. Eine entsprechende
Konfiguration des Protokolls ist aufgrund der vielen mglichen Einstel-
lungen nur schwer mglich und erfordert ein erhebliches Know-how des
Administrators.
- CMIP bentigt ungefhr zehnmal soviel Systemressourcen wie SNMP.
Deshalb muss eine leistungsfhige Hardware verwendet werden, die nur in
wenigen aktiven Netzkomponenten vorhanden ist. Auerdem ist im allge-
meinen eine Implementation des OSI-Protokollstapels notwendig, der
zustzliche Ressourcen verbraucht. Eine Ausnahme bildet hier CMOT.
- Aufgrund der Komplexitt des Protokolls und der dementsprechenden
Implementationen ist CMIP potentiell fehleranflliger als SNMP-Imple-
mentationen.
- Von CMIP existieren derzeit nur wenig verfgbare Implementationen und
es wird in der Praxis, abgesehen vom Telekommunikationsbereich, kaum
eingesetzt.
Im konkreten Fall muss detailliert geprft werden, welches Netzmanagement-
Protokoll das fr den jeweiligen Verwendungszweck geeignete darstellt. Dazu
mssen die Sicherheitsanforderungen an das Netzmanagement formuliert und
abgestimmt sein. Wird der TCP/IP-Protokollstapel bereits im lokalen Netz
verwendet und sind die Sicherheitsanforderungen gering, bietet sich SNMPv1
als Lsung an. Dennoch knnen hhere Sicherheitsanforderungen auch hier
fr den Einsatz von SNMPv2 oder CMIP sprechen. Beim Einsatz von CMIP
muss dann erwogen werden, auf welchem Protokollstapel CMIP
implementiert werden soll. Entweder auf dem OSI-Stapel (CMIP) oder auf
dem TCP/IP-Stapel (CMOT).
Zu Bedenken ist auch, dass CMIP bzw. CMOT derzeit nicht von allen aktiven
Netzkomponenten und Netzmanagement-Systemen untersttzt wird. Vor dem
Einsatz von CMIP ist also sorgfltig zu untersuchen, ob die eingesetzten
Komponenten und Clients CMIP-fhig sind.
Ergnzende Kontrollfragen:
- Wurden die Sicherheitsanforderungen an das Netzmanagement formuliert
und dokumentiert?
- Wurde die Kompatibilitt der aktiven Netzkomponenten und der Clients
bzgl. der ausgewhlten SNMP-Version bzw. zu CMIP berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1134
Manahmenkatalog Organisation M 2.145 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1135
Manahmenkatalog Organisation M 2.145 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1136
Manahmenkatalog Organisation M 2.146 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1137
Manahmenkatalog Organisation M 2.146 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1138
Manahmenkatalog Organisation M 2.147 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1139
Manahmenkatalog Organisation M 2.147 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1140
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1141
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1142
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1143
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
gefhrt und erlutert. Dazu sind die jeweiligen Parameter und ihre Werte
angegeben, die fr einen sicheren Betrieb eines Netware 4.x Netzes eingestellt
werden mssen.
Ein wesentlicher Punkt bei der sicheren Einrichtung von Netware 4.x Netzen
ist das Anlegen von Benutzer-Accounts. Zu diesem Zweck sollten Schablonen
(Templates) fr Standard-Benutzer des jeweiligen Kontextes angelegt werden.
Beim Einrichten konkreter Benutzer-Accounts werden dann die in der
Schablone eingestellten Werte bernommen, was den entsprechenden
Aufwand stark reduziert. Dazu muss die Option SCHABLONE BENUTZEN
bzw. USE TEMPLATE verwendet werden. Folgende Funktionen sollten in
einer Schablone eingestellt werden:
Login Restrictions
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1144
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
Password Restrictions
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1145
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1146
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
Intruder Detection
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1147
Manahmenkatalog Organisation M 2.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1148
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1149
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
- Supervisor
- Browse
- Create (nur bei Containern)
- Delete
- Rename
Ein Benutzer mit diesen Rechten auf ein anderes NDS-Objekt, z. B. einen
anderen Benutzer, kann der Reihe nach Benutzer-Accounts sehen,
erstellen, lschen bzw. umbenennen. Das Supervisor-Recht ist die Summe
der vier anderen Rechte. Mit den Rechten Browse, Create, Delete und
Rename erhlt man keinerlei Objekteigenschaftsrechte bzw. Dateirechte.
Ausnahme hiervon ist in diesem speziellen Fall das Supervisor-Recht auf
ein Objekt. Mit diesem Recht erhlt man auch Supervisor-Rechte auf die
Objekteigenschaften.
- Objekteigenschaftsrechte
Objekteigenschaftsrechte steuern den Zugriff eines Trustees auf die ber
ein Objekt gespeicherten Informationen, also auf die Eigenschaften des
betreffenden Objekts. Hierzu sind keinerlei Objektrechte notwendig. Mit
Ausnahme des Objektrechts Supervisor kann man mit Objektrechten auch
keinerlei Rechte auf Objekteigenschaften erlangen. Es gibt folgende
Objekteigenschaftsrechte, die wieder in obiger Abbildung erkennbar sind:
- Supervisor
- Compare
- Read
- Write
- Add Self
Die Objekteigenschaftsrechte setzen sich aus den Hauptrechten Schreiben
(Write) und Lesen (Read) zusammen. Im Recht Lesen ist das Recht
Vergleichen (Compare) und im Recht Schreiben ist das Recht Selbst
Hinzufgen (Add Self) enthalten. Das Supervisor-Recht ist hier die Summe
dieser vier Rechte und hat keinerlei weitere Auswirkungen. Mit dem Recht
Lesen knnen Objekteigenschaften wie z. B. die Eigenschaften des
Benutzers Nachname oder auch Login Script gelesen werden. Zum
Abndern bentigt man das Recht Schreiben. Das Recht Vergleichen
erlaubt es, Anfragen an die NDS abzusetzen, z. B. ob der Nachname des
Benutzers XY gleich Mustermann ist. Die Antwort lautet dann je nach dem
"wahr" oder "falsch". Das Recht Selbst Hinzufgen macht nur bei Objekten
Sinn, bei denen man sich selbst in eine Liste eintragen kann, wie dies z. B.
bei einer Gruppe der Fall ist. Da ein Objekt hufig sehr viele Eigenschaften
besitzt, gibt es zwei Mglichkeiten, Objekteigenschaften zu vergeben. Es
ist prinzipiell mglich, auf alle Eigenschaften dasselbe Recht zu vergeben.
Dann muss im Bereich Property Rights der Punkt All Properties markiert
sein. Andererseits ist es auch mglich, auf bestimmte Objekteigenschaften
explizit Rechte zu vergeben. Dazu dient die Option Selected Properties. Es
ist dabei zu beachten, dass mit der Funktion Selected Properties die
Rechte, die bei der Option All Properties vergeben wurden, berschrieben
werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1150
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
Rechte in der NDS mssen noch sorgfltiger vergeben werden als Rechte
im Dateisystem. Im Dateisystem bekommt ein NDS-Objekt Rechte auf
eine Datei oder ein Verzeichnis. In der NDS allerdings bekommt ein NDS-
Objekt Rechte auf ein anderes NDS-Objekt. Hierbei muss genau berprft
werden, wer eigentlich auf wen Rechte bekommen soll. So kann es leicht
vorkommen, dass ein Benutzer-Objekt Rechte auf ein Container-Objekt
bekommen soll, doch letztendlich dem Container-Objekt Rechte auf ein
Benutzer-Objekt gegeben werden.
- Datei- und Verzeichnisrechte
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1151
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
Verzeichnissen. Weiterhin knnen mit dem Recht Modify die Datei- und
Verzeichnisattribute gendert werden. Mit File Scan hat man das Recht, sich
Dateien und Verzeichnisse z. B. mit dem Befehl NDIR oder auch DIR
anzusehen. Mit dem Recht Access Control knnen anderen NDS-Objekten
Datei- und Verzeichnisrechte, mit Ausnahme des Supervisor-Rechts gewhrt
werden.
Im Gegensatz zu Objektrechten, wo es das Recht Create nur auf
Containerebene gibt, kann das Create Recht im Dateisystem auch auf Dateien
und nicht nur auf Verzeichnisse vergeben werden. Auf Dateien erlaubt dieses
Recht, eine logisch gelschte Datei durch den Mechanismus Salvage wieder
herzustellen. In der NDS knnen einmal gelschte Objekte nicht wieder
hergestellt werden, was dazu fhrt, dass dort das Recht Create nur auf
Containerebene Sinn macht.
Aus Grnden der bersichtlichkeit, einer vereinfachten Administration sowie
einer verbesserten Revisionsfhigkeit sollte die Vergabe von Zugriffsrechten
vorrangig ber die Zuweisung von Rechten an Benutzergruppen (Datei- und
Verzeichnisrechte) und Container-Objekte erfolgen. Ein Container ist dabei
stellvertretend fr alle Objekte, insbesondere alle Benutzer-Objekte, die sich
unterhalb des Container-Objekts in der NDS befinden. Dabei erhalten diese
Rechte wirklich alle Benutzer, nicht nur diejenigen, die sich im Container
direkt befinden.
Fr NDS-Rechte auf Objekte und Objekteigenschaften gibt es das Objekt
Organizational Role (OR). Die OR ist vergleichbar mit einer Gruppe. Gruppen
geben das erhaltene Datei- und Verzeichnisrecht an alle ihre Benutzer, die als
Mitglieder eingetragen sind, weiter. Mit einer Organizational Role werden die
Rechte an die Mitglieder der Organizational Role weitergereicht. Hier heien
die Mitglieder allerdings Occupant, was soviel wie Bewohner heit. Novell
bersetzt dies allerdings als Trger. Sowohl bei Gruppen als auch bei
Organizational Roles werden die Rechte auf ihre Mitglieder bzw. Trger mit
Hilfe von Security Equal To Mechanismen bergeben. Da in der Praxis weit
weniger NDS-Rechte als Dateirechte vergeben werden, wird die OR weit
weniger hufig benutzt als dies bei Gruppen der Fall ist.
Rechte knnen auch direkt an Benutzer und ber Security Equal To vergeben
werden. Hier kann aber sehr leicht die bersichtlichkeit verloren gehen und
deshalb sollten diese Mechanismen sehr moderat eingesetzt werden.
Zusammenfassend noch einmal die Mglichkeiten, wie Rechte vergeben
werden knnen:
- Gruppen (Datei- und Verzeichnisrechte)
- Organizational Role (NDS-Objekt- und NDS-Objekteigenschaftsrechte)
- Container
- Benutzer
- Security Equal To
Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu
verhindern, sollte die Systemadministration Benutzergruppen und Benutzern
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1152
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1153
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1154
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
Netware-Attribute ndern und somit jede Aktion, die sich aus ihren effektiven
Rechten ergibt, ausfhren.
Sicherheit durch den Einsatz von Netware-Attributen stellt sich somit als ein
Subsystem auf der Ebene der Verzeichnis- und Dateisicherheit dar. Das
bedeutet, dass obwohl jemand das ER hat eine Datei zu lschen, dies unter
Umstnden nicht tun kann, da das Attribut "Delete inhibit" (Di) gesetzt ist.
Bei der Vergabe von Netware-Attributen auf Verzeichnisse und Dateien
sollten die folgenden Eigenschaften von Netware-Attributen beachtet werden.
- Verzeichnis-Attribute:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1155
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1156
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1157
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
File Compressed (Co), Cant Compress (Cc), File Migrated (M): Mit
diesen Attributen werden vom Betriebssystem dementsprechende
Informationen ber eine Datei gespeichert. Diese Attribute knnen nur
vom Betriebssystem gendert werden.
Sorgfltige Vergabe von Rechten
Dateirechte, NDS-Objektrechte und NDS-Objekteigenschaftsrechte sind
vollkommen unabhngige Rechte. Hiervon gibt es zwei Ausnahmen. Erhlt
jemand Supervisor-Rechte auf ein NDS-Objekt, hat er automatisch auch
Supervisor-Rechte auf die NDS-Objekteigenschaften. Umgekehrt tritt dieses
Phnomen nicht auf. Supervisor-Rechte auf NDS-Objekteigenschaften sind
nicht gleichbedeutend mit Supervisor-Rechten auf das NDS-Objekt selbst.
Hierbei muss allerdings beachtet werden, dass die Objekteigenschaft Object
Trustees (ACL) eine Eigenschaft eines jeden NDS-Objekts ist. Erhlt man nun
Supervisor-Rechte auf die Eigenschaften eines NDS-Objekts oder nur das
Recht WRITE auf die Eigenschaft Object Trustees (ACL), ist man in der Lage,
sich selbst oder anderen NDS-Objekten beliebige Rechte zu gewhren. Eine
weitere wichtige Ausnahme ist das NDS-Objekt Server. Erhlt z. B. der
Benutzer RZenk, wie im obigen Beispiel, das Recht WRITE auf die
Objekteigenschaft Object Trustees (ACL) des Servers, ist dies gleichbedeutend
mit Supervisor-Rechten auf das komplette Dateisystem, das diesem Server
zugeordnet ist. Die Eigenschaft Object Trustees (ACL) des Servers ist somit
die Schnittstelle zwischen der NDS und dem Dateisystem.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1158
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1159
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1160
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
Aus diesem Grund sollten die Programme und Dateien eines Novell Netware
Servers regelmig mit einem aktuellen Virensuchprogramm auf evtl.
vorhandene Computer-Viren berprft werden.
Zu diesem Zweck empfiehlt es sich, einen speziellen Benutzer-Account im
Novell Netware 4.x Netz einzurichten, der ber die Zugriffsrechte "Read" (R)
und "File Scan" (F) auf alle Dateien verfgt. Die Prfung auf Computer-Viren
sollte keinesfalls mit den Rechten des Supervisors bzw. Supervisor-
quivalenten Rechten durchgefhrt werden, da ein Computer-Viren-
Checkprogramm, welches selbst mit einem Computer-Virus infiziert ist,
diesen auf alle Programme und Dateien bertragen wrde.
Auch die Benutzer bzw. Benutzergruppen sollten auf die Verzeichnisse und
Dateien mit ausfhrbarem Programmcode lediglich die effektiven Rechte
"Read" (R) und "File scan" (F) erhalten, um deren Infektion mit Computer-
Viren zu vermeiden, die auf lokalen Rechnern aufgetreten sind. Zudem sollten
ausfhrbare Programme mit dem Netware-Attribut "Read only" (Ro) versehen
werden.
Bei eingeschalteter Kompression ist zustzlich zu beachten, dass durch einen
kompletten Suchlauf auf den Netware Volumes alle komprimierten Dateien
dekomprimiert werden mssen. Dies ist sehr zeitaufwendig und verlngert die
Antwortzeiten eines Servers stark.
Regelmige berprfung der Zeitsynchronisation und der NDS-
Reproduktion
Um die Zeitsynchronisation und den Abgleich mehrerer NDS-Reproduktionen
zwischen verschiedenen Netware 4.x Servern zu beobachten, kann an der
Konsole ein separater Netware-Screen aktiviert werden. Dies erfolgt durch die
Eingabe der beiden Befehle
- SET TIMESYNC DEBUG = 7 und
- SET NDS TRACE TO SCREEN = ON.
An der Konsole werden dann die entsprechenden Pakete angezeigt, die
zwischen den Servern bertragen werden. Auf diesem NDS Trace Bildschirm
kann der Abgleich der einzelnen Reproduktionen des jeweiligen Servers
verfolgt werden. Wenn der Abgleich erfolgreich war, wird dies in grner
Schrift angezeigt, Fehlermeldungen werden in roter Schrift dargestellt. Da
dieser Bildschirm regelmig aktualisiert wird, knnen Informationen
bersehen werden. Es ist daher zwingend erforderlich, regelmig die
Konsole-Meldungen zu beobachten. Hier empfiehlt sich allerdings der Einsatz
eines Netzmanagement-Tools, mit welchem man wesentlich zuverlssiger den
Status des Netzes ermitteln und berwachen kann:
Im Fehlerfall ist jedoch das Utility NDS-Manager (SYS:\PUBLIC\WIN95\
NDSMGR32.EXE - fr Window 95 bzw. Windows NT) sehr hilfreich. Hiermit
kann ebenfalls der Reproduktionsstatus berwacht werden.
Regelmige berprfung der Auslastung der System-Festplatte
Damit ein strungsfreies Arbeiten gewhrleistet werden kann, muss
sichergestellt sein, dass das System-Volume eines jeden Netware Servers ber
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1161
Manahmenkatalog Organisation M 2.149 Bemerkungen
___________________________________________________________________ ..........................................
gengend freien Speicherplatz verfgt. Dies ist vor allem bei eingeschalteter
Kompression sehr wichtig. Das System-Volume kann beispielsweise durch
temporre Dateien vollgeschrieben werden, falls deren Ausbreitung nicht
kontrolliert wird und diese nicht von Zeit zu Zeit gelscht werden. Weiterhin
knnen groe Druckerwarteschlangen zu einem berlauf des Systemvolumes
fhren, wenn sehr viele Benutzer gleichzeitig groe Dokumente drucken
wollen.
Es sollte deshalb ein separates Volume fr Druckerwarteschlangen und andere
Verzeichnisse angelegt werden, in denen temporre Dateien abgespeichert
werden. Ist dies nicht mglich, so sollten zumindest Grenbeschrnkungen
auf die entsprechenden Verzeichnisse vergeben werden, um deren
unkontrolliertes Anwachsen zu verhindern. Damit wird gewhrleistet, dass das
System-Volume nicht mehr vollgeschrieben werden kann und immer
gengend Platz fr systemspezifische Aktionen des Netware Servers
vorhanden ist.
Ergnzende Kontrollfragen:
- Wurden alle Aktionen fr einen sicheren Betrieb eines Netware 4.x Servers
beachtet?
- Wurden zum Schutz vor Verlust der Administrierbarkeit Ersatz-Benutzer-
Accounts eingerichtet und diese mit ausdrcklichen Trustee-Zuordnungen
fr die jeweiligen NDS-Objekte versehen?
- Werden die Plattenauslastungen und die Konsolenmeldungen regelmig
kontrolliert?
- Werden die Supervisor-Rechte auf die Serverobjekte regelmig geprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1162
Manahmenkatalog Organisation M 2.150 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1163
Manahmenkatalog Organisation M 2.150 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1164
Manahmenkatalog Organisation M 2.151 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1165
Manahmenkatalog Organisation M 2.151 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1166
Manahmenkatalog Organisation M 2.151 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1167
Manahmenkatalog Organisation M 2.151 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1168
Manahmenkatalog Organisation M 2.152 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1169
Manahmenkatalog Organisation M 2.152 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1170
Manahmenkatalog Organisation M 2.153 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1171
Manahmenkatalog Organisation M 2.153 Bemerkungen
___________________________________________________________________ ..........................................
Hardware-Konfiguration
Hier ist anzumerken, dass bei einer Neuinstallation des Netware Servers (z. B.
nach einem Systemabsturz) smtliche Informationen zu den Einstellungen der
Hardware bekannt sein mssen, um den Server sachgerecht und zgig konfi-
gurieren zu knnen. Sind diese nicht bekannt, so mssen sie im Einzelfall erst
ber entsprechende Programme abgefragt oder am Gert abgelesen werden,
was einen nicht zu unterschtzenden Zeitaufwand darstellt. Dies gilt insbe-
sondere fr das Beheben von zeitkritischen Fehlern.
Fr alle eingesetzten Hardware-Komponenten im Server, wie z. B. Netzadap-
terkarten, Grafikkarten, Kommunikationsschnittstellen (seriell, parallel, USB,
PS/2 usw.) oder SCSI-, IDE- und RAID-Controller, mssen u. a. folgende
Informationen vorgehalten werden:
- Interrupt,
- E/A-Schnittstelle,
- DMA-Kanal,
- SCSI- und LUN-Adresse,
- Speicheradresse,
- Knotenadresse,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1172
Manahmenkatalog Organisation M 2.153 Bemerkungen
___________________________________________________________________ ..........................................
- Steckplatznummer,
- Externe IPX-Netzwerknummer und
- Rahmentyp.
Zur Dokumentation der Server-Hardware gehren auch die externen Gerte,
wie z. B.
- Drucker oder
- externe Sub-Systeme (Festplattenschrnke u. .).
Als Beispiel und Hilfe kann hierfr in der Original-Dokumentation zu Novell
Netware 4.11 (Handbuch zu Netware 4) im Anhang C: Beispiel zu Schablonen
unter C8 nachgeschlagen werden.
Softwarekonfiguration
Ein weiterer wichtiger Punkt ist die Konfiguration der Software. Dazu geh-
ren u. a. die folgenden Aspekte:
- Patchlevel,
- NLMs (Netware Loadable Modules),
- Treiber und
- Konfigurationsdateien (AUTOEXEC.NCF, STARTUP.NCF, DHCPTAB,
etc., siehe auch die Beschreibung CONFIG.NLM und Config-Reader).
Da wichtige Programme unter Umstnden nur ab einem bestimmten
Patchlevel arbeiten, muss dokumentiert werden, welche Systemupdates not-
wendig sind, um die betroffenen Programme (wie z. B. Backup-Utilities) aus-
fhren zu knnen. Aus diesem Grund sollte notiert werden, welche Updates
und Patches zu welchem Zweck auf dem Netware Server installiert wurden.
Es sei an dieser Stelle auch auf ein Tool hingewiesen, mit dem diese Einzel-
heiten der Konfiguration abgefragt und in einer ASCII-Datei gespeichert
werden knnen. Dabei handelt es sich um das Programm CONFIG.NLM.
Dieses Programm muss an der jeweiligen Server-Konsole gestartet werden
und erzeugt eine Datei CONFIG.TXT. Mit Hilfe des Windows-Programms
Config-Reader kann diese Konfigurationsdatei analysiert werden. Beide Pro-
gramme sind im Internet unter http://support.novell.com zu finden. In der
Datei CONFIG.TXT wird in wenigen Sekunden die komplette Konfiguration
des Netware Servers abgelegt. Dies vereinfacht den Wiederanlauf eines
Servers bei Hardwareausfall wesentlich.
Ergnzende Kontrollfragen:
- Wurden alle relevanten Informationen zu den Netware Servern dokumen-
tiert?
- Wird die Dokumentation regelmig aktualisiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1173
Manahmenkatalog Organisation M 2.154 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1174
Manahmenkatalog Organisation M 2.154 Bemerkungen
___________________________________________________________________ ..........................................
Teil D: Hilfsmittel
10 Verhaltensregeln bei Auftreten eines Computer-Virus
11 Meldewege bei Auftreten eines Computer-Virus
12 Benutzerhandbuch des Computer-Viren-Suchprogramms
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1175
Manahmenkatalog Organisation M 2.155 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1176
Manahmenkatalog Organisation M 2.155 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfrage:
- Wie wird sichergestellt, dass bei Vernderungen der eingesetzten IT-
Systeme oder bei Einsatz neuer IT-Systeme die erforderlichen Manahmen
des Virenschutz-Konzeptes bercksichtigt werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1177
Manahmenkatalog Organisation M 2.156 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1178
Manahmenkatalog Organisation M 2.156 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1179
Manahmenkatalog Organisation M 2.156 Bemerkungen
___________________________________________________________________ ..........................................
Vorteile:
- Anschaffungskosten sowie Administrationsaufwand reduzieren sich auf die
Server.
- Schutz der Server verhindert Re-Infektionen, z. B. nach dem Einspielen
von archivierten Dateien.
Nachteile:
- Fr die Endgerte mit externen Schnittstellen muss der Benutzer das auf
dem Server befindliche Computer-Viren-Suchprogramm manuell starten,
um damit eingehende externe Datentrger, aber auch zu versendende
Datentrger und Dateien zu berprfen.
- Verschlsselte Dateien oder Programme, die Computer-Viren beinhalten
und erst auf einem ungeschtzten Endgert entschlsselt werden, fhren
ohne Eingangskontrolle zu Infektionen. Dies kann in gleicher Weise auch
fr komprimierte Dateien gelten, wenn das Suchprogramm nicht geeignet
ist.
- Ein Computer-Viren-Befall eines Endgertes mit externen Schnittstellen
kann nicht ausgeschlossen werden.
- Wird zustzlich eine Peer-to-Peer-Funktionalitt genutzt, knnen
Computer-Viren ohne Kontrolle der geschtzten Server zwischen
Endgerten bertragen werden.
- Schlecht fr die Performance, da alle Kommunikationsinhalte berprft
werden mssen.
Computer-Viren-Suchprogramme auf allen Servern und Endgerten
Diese Kombination obiger Strategien bietet den maximalen Schutz, da
Computer-Viren sofort beim Auftreten erkannt werden und nicht ber Server
weiterverteilt werden. Darber hinaus knnen Computer-Viren-
Suchprogramme verschiedener Hersteller eingesetzt werden, um so die
Erkennungsrate fr Computer-Viren zu erhhen.
Vorteile:
- Ein geeignetes, aktuelles und residentes Computer-Viren-Suchprogramm
gewhrleistet einen maximalen Schutz bei gleichzeitig minimalen
Aufwand fr den IT-Benutzer.
- Computer-Viren werden nicht ber Server weiterverteilt.
Nachteile:
- Anschaffungskosten sowie Administrationsaufwand fr jeden Server und
jedes Endgert.
Computer-Viren-Suchprogramme auf den Kommunikationsservern
Computer-Virenschutzprogramme knnen ausschlielich oder zustzlich auf
allen Kommunikationsservern installiert werden, also den IT-Systemen ber
die der Datenaustausch mit externen IT-Systemen luft, z. B. Firewalls oder
Mailserver. Hierdurch sind aber die Endgerte nur dann vor Computer-Viren
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1180
Manahmenkatalog Organisation M 2.156 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1181
Manahmenkatalog Organisation M 2.156 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1182
Manahmenkatalog Organisation M 2.157 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1183
Manahmenkatalog Organisation M 2.157 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1184
Manahmenkatalog Organisation M 2.158 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1185
Manahmenkatalog Organisation M 2.159 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1186
Manahmenkatalog Organisation M 2.160 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1187
Manahmenkatalog Organisation M 2.160 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1188
Manahmenkatalog Organisation M 2.161 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1189
Manahmenkatalog Organisation M 2.161 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1190
Manahmenkatalog Organisation M 2.161 Bemerkungen
___________________________________________________________________ ..........................................
- ob, wann und wie die Daten verschlsselt oder signiert werden mssen,
- wer mit wem kryptographisch gesichert bzw. ungesichert kommunizieren
darf,
- wer bestimmte Rechte vergeben darf, u.s.w.
In Abhngigkeit von den systemtechnischen Rahmenbedingungen bezglich
- des zu betrachtenden Datenvolumens und der Zeitabhngigkeit,
- der Verfgbarkeitsanforderungen und Gefhrdungslage,
- Art und Hufigkeit der zu schtzenden Anwendungen etc.
knnen darauf basierend geeignete Realisierungsmglichkeiten analysiert und
fr konkrete Einsatzbereiche wie z. B. einen PC-Arbeitsplatz, im LAN-
Bereich oder in Verbindung mit einer TK-Anlage konzipiert und technisch
ausgestaltet werden. Nur aufgrund einer solch ganzheitlichen Betrachtungs-
weise gelingt es, Entscheidungsgrundlagen und -bedingungen fr kryptogra-
phische Produkte zusammenzutragen, deren Einsatz bzw. Verwendung sowohl
sicherheitstechnisch angemessen als auch wirtschaftlich vertretbar ist. Es
sollte jedoch darauf hingewiesen werden, dass die vorgenommene Einteilung
keinesfalls zwingend oder von grundstzlicher Bedeutung, sondern bestenfalls
hilfreich ist. Wesentlich ist nur, dass der Fragenumfang die Vorstellung nach
einer mglichst umfassenden Klrung der Ausgangslage konsequent wider-
spiegelt. Natrlich ergeben sich in der Praxis zwischen einigen Frage-
stellungen bzw. Antworten Wechselwirkungen und Abhngigkeiten, die im
allgemeinen allerdings zur Vervollstndigung des Gesamtbildes beitragen.
Die diversen Einflussgren fr den Einsatz kryptographischer Verfahren sind
zu bestimmen und nachvollziehbar zu dokumentieren (siehe M 2.163
Erhebung der Einflussfaktoren fr kryptographische Verfahren und Produkte).
Anschlieend muss eine geeignete Verfahrensweise fr ihren Einsatz ent-
wickelt und dokumentiert werden. Zum Abschluss muss durch die Behrden-
bzw. Unternehmensleitung die Durchfhrung angeordnet werden.
Die Ergebnisse sollten aktualisierbar und erweiterbar im Kryptokonzept
niedergelegt werden. Ein mglicher Aufbau eines Kryptokonzepts ist im
nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:
Inhaltsverzeichnis Kryptokonzept
1. Definitionen
- Kryptographische Verfahren
- ...
2. Gefhrdungslage zur Motivation
- Abhngigkeit der Institution vom Datenbestand
- Typische Gefhrdungen wie ...
- Institutionsrelevante Schadensursachen
- Schadensflle im eigenen Haus
3. Festlegung einer organisationsinternen Sicherheitspolitik
- Festlegung von Verantwortlichkeiten
- Zielsetzung, Sicherheitsniveau
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1191
Manahmenkatalog Organisation M 2.161 Bemerkungen
___________________________________________________________________ ..........................................
4. Einflussfaktoren
- Identifikation der zu schtzenden Daten
- Vertraulichkeitsbedarf der Daten
- Integrittsbedarf der Daten
- Verfgbarkeitsanforderungen an die Daten
- Anforderungen an die Performance
- Schlsselverteilung
- Datenvolumen
- Art der Daten (lokal / verteilt (LAN/WAN) )
- Art der Anwendungen, bei denen kryptographische Verfahren zum Einsatz
kommen sollen
- Hufigkeit des Einsatzes des kryptographischen Verfahrens
- Anforderungen an die Widerstandsfhigkeit der Algorithmen bzw. Verfah-
ren (Manipulationsresistenz)
- Wiederherstellbarkeit der gesicherten Daten
- Personalaufwand
- Erforderliche Funktionalitt
- Kosten einschlielich Folgekosten (Wartung, Administration, Updates, ...)
- Kenntnisse/datenverarbeitungsspezifische Qualifikationen der IT-Benutzer
5.Festlegung des Einsatzes
- Art der kryptographischen Verfahren
- Einsatzbedingungen an die kryptographischen Produkte
- Hufigkeit und Zeitpunkt des Einsatzes
- Benennung der Verantwortlichen
- Festlegung der organisatorischen Regelungen
- Durchfhrung der personellen Manahmen (Schulung, Vertretungs-
regelungen, Verpflichtungen, Rollenzuteilung)
- Dokumentation der Einsatzbedingungen / Konfiguration
- Interoperabilitt, Standardkonformitt, Investitionsschutz
6. Schlsselmanagement
Einzelne Punkte dieses Konzepts werden in den Manahmen M 2.162
Bedarfserhebung fr den Einsatz kryptographischer Verfahren und Produkte,
M 2.163 Erhebung der Einflussfaktoren fr kryptographische Verfahren und
Produkte, M 2.166 Regelung des Einsatzes von Kryptomodulen etc. nher
ausgefhrt.
Bei der Erstellung eines Kryptokonzepts handelt es sich nicht um eine ein-
malige Aufgabe, sondern um einen dynamischen Prozess. Ein Kryptokonzept
muss daher regelmig den aktuellen Gegebenheiten angepasst werden.
Ergnzende Kontrollfragen:
- Ist das vorliegende Konzept aktuell?
- Sind smtliche betroffenen IT-Systeme in diesem Konzept aufgefhrt?
- Wie werden Mitarbeiter ber den sie betreffenden Teil des Konzepts
unterrichtet?
- Wird die Einhaltung dieses Konzepts kontrolliert?
- Wie werden nderungen der Einflussfaktoren bercksichtigt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1192
Manahmenkatalog Organisation M 2.162 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1193
Manahmenkatalog Organisation M 2.162 Bemerkungen
___________________________________________________________________ ..........................................
- Bei E-Mails soll zweifelsfrei feststellbar sein, wer die Absender waren und
ob die Inhalte unverndert bertragen wurden.
Um festzustellen, welche kryptographischen Verfahren bzw. Produkte ben-
tigt werden und welche Daten damit zu schtzen sind, sollte zunchst die
aktuelle IT-Struktur ermittelt werden (siehe zur Erfassung von IT-Systemen
und Anwendungen auch Kapitel 2). Ermittelt werden sollte,
- welche IT-Systeme es gibt, auf denen Daten verarbeitet bzw. gespeichert
(PCs, Laptops, Server, ...) oder mit denen Daten bermittelt werden
(Bridge, Router, Gateway, Firewall, ...) und
- welche bertragungswege es gibt. Dazu sollte die logische und physi-
kalische Vernetzungsstruktur erfasst werden (siehe auch M 2.139 Ist-
Aufnahme der aktuellen Netzsituation).
Schutzbedarf der Daten (Vertraulichkeit, Integritt, Authentizitt,
Nichtabstreitbarkeit)
Es sollten alle Anwendungen bzw. Daten ermittelt werden, bei denen ein
besonderer Anspruch an Vertraulichkeit, Integritt, Authentizitt bzw.
Nichtabstreitbarkeit besteht (siehe Kapitel 2). Allerdings werden nicht nur fr
IT-Systeme, Anwendungen oder Informationen mit hherem Schutzbedarf
kryptographische Produkte bentigt, sondern auch fr solche mit mittlerem
Schutzbedarf.
Beispiele fr Daten mit besonderem Vertraulichkeitssanspruch sind
- personenbezogene Daten,
- Passwrter und kryptographische Schlssel,
- vertrauliche Informationen, deren Verffentlichung Regressforderungen
nach sich ziehen knnte,
- Daten, aus denen ein Konkurrenzunternehmen finanzielle Gewinne ziehen
knnte,
- Daten, ohne deren Vertraulichkeit die Aufgabenerfllung gefhrdet ist
(z. B. Ermittlungsergebnisse, Standortregister ber gefhrdete Pflanzen),
- Daten, deren Verffentlichung eine Rufschdigung verursachen knnte.
Hinweis: Durch die Kumulation von Daten erhht sich der Schutzbedarf einer
Datensammlung, so dass eine Verschlsselung erforderlich sein kann, auch
wenn deren einzelne Datenstze nicht so sensitiv sind.
Beispiele fr Daten mit besonderem Integrittsanspruch sind
- finanzwirksame Daten, durch deren Manipulation finanzielle Schden
entstehen knnen,
- Informationen, deren verflschte Verffentlichung Regressforderungen
nach sich ziehen knnte,
- Daten, deren Verflschung zu falschen Geschftsentscheidungen fhren
kann,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1194
Manahmenkatalog Organisation M 2.162 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1195
Manahmenkatalog Organisation M 2.162 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1196
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1197
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1198
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1199
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1200
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
diglich einzelne Dateien verschlsselt besteht die Gefahr, dass die Inhalte
dieser Dateien unkontrollierbar zumindest teilweise zustzlich im Klartext
auf die Festplatte geschrieben werden (z. B. in den Auslagerungsdateien
verschiedener Betriebssysteme oder in Backup-Dateien).
- Performance (Geschwindigkeit der ausfhrbaren Programme)
Software-Verschlsselung nutzt die Systemressourcen des PC, belastet also
die CPU und bentigt Arbeitsspeicher. Sptestens bei der Verschlsselung
der gesamten Festplatte wird die Performance des PC sinken. Hardware-
Komponenten mit eigenem Prozessor knnen die Verschlsselung ohne
Belastung der PC-CPU und somit ohne nennenswerten Performanceverlust
durchfhren. Hier ist je nach Bauart die Durchsatzrate der verwendeten
Kryptier-Hardware mitentscheidend.
- Organisatorischer/Personeller Aufwand (Administration, Keymanagement,
Schulung, etc.)
Der organisatorische bzw. personelle Aufwand ist von der Umsetzung der
Sicherheitspolitik und dem "Komfort" der Verschlsselungs-Komponenten
abhngig. Generelle Entscheidungskriterien fr oder gegen eine der drei
Lsungen knnen nicht allgemein gltig formuliert werden.
- Wirtschaftlichkeit (Anschaffung, Schulungs-/Administrationskosten, ...)
Eine allgemeine Aussage zur Wirtschaftlichkeit ist schwierig. Betrachtet
man nur die Anschaffungskosten, so werden Software-Lsungen oft
preiswerter sein als Hardware-Lsungen. Kalkuliert man dagegen auch die
Schden ein, die durch unzureichenden Schutz auf lngere Sicht entstehen
knnen, kann sich im Vergleich die Investition in sicherere und vielleicht
teurere Lsungen lohnen. Wirtschaftliche Nachteile knnen u. U. durch
Performanceverlust des PC-Systems entstehen.
- Restrisiken (Betriebssystem, Kompromittierung des Festplattenschlssels,
etc.)
Bei der Auswahl der geeigneten Verschlsselungs-Komponente spielt die
Restrisikobetrachtung eine wesentliche Rolle. Es stellen sich u. a. die
Fragen
- Welche Restrisiken kann man in Kauf nehmen? und
- Welche Restrisiken werden bzw. knnen durch andere Manahmen
(z. B. materielle oder organisatorische Manahmen) minimiert
werden?
Es knnen sich durchaus mehrere tragbare Lsungsmglichkeiten durch
die Kombination verschiedener Manahmen ergeben.
Beispiel 2: E-Mail-Verschlsselung
Der Austausch von elektronischer Post (E-Mail) ber bzw. in Computer-
Netzen gewinnt zunehmend an Bedeutung. Werden dabei sensible Informa-
tionen (z. B. Firmengeheimnisse) ber ungesicherte Netze ausgetauscht, so
sind dabei Mechanismen zum Schutz der Vertraulichkeit bzw. fr die Gewhr
der Authentizitt von Nachrichten erforderlich. Zu diesen Zwecken dienen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1201
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1202
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
men. In einem lokalen Netz wre zu diesem Zweck eine geeignete PKI zu
schaffen.
Standardkonformitt
Aus Interoperabilittsgrnden und zum Investitionsschutz ist es sinnvoll, mg-
lichst weit verbreitete und akzeptierte Internet-Standards zu verwenden.
Sowohl S/MIME als auch PGP befinden sich im Stadium der
Standardisierung.
Beispiel 3: Sichere Sprach- und Datenkommunikation bei ISDN-Netz-
anbindungen
Beim folgenden Anwendungsbeispiel wird die Kommunikation per ISDN
betrachtet. Geschtzt werden sollen die Anwendungen "Telefonverkehr" und
"Videokonferenzen" sowie der Datenverkehr zwischen Rechnernetzen. Als
Ziel soll ein wirkungsvoller Schutz bermittelter vertraulicher Informationen
und verbindlicher personenbezogener Daten gewhrleistet werden. Es wird
davon ausgegangen, dass alle zu bertragenen Informationen in digitaler Form
(PCM-Code) vorliegen und dass die in firmeneigenen Netzen und
TK-Anlagen bliche Sprachkomprimierung fr verschlsselte Anwendungen
abgeschaltet werden kann, damit die Nutzkanle (B-Kanle) verschlsselt
werden knnen.
Dafr soll eine ISDN-Sicherheitskomponente eingesetzt werden, mit der ein
S0-Anschluss mit zwei 64 kbit/s-Kanlen abgesichert werden kann. Dabei ist
es unerheblich, ob am S0-Bus einzelne ISDN-Endgerte (Telefon, Fax, PC mit
ISDN-Einsteckkarte etc.) angeschlossen sind oder eine kleine TK-Anlage
nachgeschaltet ist. Alle Verbindungen sollen wahlweise verschlsselt oder
unverschlsselt aufgebaut und betrieben werden. Folgende Abbildung zeigt
die entsprechende Systemkonfiguration.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1203
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1204
Manahmenkatalog Organisation M 2.163 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1205
Manahmenkatalog Organisation M 2.164 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1206
Manahmenkatalog Organisation M 2.164 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1207
Manahmenkatalog Organisation M 2.164 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1208
Manahmenkatalog Organisation M 2.164 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1209
Manahmenkatalog Organisation M 2.164 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1210
Manahmenkatalog Organisation M 2.165 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1211
Manahmenkatalog Organisation M 2.165 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1212
Manahmenkatalog Organisation M 2.165 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1213
Manahmenkatalog Organisation M 2.166 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1214
Manahmenkatalog Organisation M 2.166 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1215
Manahmenkatalog Organisation M 2.167 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1216
Manahmenkatalog Organisation M 2.167 Bemerkungen
___________________________________________________________________ ..........................................
berschreiben
Eine fr den mittleren Schutzbedarf ausreichende physikalische Lschung
kann erreicht werden, indem der komplette Datentrger oder zumindest die
genutzten Bereiche mit einem bestimmten Muster berschrieben werden. Es
werden einige handelsbliche Produkte angeboten, die sogar die physikalische
Lschung einzelner Dateien gewhrleisten.
Zum berschreiben sollten keine gleichfrmigen Muster wie "0000" benutzt
werden, sondern es sollten Muster wie "C1" (hexadezimal, entspricht der Bit-
folge 11000001) benutzt werden. Dazu sollte bei einem zweitem Durchlauf
ein dazu komplementres Muster (also z. B. 3E, entspricht der Bitfolge
00111110) benutzt werden, damit mglichst jedes Bit einmal gendert wird.
Die berschreibprozedur sollte daher mindestens zweimal, besser aber drei-
mal wiederholt werden, da hierdurch eine verbesserte Schutzwirkung erzielt
wird.
Schreibgeschtzte oder nicht mehrfach beschreibbare Datentrger wie CD-
ROMs oder CD-Rs knnen selbstverstndlich auch nicht gelscht werden und
sollten vernichtet werden.
Lschgerte
Flexible magnetische Datentrger (Disketten, Bnder) knnen mit einem
Lschgert gelscht werden. Dabei werden die Datentrger einem externen
magnetischen Gleich- oder Wechselfeld ausgesetzt (Durchflutungslschen).
Geeignete Lschgerte, die die Norm DIN 33858 erfllen, sind in der BSI-
Publikation 7500 aufgefhrt.
Grundstzlich sind die Datentrger nach dem Lschen wiederverwendbar. Es
ist aber zu beachten, dass Datentrger mit einer magnetisch geschriebenen
Servospur (z. B: Bandkassetten IBM 3590, Travan 4, MLR und ZIP-Disket-
ten) nach einem solchen Lschen unbrauchbar werden.
Lschen von Festplatten
Auch Festplatten, die weitergegeben werden, mssen gelscht werden. Dies
gilt insbesondere dann, wenn auf der Festplatte sensitive Daten gespeichert
waren, oder wenn die Festplatte ausgesondert oder zur Reparatur gegeben
werden soll.
Fr Festplatten, die lediglich innerhalb einer Organisation weitergegeben
werden, ist es normalerweise ausreichend, die Dateien mit den normalen
Lschfunktionen des Betriebssystems zu lschen oder die Platte zu forma-
tieren.
Festplatten, die an Externe weitergegeben werden, sollten zumindest auf die
folgende Weise gelscht werden: Zunchst sollten alle vorhandenen Parti-
tionen gelscht werden (z. B. unter DOS mit dem Befehl fdisk) und eine groe
Partition angelegt werden. Danach sollte die gesamte Festplatte formatiert
werden (z. B. unter DOS mit dem Befehl format /U). Dabei muss jedoch be-
achtet werden, dass die Daten auf der Festplatte selbst dann noch mit
geeigneten Tools zumindest teilweise ausgelesen werden knnen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1217
Manahmenkatalog Organisation M 2.167 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1218
Manahmenkatalog Organisation M 2.168 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1219
Manahmenkatalog Organisation M 2.168 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1220
Manahmenkatalog Organisation M 2.169 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1221
Manahmenkatalog Organisation M 2.169 Bemerkungen
___________________________________________________________________ ..........................................
sen, und dann auch anzuwenden. Dies gilt insbesondere in den Bereichen:
- Zugriffsrechte auf Managementinformationen
- Dokumentation des Managementsystems
- Erstellung oder Abgleich von Notfallplnen fr den Ausfall des Manage-
mentsystems oder einzelner Komponenten
Im Vorfeld sollten auch bereits die Reaktionen auf Verletzung der Sicher-
heitspolitik im Bereich Systemmanagement festgelegt werden. hnlich wie in
anderen IT-Bereichen, muss auch fr den Bereich des Systemmanagements
eine Sicherheitspolitik festgelegt bzw. die vorhandene Sicherheitspolitik des
Unternehmens bzw. der Behrde auch auf den Bereich Systemmanagement
angewandt werden. Da ein Managementsystem mit wichtigen Netz- und
Systemkomponenten interagiert und deren Funktion verwaltet und berwacht,
sind Verletzungen der Sicherheitspolitik in diesem Bereich als besonders
schwer anzusehen. Insbesondere sind hier Regelungen und Vorgehensweisen
zu definieren, die nach einer solchen Sicherheitsverletzung zum Einsatz
kommen. Diese sind einerseits technischer Natur (z. B. Vergabe neuer
Passwrter fr alle Benutzer nach Kompromittierung der Management-
konsole), aber auch organisatorischer Natur.
Revision, Datenschutzbeauftragte und IT-Sicherheitsmanagement sollten
schon in der Planungsphase einbezogen werden. Nach Einfhrung des
Managementsystems mssen die ihnen hier obliegenden Aufgaben in Bezug
auf das Managementsystem klar sein. Beispiel: Der Datenschutzbeauftragte
kann schon in der Planungsphase auf die Einhaltung der Datenschutzricht-
linien achten, z. B. welche Benutzerinformationen im Rahmen des System-
managements erfasst werden sollen bzw. drfen. Nach Einfhrung des
Systems muss er zudem in der Lage sein, die Einhaltung der Richtlinien zu
berprfen. hnliches gilt fr die Zustndigkeitsbereiche des Revisors und
des IT-Sicherheitsbeauftragten.
Festlegung der Randbedingungen fr die Produktauswahl des Manage-
mentsystems
Die Einfhrung eines Systemmanagementsystems erfordert eine umfangreiche
und sorgfltige Planung. Teile der Systemmanagementstrategie hngen zudem
davon ab, ob sie mit einem konkreten Produkt realisiert werden knnen oder
nicht. Dies fhrt dazu, dass die Erstellung der Managementstrategie und die
(Vor-)Auswahl eines Produktes iteriert werden mssen.
Folgende Punkte sollten bei der Erstellung der Systemmanagementstrategie
Bercksichtigung finden:
- Ist mehr als eine Managementdomne ntig? Wenn ja: Wie sind diese zu
bilden? Managementdomnen erlauben die Einteilung der Komponenten
des zu verwaltenden Systems in Gruppen. Die einzelnen Gruppen knnen
voneinander getrennt verwaltet werden. Die Aufteilung in verschiedene
Managementdomnen ist fr kleinere und mittlere zu verwaltende Systeme
nicht zwingend, untersttzt jedoch ein strukturierteres Systemmanagement.
Fr groe zu verwaltende Systeme ist die Aufteilung in verschiedene Ma-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1222
Manahmenkatalog Organisation M 2.169 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1223
Manahmenkatalog Organisation M 2.169 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1224
Manahmenkatalog Organisation M 2.170 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1225
Manahmenkatalog Organisation M 2.170 Bemerkungen
___________________________________________________________________ ..........................................
- Applikationsmanagement
Das Verwalten von Software auf Anwendungsebene sollte mglich sein,
z. B. die Verwaltung von HTTP-Zugriffsrechten auf die Daten eines
WWW-Servers ("Realms"). Diese Art von Management wird in der Regel
kaum untersttzt, da hierzu die Kooperation der Applikation selbst erfor-
derlich ist.
Idealerweise lsst ein solches System die Delegation von administrativen Auf-
gaben zu, so dass z. B. ein Systemverwalter einem Arbeitsgruppensystem-
administrator das Recht zum Installieren von Software auf den Rechnern der
Arbeitsgruppe einrumen kann. Dieser Mechanismus ist insbesondere in
mittleren und groen Netzen notwendig.
Die Netz- und Systemadministration werden in der Regel durch die gleichen
administrativen Einheiten in einem Unternehmen bzw. einer Behrde durch-
gefhrt. Da in einigen Bereichen die Aufgabentrennung zwischen
Netzadministration und Systemadministration nicht klar ist, empfiehlt es sich
darauf zu achten, inwieweit ein vorhandenes Netzmanagementsystem in ein zu
beschaffendes Systemmanagementsystem integriert werden kann.
Neben diesen vorwiegend funktionalen Anforderungen ergeben sich auch
technische Anforderungen im Rahmen der Kriterien, die fr die Auswahl einer
Systemmanagementsoftware relevant sind (siehe M 2.171 Geeignete Auswahl
eines Systemmanagement-Produktes). Besonders sind hier folgende
hervorzuheben:
- Das Managementsystem muss in der Lage sein, die Betriebssysteme aller
fr das Management genutzten und aller verwalteten Rechner zu
untersttzen (betriebssystemspezifische Komponenten des Management-
systems, graphische Benutzungsoberflche).
- Existiert bereits ein lokales Datenbanksystem, so sollte das Management-
system die Mglichkeit besitzen, seine Managementinformationen im vor-
handenen Datenbanksystem zu speichern.
- Das Managementsystem sollte erweiterbar sein. Dies betrifft einerseits die
Komponenten des Managementsystems (z. B. Modulkonzept mit der
Mglichkeit, Module jederzeit nachkaufen und integrieren zu knnen),
aber auch die Funktion des Managementsystems (z. B. Programmier-API,
um eigene Komponenten anschlieen zu knnen).
Generell knnen die in M 2.171 Geeignete Auswahl eines Systemmanagement-
Produktes vorgestellten Kriterien zur Kategorisierung von Anforderungen im
Rahmen der vorliegenden Manahme herangezogen werden. Fr ausgesuchte
Kategorien ergeben sich die Anforderungen durch die Festlegung einer
Vorgabe im Rahmen des jeweiligen "Wertebereiches".
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1226
Manahmenkatalog Organisation M 2.171 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1227
Manahmenkatalog Organisation M 2.171 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1228
Manahmenkatalog Organisation M 2.171 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1229
Manahmenkatalog Organisation M 2.171 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1230
Manahmenkatalog Organisation M 2.171 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1231
Manahmenkatalog Organisation M 2.172 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1232
Manahmenkatalog Organisation M 2.172 Bemerkungen
___________________________________________________________________ ..........................................
aus einer Datenbank kommen sollen, muss auch die Verbindung zur Daten-
bank in das Firewall-Konzept fr den Webserver einbezogen werden. Was bei
der Anordnung von Informationsservern zu beachten ist, ist in M 2.77
Integration von Servern in das Sicherheitsgateway beschrieben. Bei der
Erarbeitung des Konzepts fr das Webangebot sollte zumindest grob
festgelegt werden, wie die Anbindung ans Internet geregelt ist und welche
Arten von Verbindungen zum internen Netz bentigt werden.
Der Anschluss ans Internet darf erst dann erfolgen, wenn berprft worden ist,
dass mit dem gewhlten WWW-Konzept sowie den personellen und organi-
satorischen Randbedingungen alle Risiken beherrscht werden knnen.
Ein Webserver fr die Prsenz einer Organisation im Internet muss nicht Outsourcing in Betracht
ziehen
zwangslufig von dieser selbst betrieben werden. Wenn die Betriebskosten
oder der Administrationsaufwand zu hoch oder die Restrisiken zu unkalku-
lierbar erscheinen, knnen auch die entsprechenden Angebote von Internet
Service Providern oder anderen Dienstleistern in Anspruch genommen wer-
den, einen Webserver durch diese betreiben zu lassen. In diesem Fall muss das
Kapitel 3.10 Outsourcing bercksichtigt werden.
Ergnzende Kontrollfragen:
- Existiert ein Konzept fr das Webangebot?
- Wird das Konzept regelmig berprft und ntigenfalls angepasst?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1233
Manahmenkatalog Organisation M 2.173 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1234
Manahmenkatalog Organisation M 2.173 Bemerkungen
___________________________________________________________________ ..........................................
Server notfalls vom Netz genommen werden muss und wer die Entschei-
dung dazu trifft.
- Es sollte eine Reaktion auf ein Defacement des Webservers festgelegt wer- Defacement
den, also fr den Fall, dass nach einem erfolgreichen Einbruch auf dem
Webserver Daten oder besonders die Homepage von den Angreifern vern-
dert wurden. In einem solchen Fall mssen grundstzlich auch die Behr-
den- oder Unternehmensleitung sowie die Pressestelle bzw. die fr ffent-
lichkeitsarbeit zustndige Organisationseinheit informiert werden.
Diese Punkte sollten selbst dann bercksichtigt werden, wenn der Schutzbe-
darf des Webangebots ansonsten nur als niedrig eingeschtzt wird. Insbeson-
dere ein Hackerangriff oder ein Defacement knnen unabhngig vom konkre-
ten Schutzbedarf bei allen ffentlichen Webangeboten passieren.
Teil einer Sicherheitsstrategie muss auch die regelmige Informationsbe-
schaffung ber potentielle Sicherheitslcken sein, um rechtzeitig Vorsorge
dagegen treffen zu knnen. Neben den in M 2.35 Informationsbeschaffung
ber Sicherheitslcken des Systems angesprochenen Informationsquellen ist
fr Sicherheitshinweise zur WWW-Nutzung besonderes die "World Wide
Web Security FAQ" eine wertvolle Quelle. Die Master-Kopie dieses Doku-
mentes ist unter http://www.w3.org/Security/Faq/ zu finden.
Ergnzende Kontrollfragen:
- Existiert eine Sicherheitsstrategie fr den Betrieb eines WWW-Servers?
- Werden die getroffenen Regelungen regelmig berprft und gegebenen-
falls angepasst?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1235
Manahmenkatalog Organisation M 2.174 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1236
Manahmenkatalog Organisation M 2.174 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1237
Manahmenkatalog Organisation M 2.174 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1238
Manahmenkatalog Organisation M 2.175 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1239
Manahmenkatalog Organisation M 2.175 Bemerkungen
___________________________________________________________________ ..........................................
Ein allgemeines Problem bei der Einrichtung und beim Betrieb eines Webser- Rechte- und Rollen-
vers ist die notwendige Zusammenarbeit vieler verschiedener Personen mit konzept
unterschiedlichen Kompetenzen. So werden Aufgaben wie
- Erstellen neuer Inhalte,
- Administration des Webservers,
- Durchfhrung des Designs des Webauftritts,
- Entwurf einzelner Grafiken,
- Programmierung von Zusatzfunktionalitt fr den Webserver (z.B.
eine Datenbankanbindung) und
- Programmieren von Zusatzfunktionalitt, die auf dem WWW-Client
genutzt wird (Javascript, etc.),
in der Regel von unterschiedlichen Personen wahrgenommen. Aus techni-
schen Grnden ist in der Regel eine vollstndige Trennung der Zugriffsrechte
nicht oder zumindest nicht vollstndig mglich. Die oben geforderten
Zugriffsbeschrnkungen lassen sich auf einem Entwicklungssystem daher in
der Regel nicht durchsetzen. In diesem Fall muss darauf geachtet werden, dass
das Entwicklungssystem keine sensitiven Daten enthlt. Die Zugriffsrechte
auf einem produktiven Webserver lassen sich jedoch auch in einer solchen
Umgebung restriktiv handhaben. Neben der Zustndigkeit mssen auch die fr
den Transfer notwendigen Ttigkeiten geplant werden. Dies umfasst neben der
oben erwhnten Kontrolle der vergebenen Zugriffsrechte auch eine berpr-
fung der zu verffentlichenden Inhalte.
Zugriffsbeschrnkungen auf den Webserver
Vor der Inbetriebnahme bzw. jeder Aktualisierung eines Webservers muss
festgelegt werden, wer Informationen vom Webserver abfragen darf. Es ist zu
klren, ob nur Personen innerhalb der eigenen Organisation, eventuell zustz-
lich Telearbeiter, oder auch jeder Externe oder nur ein eingeschrnkter Kreis
auf bereitgestellte Informationen zugreifen drfen. Diese Einschrnkungen
knnen auch abhngig von den jeweiligen Informationen variieren
Wenn der Zugriff auf den Webserver nur einem begrenzten Personenkreis
mglich sein soll, sind entsprechende Manahmen zu implementieren, wie
z. B. in M 4.94 Schutz der WWW-Dateien.
Es muss auerdem geklrt werden, ob grundstzlich nur Informationen abge-
rufen werden drfen oder ob es auch fr Benutzer mglich sein soll, selber
neue Informationen einzustellen. Auch hier ist wieder festzulegen werden,
welcher Personenkreis welche Rechte hat.
bersichtliche Strukturierung
Da HTML-Dateien nicht hierarchisch angeordnet werden mssen, ist die Ver-
zeichnisstruktur innerhalb eines Webservers fr die Funktionsweise irrelevant.
Um die Wartung zu erleichtern, sollte allerdings auf eine bersichtliche
Struktur geachtet werden.
Es ist empfehlenswert, die Verzeichnisstruktur so zu whlen, dass der URL, Sprechende Pfadnahmen
unter dem eine Datei erreichbar ist, bereits gewisse Informationen ber die
Datei gibt. Dies fhrt zwar unter Umstnden zu relativ langen Pfadnamen,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1240
Manahmenkatalog Organisation M 2.175 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1241
Manahmenkatalog Organisation M 2.175 Bemerkungen
___________________________________________________________________ ..........................................
Konfigurationsmanagement
Da sich die Inhalte von WWW-Seiten erfahrungsgem hufig ndern, ist es
wichtig, ein funktionierendes Konfigurationsmanagement aufgebaut zu haben.
Die Aktualitt von Links und Verweisen ist zu berprfen, ebenso wie vor
Verffentlichung eine Virenkontrolle mit einem aktuellen Computer-Viren-
suchprogramm durchzufhren ist.
Kontrolle und Freigabeverfahren
Es ist ebenso wichtig, dass alle Verffentlichungen ein festgelegtes und nach- Freigabeverfahren
vollziehbares Kontrollverfahren durchlaufen. Dies sollte eine inhaltliche Qua-
littskontrolle ebenso umfassen wie eine formale Freigabe. Hier muss auch
berprft werden, ob die Informationen berhaupt fr eine Verffentlichung
geeignet sind oder ob sie z. B. vertraulich sind, dem Datenschutz unterliegen,
Copyright-geschtzt sind oder hnliches.
Bei greren Webangeboten kann es sinnvoll sein, ein Web-Content-Mana-
gement-System einzusetzen. Solche Systeme vereinfachen viele Arbeitsab-
lufe, die im Zusammenhang mit der Pflege eines Webangebots anfallen.
Informationen, die zur Verffentlichung ber elektronische Medien freigege-
ben worden sind, sollten digital signiert werden, um allen Lesern die Mg-
lichkeit zu geben, die Authentizitt der Informationen zu berprfen.
Verffentlichungen, die nicht die Meinung der Organisation widerspiegeln,
mssen als solche gekennzeichnet sein.
Beachtung rechtlicher Rahmenbedingungen
Beim Betrieb eines Webservers mssen verschiedene rechtliche Rahmenbe-
dingungen (in Deutschland sind dies unter anderem das Teledienstegesetz, der
Mediendienste-Staatsvertrag, Vorschriften zum Datenschutz) bercksichtigt
werden.
Beispielsweise wird fr ein gewerbliches WWW-Angebot das Vorhandensein
eines Impressums gefordert, in dem der Name der verantwortlichen Person
und eine Kontaktadresse genannt werden mssen. Je nach dem Inhalt des
WWW-Angebots oder der Branche des Anbieters sind unter Umstnden wei-
tere Angaben erforderlich. Bevor ein WWW-Angebot freigeschaltet wird,
sollte geklrt sein, welche Informationen dies sind und wo und in welcher
Form diese verffentlicht werden mssen.
Ergnzende Kontrollfragen:
- Existieren Richtlinien fr Inhalt und Form von Dokumenten, die auf dem
Webserver verffentlicht werden? Gibt es Richtlinien fr ein einheitliches
Erscheinungsbild?
- Wie werden Dokumente vor ihrer Verffentlichung qualittsgesichert?
- Existiert ein Rechte- und Rollenkonzept?
- Gibt es ein Freigabeverfahren bei der Verffentlichung von Dokumenten
auf dem Webserver?
- Werden Links regelmig berprft?
- Sind alle vorgeschriebenen Angaben wie Impressum vorhanden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1242
Manahmenkatalog Organisation M 2.176 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1243
Manahmenkatalog Organisation M 2.177 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1244
Manahmenkatalog Organisation M 2.177 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1245
Manahmenkatalog Organisation M 2.177 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1246
Manahmenkatalog Organisation M 2.177 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1247
Manahmenkatalog Organisation M 2.178 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1248
Manahmenkatalog Organisation M 2.178 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1249
Manahmenkatalog Organisation M 2.179 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1250
Manahmenkatalog Organisation M 2.179 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1251
Manahmenkatalog Organisation M 2.179 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1252
Manahmenkatalog Organisation M 2.179 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden die Regelungen fr den Faxserver-Einsatz regelmig an das
Einsatzumfeld angepasst?
- Sind Regelungen fr die Weiterleitung von eingehenden Faxsendungen bei
Abwesenheit des Empfngers in Kraft?
- Sind Regelungen fr die Schulung der Mitarbeiter ber die Nutzung der
Faxprogramme vorhanden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1253
Manahmenkatalog Organisation M 2.180 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1254
Manahmenkatalog Organisation M 2.180 Bemerkungen
___________________________________________________________________ ..........................................
ger auf dem blichen Weg weitergeleitet wird. Dieses Verfahren unterscheidet
sich nicht wesentlich von dem beim Einsatz eines herkmmlichen Faxgertes.
Denkbar ist allerdings, dass eingegangene Faxsendungen digital auf externen
Datentrgern archiviert werden.
Automatische Weiterleitung von Eingangs-Faxsendungen
Bei der automatischen Weiterleitung von Eingangs-Faxsendungen an den
Empfnger (automatisches Fax-Routing) ist ebenfalls mglich, dass durch die
Fax-Poststelle Ausdrucke zum Zwecke der Archivierung gefertigt werden.
Auch hier besteht die Mglichkeit, eingehende Faxsendungen digital auf
externen Datentrgern zu archivieren.
Sofern Faxsendungen nicht zugestellt werden knnen, muss die Fax-Poststelle Behandlung nicht
zustellbarer Faxeingnge
hiervon Kenntnis erlangen und versuchen, die Fehlerquelle zu beheben.
Sofern die Zustellung endgltig scheitert, ist der Absender entsprechend zu
informieren. Grnde dafr, dass Faxeingnge unzustellbar sind, knnen sein:
- Der Absender hat eine falsche Durchwahl benutzt
- Der Empfnger ist nicht mehr Mitglied der Organisation.
- Die automatische Weiterleitung von Eingangs-Faxsendungen erfolgt
aufgrund der Absenderkennung (CSID) und der Absender ist in der
Organisation noch nicht bekannt oder es existiert keine entsprechende
Zuordnungsregel.
In all diesen Fllen muss von der Fax-Poststelle die Weiterleitung von
Faxeingngen manuell erfolgen. Sofern Faxeingnge endgltig nicht zugestellt
werden knnen, muss der Absender benachrichtigt werden.
Ergnzende Kontrollfragen:
- Wer ist Fax-Verantwortlicher?
- Wo laufen nicht zustellbare Faxsendungen auf?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1255
Manahmenkatalog Organisation M 2.181 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1256
Manahmenkatalog Organisation M 2.181 Bemerkungen
___________________________________________________________________ ..........................................
Kommunikationskomponente
Die Kommunikationskomponenten stellen die Verbindung zwischen dem
Server und dem ffentlichen Telefonnetz her. Die Kommunikation wird auf
der Grundlage des T.30 Protokolls abgewickelt. Durch dieses Protokoll wird
u. a. der Verbindungsaufbau, der Austausch der Absender-Faxnummer und die
bertragung und die Quittierung des Dokuments geregelt. Die bertragung
im Gruppe-3-Standard erfolgt hauptschlich bei 9.600 bps und 14.400 bps.
Auerdem sind die Kompressionsverfahren Modified Huffmann, Modified
Read und Modified Modified im Einsatz. Der Gruppe-3-Standard ist am
weitesten verbreitet. Daneben gibt es noch den Gruppe-4-Standard, der
allerdings ISDN voraussetzt. Hier werden bertragungsgeschwindigkeiten
von 64 kBit pro Sekunde erreicht. Der Standard Gruppe 4 hat sich gleichwohl
in den vergangenen Jahren nicht durchsetzen knnen, da entsprechende Stand-
alone-Gerte relativ teuer sind. Es besteht auerdem keine Kompatibilitt
zwischen dem Gruppe-3- und dem Gruppe-4-Standard.
Bei Beginn der Kommunikation wird zwischen den Gerten sowohl die
bertragungsgeschwindigkeit als auch das Kompressionsverfahren ausge-
handelt. Es wird die hchste Geschwindigkeit und das bestmgliche
Kompressionsverfahren gewhlt, das von beiden Gerten untersttzt wird.
Folgende Kommunikationskomponenten sind beim Einsatz eines Faxservers
denkbar:
a) Faxmodem
Faxmodems sind recht preisgnstig verfgbar. Sie sind aber u. U. nicht aus-
reichend manipulationsresistent und werden zudem nicht von allen Faxserver-
Applikationen im Dauereinsatz untersttzt. Daher sollte ihr Einsatz auf den
privaten Gebrauch und auf einzelne Arbeitspltze beschrnkt bleiben.
b) passive ISDN-Karten
Passive ISDN-Karten sind einfach aufgebaut und damit preiswert. Die
Hauptlast der Kommunikation trgt der Rechner. Dies ist bei starker Inan-
spruchnahme des Faxservers (z. B. Serien-Faxsendungen) problematisch. Bei
passiven ISDN-Karten ist - ein entsprechendes Gert auf Empfngerseite
vorausgesetzt - generell auch die bertragung nach dem Gruppe-4-Standard
mglich. Mssen Faxdaten nach dem Gruppe-3-Standard bertragen werden,
so sind die Daten entsprechend zu konvertieren. Wie beim Faxmodem gilt
auch hier, dass das Hauptanwendungsgebiet auf einen einzelnen Arbeitsplatz
oder auf den privaten Bereich beschrnkt bleiben sollte.
c) aktive ISDN-Karten
Aktive ISDN-Karten, auch ISDN-Controller genannt, verfgen ber einen
eigenen Prozessor. Sie knnen daher das ISDN-Protokoll weitestgehend
eigenstndig abwickeln. Gem der Spezifikation des Common-ISDN-API
(CAPI) mssen die Faxdaten im Structured Fax File (SFF)-Format an die
ISDN-Karte bergeben werden. Die Konvertierung muss auf dem Faxserver
erfolgen. Genau wie Modems untersttzen aktive ISDN-Karten im Gruppe-3-
Standard nur die bertragungsgeschwindigkeiten 9.600 und 14.400 bps unter
Benutzung des Kompressionsverfahrens Modified Huffmann. Ein wesent-
licher Nachteil sowohl von Faxmodems als auch von aktiven und passiven
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1257
Manahmenkatalog Organisation M 2.181 Bemerkungen
___________________________________________________________________ ..........................................
ISDN-Karten ist, dass diese auch zu anderen Zwecken als der Faxbertragung
benutzt werden knnen, z. B. im Modembetrieb oder als Remote-Access-
Komponente. Dies ist aber bei einem Faxserver aus Grnden der Netzsicher-
heit gerade nicht erwnscht. Aktive ISDN-Karten knnen bis zu 30 ISDN-
Kanle zur Verfgung stellen. Beim Einsatz von aktiven ISDN-Karten sind
auch die ISDN-Signalisierungsmglichkeiten fr das automatische Fax-
Routing verfgbar. Trotz der Verwendbarkeit fr nicht-Fax-Betrieb sind
aktive ISDN-Karten fr den Einsatz in Faxservern durchaus empfehlenswert.
d) Faxkarten (ggf. mit ISDN-Schnittstelle)
Spezielle Faxkarten sind auf die Abwicklung des T.30-Protokolls optimiert.
Sie bernehmen den Verbindungsaufbau und das "Aushandeln" der Kommu-
nikationsparameter. Die Konvertierung der Daten und die Kompression
knnen auf der Karte erfolgen. Der Faxserver wird damit deutlich entlastet. Es
gibt Faxkarten, die die bertragung von Faxdaten mit 9.600 und 14.400 bps
und Anwendung aller drei Kompressionsverfahren bieten. Vorteil dieser
Karten ist auch, dass sie im Regelfall nur das T.30-Protokoll beherrschen und
daher nicht fr den Modembetrieb oder als Remote-Access-Komponente ein-
setzbar sind. Teilweise werden Faxkarten um eine ISDN-Schnittstelle erwei-
tert. Der Vorteil davon ist, dass die Signalisierungsmglichkeiten von ISDN
fr das Fax-Routing nutzbar werden.
Zusammenfassend folgt, dass in Faxservern im Regelfall nur aktive ISDN- aktive ISDN-Karten oder
Faxkarten verwenden
Karten und Faxkarten zum Einsatz kommen sollten. Die Karte muss kompa-
tibel zur Applikationssoftware sein, da nicht jede Karte durch alle Faxserver-
Applikationen untersttzt wird. Die Anzahl der notwendigen Karten hngt von
der Auslastung des Faxservers ab. Je Stunde und Leitung bzw. je Kanal ist die
bertragung von ca. 40-50 Seiten Faxdaten mglich.
Faxserver-Applikation
Bei der Auswahl der Applikationssoftware ist sowohl das Faxvolumen, das
ber den Faxserver abgewickelt werden soll, als auch die Anzahl der Benutzer
zu bercksichtigen.
Ist in der Organisation bereits ein E-Mail- bzw. Workflow-System vorhanden, Integration in ein E-Mail-
bzw. Workflow-System
so sollte eine Integration der Applikationssoftware mit diesen Systemen
mglich sein. Es ist dann z. B. denkbar, dass Faxeingnge und Fax-Ausgnge
zwischen dem Arbeitsplatzrechner des Benutzers und dem Faxserver ber das
bereits bestehende Workflow- bzw. E-Mail-System ausgetauscht werden.
Interessant ist in diesem Zusammenhang auch, ob und wie ggf. bestehende
Adressbcher bzw. Verteilerlisten mit den Adressbchern des Faxservers
synchronisiert werden knnen. Auerdem sollte die Archivierung von ein- und
ausgehenden Faxsendungen in bestehenden Workflow-Systemen mglich
sein.
Auch ist in die berlegungen mit einzubeziehen, wie Faxsendungen vom bertragung vom
Arbeitsplatz zum
Arbeitsplatz des Benutzers zum Faxserver gelangen und wo eine Umwand- Faxserver
lung der Daten in ein fr den Faxserver kompatibles Datenformat erfolgt. Die
Konvertierung der Faxdaten am Arbeitsplatz erfolgt beim Senden im Regelfall
mittels eines Druckertreibers oder einer besonderen Faxclient-Applikation.
Die konvertierten Daten knnen dann entweder ber E-Mail oder auch mittels
der Faxclient-Applikation an den Faxserver bermittelt werden. Denkbar ist
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1258
Manahmenkatalog Organisation M 2.181 Bemerkungen
___________________________________________________________________ ..........................................
auch, dass der Benutzer die konvertierten Daten in ein spezielles Verzeichnis
auf dem Faxserver kopiert. Schlielich gibt es Faxserver, bei denen eine
Druckerwarteschlange im Netz eingerichtet wird, in die die Faxdaten von der
Anwendungssoftware, z. B. einem Textverarbeitungsprogramm, geschrieben
werden. Auerdem ist es mglich, dass die Daten auf dem Faxserver komplett
konvertiert werden. In diesem Fall erstellt der Benutzer mit einer
entsprechenden Anwendungssoftware, z. B. einem Text-
verarbeitungsprogramm, die als Fax zu versendende Datei, die dann dem
Faxserver bergeben werden muss. Dies kann mittels E-Mail, einer entspre-
chenden Faxclient-Applikation oder durch Kopieren in ein auf dem Faxserver
freigegebenes Verzeichnis erfolgen. Zu bedenken ist, dass die Konvertierung
der Faxdaten am Arbeitsplatz dort Ressourcen verbraucht. Dies kann in der
Regel vernachlssigt werden, wenn nur wenige Faxe am Tag versendet
werden. Gerade bei Serien-Faxsendungen kann es aber passieren, dass der
Arbeitsplatzrechner fr lngere Zeit blockiert wird. Andererseits verlangt eine
Konvertierung auf dem Faxserver bei hoher Inanspruchnahme entsprechend
leistungsfhige Hard- und Software.
Schlielich sollten bei der Auswahl geeigneter Applikationssoftware auch die Protokollierung am
Faxserver
Protokollierungmglichkeiten am Faxserver mit bercksichtigt werden. Neben
den Fehlerprotokollen sind auch die Sendeprotokolle von Interesse. Zunchst
sollten den Benutzern durch den Faxserver die Sendeprotokolle zu den
jeweiligen Faxsendungen zur Verfgung gestellt werden. Nur so knnen die
Benutzer kurzfristig z. B. auf Verbindungsfehler reagieren. Weiterhin sollte
die Mglichkeit bestehen, die anfallenden Gebhren mittels der Sende-
protokolle zu ermitteln und auf die entsprechenden Kostenstellen zu verteilen.
Ein weiterer Einflussfaktor fr die Auswahl der Applikationssoftware ist die bertragung vom Fax-
server zum Arbeitsplatz
Frage, wie Faxeingnge den Empfnger erreichen. Die digitale Weiterleitung
von Faxeingngen ber das Netz wird auch als Fax-Routing bezeichnet.
Die technisch am einfachsten zu realisierende Mglichkeit ist natrlich der Ausdruck auf Papier
Ansatz, Faxeingnge an zentraler Stelle (Fax-Poststelle) auszudrucken und
den Ausdruck an den Empfnger weiterzuleiten. Der Vorteil dieser Lsung ist,
dass die Faxeingnge fr die Akten zentral ausgedruckt werden. Zudem
knnen die eingehenden Faxsendungen sowohl digital als auch manuell
archiviert werden. Auerdem sind bestehende Vertretungsregelungen pro-
blemlos zu bernehmen. Nachteilig an diesem Verfahren ist die u. U. daraus
entstehende Arbeitsbelastung der Fax-Poststelle. Auerdem stehen die Fax-
daten dann nicht in elektronischer Form an den Arbeitspltzen zur Verfgung.
Eine weitere Mglichkeit besteht darin, dass von der Fax-Poststelle Fax- manuelle Weiterleitung
mittels E-Mail
eingnge per E-Mail an den Empfnger gesandt werden. Der Nachteil dieses
Verfahrens besteht ebenfalls in der Arbeitsbelastung der Fax-Poststelle. Dabei
wird nicht automatisch von jedem Eingangs-Fax ein Ausdruck gefertigt. Wenn
ein solcher Ausdruck aus organisatorischen oder sonstigen Grnden
gewnscht wird, mssen entsprechende Regelungen getroffen werden.
Fr die automatische Weiterleitung von Eingangs-Faxsendungen an den automatische
Weiterleitung
Empfnger ber das Netz gibt es folgende Mglichkeiten:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1259
Manahmenkatalog Organisation M 2.181 Bemerkungen
___________________________________________________________________ ..........................................
a) Linerouting
Hier wird jeder Leitung ein fester Empfnger zugeordnet. Die Anzahl der
direkt erreichbaren Empfnger ist auf die Anzahl der zur Verfgung stehenden
Leitungen begrenzt.
b) Auswertung der Absenderkennung
Ein weiteres Verfahren stellt auf die bermittelte Absenderkennung eines
Faxeingangs (CSID - Call Subscriber ID) ab. Hierbei wird auf dem Faxserver
festgelegt, dass Faxeingnge bestimmter Absender jeweils an einen bestimm-
ten Empfnger weitergeleitet werden. Der Nachteil dieses Verfahrens besteht
darin, dass nur Faxeingnge bereits bekannter Absender automatisch weiter-
geleitet werden. Alle anderen Faxeingnge mssen manuell an die Empfnger
weitergeleitet werden. Problematisch ist zudem, dass Absenderkennungen
vom Absender frei gewhlt werden knnen und daher u. U. nicht zuverlssig
sind.
c) Signalisierung mittels ISDN
Sofern ISDN zum Einsatz kommt, gibt es weitere Mglichkeiten des automa-
tischen Fax-Routings. Hierbei muss allerdings zwischen dem so genannten
Mehrgerteanschluss und dem Anlagenanschluss unterschieden werden.
Bei einem Mehrgerteanschluss stehen 2 Leitungen und bis zu maximal
10 Rufnummern je Anschluss zur Verfgung. Die Rufnummern werden durch
die jeweilige Telefongesellschaft vergeben. Sofern im Faxserver eine ISDN-
Karte oder eine Faxkarte mit ISDN-Schnittstelle vorhanden ist, kann anhand
der durch den Sender benutzten Rufnummer der Empfnger bestimmt werden.
Aufgrund der Begrenzung auf 10 Rufnummern ist es somit auch nur mglich,
an maximal 10 Empfnger Faxeingnge automatisch zu verteilen.
Beim ISDN-Anlagenanschluss ist zwischen dem ffentlichen Telefonnetz und
dem organisationsinternen Telefonnetz eine Telekommunikationsanlage
geschaltet. Auch bei dieser Anschlussart kann der Faxserver die durch den
Sender benutzte Rufnummer erkennen und einen Faxeingang anhand dieser
Nummer automatisch zum entsprechenden Empfnger routen. Die maximal
mgliche Anzahl der Empfnger ist dabei deutlich hher. Die Realisierung
erfolgt dadurch, dass jeder Mitarbeiter, der vom Faxserver Faxeingnge erhal-
ten soll, eine zweite Durchwahlnummer erhlt. Die Telefonanlage leitet
Eingnge, die auf dieser zweiten Nummer erfolgen, direkt an den Faxserver
weiter. Einziger Nachteil dieses Verfahrens ist, dass der Rufnummernpool
einer Organisation strker belastet wird. Die Telekommunikationsanlage muss
also entsprechend leistungsfhig sein.
d) Auswertung des Empfngers mittels optischer Zeichenerkennung
Ein weiteres, aber wenig verbreitetes Verfahren zum automatischen Routing
von Faxeingngen ist die optische Zeichenerkennung (OCR). Dabei wird ver-
sucht, im Faxeingang z. B. im Anschriftenfeld, Namen oder Nummern zu
erkennen. Dieses Verfahren setzt leistungsfhige OCR-Software und entspre-
chende Rechenleistung sowie mglichst genormte Adressfelder bei Fax-
eingngen voraus.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1260
Manahmenkatalog Organisation M 2.181 Bemerkungen
___________________________________________________________________ ..........................................
e) weitere Verfahren
Es gibt zwei weitere Verfahren zur automatischen Weiterleitung von Fax-
eingngen, das Dual Tone Multi Frequency Verfahren und das Direct Inward
Dialing Verfahren. Da beide Verfahren in Deutschland nicht anwendbar sind,
werden sie hier nur aus Grnden der Vollstndigkeit erwhnt.
Die automatische Weiterleitung von eingehenden Faxsendungen hat den automatische Weiter-
leitung bei hohem
Vorteil, dass das Personal der Fax-Poststelle entlastet wird. Zudem erreichen Faxvolumen
eingehende Faxsendungen den Empfnger schneller. Nachteilig ist insbeson-
dere bei der Signalisierung mittels ISDN, dass der Rufnummernpool entspre-
chend belastet wird. Dafr ist die automatische Weiterleitung von Eingangs-
Faxsendungen hiermit am besten zu realisieren. Bei einem hohen Aufkommen
an eingehenden Faxsendungen sollte dieser Lsung der Vorzug gegeben
werden. Sofern eingehende Faxsendungen nur fr wenige Arbeitspltze bzw.
Gruppen bestimmt sind und berwiegend immer von den gleichen Absendern
kommen, ist die Auswertung der Absenderkennung auch eine praktikable
Lsung. Bei nur geringem Aufkommen an Eingangs-Faxsendungen kann die
manuelle Verteilung eine sinnvolle Alternative darstellen.
Ergnzende Kontrollfragen:
- Werden bei der Auswahl des Faxservers Kompatibilittsgesichtspunkte
bercksichtigt?
- Ist sichergestellt, dass das zu erwartende Faxvolumen durch die
ausgewhlten Kommunikationskarten bewltigt werden kann?
- Untersttzt die ausgewhlte Faxserver-Applikation alle bentigten
Leistungsmerkmale?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1261
Manahmenkatalog Organisation M 2.182 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1262
Manahmenkatalog Organisation M 2.183 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1263
Manahmenkatalog Organisation M 2.184 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1264
Manahmenkatalog Organisation M 2.184 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1265
Manahmenkatalog Organisation M 2.184 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1266
Manahmenkatalog Organisation M 2.184 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1267
Manahmenkatalog Organisation M 2.185 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1268
Manahmenkatalog Organisation M 2.185 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1269
Manahmenkatalog Organisation M 2.185 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1270
Manahmenkatalog Organisation M 2.185 Bemerkungen
___________________________________________________________________ ..........................................
sie von mglichst vielen Orten und Arbeitsumgebungen aus auf das lokale
Netz zugreifen knnen.
Unter dem Gesichtspunkt der IT-Sicherheit ist jedoch zu bercksichtigen, dass
die Verwendung von unterschiedlichen Zugangstechnologien in der Regel
auch unterschiedliche Zugangspunkte im Ziel-LAN erfordert. Generell ist ein
LAN, das ber mehrere externe Zugnge verfgt, einer greren Zahl von
Gefhrdungen ausgesetzt als ein LAN, das nur ber genau einen externen
Zugang erreichbar ist. Andererseits kann jedoch durch unterschiedliche
Zugangspunkte die Verfgbarkeit des RAS-Systems erhht werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1271
Manahmenkatalog Organisation M 2.186 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1272
Manahmenkatalog Organisation M 2.186 Bemerkungen
___________________________________________________________________ ..........................................
1.2 Wartbarkeit
- Ist das Produkt einfach wartbar?
- Bietet der Hersteller regelmige Software-Updates an?
- Wird fr das Produkt die Mglichkeit des Abschlusses von
Wartungsvertrgen angeboten?
- Knnen im Rahmen der Wartungsvertrge maximale Reakti-
onszeiten fr die Problembehebung festgelegt werden?
- Bietet der Hersteller einen kompetenten technischen
Kundendienst (Call-Center, Hotline) an, der in der Lage ist,
sofort bei Problemen zu helfen?
1.3 Zuverlssigkeit/Ausfallsicherheit
- Wie zuverlssig und ausfallsicher ist das Produkt?
- Bietet der Hersteller Hochverfgbarkeitslsungen an?
- Ist das Produkt im Dauerbetrieb einsetzbar?
1.4 Benutzerfreundlichkeit
- Lsst sich das Produkt einfach installieren, konfigurieren und
nutzen? Gengt das Produkt den geltenden Ergonomievor-
schriften?
- Ist insbesondere fr den RAS-Client die Benutzerfhrung so
gestaltet, dass auch ungebte Benutzer damit arbeiten knnen,
ohne Abstriche in der Sicherheit in Kauf nehmen zu mssen
(kontextsensitive Hilfen, Online-Dokumentation, schrittweise
Anleitung mit verstndlichen Erklrungen - "Wizards",
detaillierte Fehlermeldungen)?
- Ist die Nutzung des RAS-Clients so konfigurierbar, dass die
Benutzer mglichst wenig mit technischen Details belastet
werden? Ist die Sicherheit dabei trotzdem immer gewhrlei-
stet?
1.5 Kosten
- Wie hoch sind die Anschaffungskosten der Hard- und Soft-
ware?
- Wie hoch sind die voraussichtlichen laufenden Kosten der
Hard- und Software (Wartung, Betrieb, Support)?
- Wie hoch sind die voraussichtlichen laufenden Kosten fr das
Personal (RAS-Administrator/Revisor)?
- Mssen zustzliche Soft- oder Hardware-Komponenten ange-
schafft werden (z. B. Einwahl-Server, Server fr zustzliche
Authentisierungsdienste)?
- Wie hoch sind die Kosten fr die Schulung von Mitarbeitern
und Administratoren, die mit dem RAS-Produkt umgehen
werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1273
Manahmenkatalog Organisation M 2.186 Bemerkungen
___________________________________________________________________ ..........................................
2. Funktion
2.1 Installation und Inbetriebnahme
- Garantieren die Default-Einstellungen des RAS-Systems nach
der Installation eine sichere RAS-Konfiguration?
- Kann die Installation der RAS-Client-Software automatisiert
mit vorgegebenen Konfigurationsparametern erfolgen?
- Ist die Installation der RAS-Client-Software auch fr weniger
versierte Mitarbeiter durchfhrbar?
- Knnen wichtige Konfigurationsparameter vor Vernde-
rungen durch Benutzer geschtzt werden?
- Arbeitet das Produkt mit gngiger Hard- und Software
zusammen (Betriebssysteme, Einschubkarten, Treiber)?
- Ist das RAS-System mit gngigen Systemmanagement-
systemen kompatibel?
2.2 Verhalten im Fehlerfall
- Bleibt die Sicherheit des RAS-Zugangs auch nach einem
kritischen Fehler gewhrleistet (indem z. B. jegliche
Verbindungen nach einem Programmabbruch verhindert
werden)?
- Kann das Systemverhalten nach einem kritischen Fehler kon-
figuriert werden? Kann z. B. eingestellt werden, dass nach
einem kritischen Fehler automatisch ein Neustart durchgefhrt
oder der Administrator benachrichtigt wird?
2.3 Administration
- Enthlt die mitgelieferte Produktdokumentation eine genaue
Darstellung aller technischen und administrativen Details?
- Kann die Administration ber eine graphische Benutzer-
schnittstelle erfolgen, die sich intuitiv bedienen lsst? Ist die
administrative Schnittstelle so gestaltet, dass auf fehlerhafte,
unsichere oder inkonsistente Konfigurationen hingewiesen
wird oder diese verhindert werden?
- Wird neben der graphischen administrativen Schnittstelle auch
ein kommandozeilenbasiertes Interface angeboten?
- Ist der Zugriff auf die administrative Schnittstelle durch eine
adquate Zugriffskontrolle geschtzt, beispielsweise durch
Passworteingabe, Umsetzung eines Rollenkonzeptes
(Administrator, Revisor), Vier-Augen-Prinzip?
2.4 Protokollierung
- Bietet das Produkt Protokollierung an?
- Ist der Detailgrad der Protokollierung konfigurierbar? Werden
durch die Protokollierung alle relevanten Daten erfasst?
- Ist die Protokollierung so mglich, dass die Daten nach unter-
schiedlichen Kategorien erfasst werden knnen (z. B. verbin-
dungsorientiert, benutzerorientiert, protokollorientiert, dienst-
orientiert)?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1274
Manahmenkatalog Organisation M 2.186 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1275
Manahmenkatalog Organisation M 2.186 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1276
Manahmenkatalog Organisation M 2.187 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1277
Manahmenkatalog Organisation M 2.187 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden alle relevanten RAS-Komponenten (Client, Server, Netzkoppel-
elemente) durch die RAS-Sicherheitsrichtlinie erfasst?
- Wie wird die Einhaltung der RAS-Sicherheitsrichtlinie berprft?
- Unterliegt die RAS-Sicherheitsrichtlinie einer Fortschreibung, so dass
vernderte Rahmenbedingungen erfasst werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1278
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1279
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1280
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1281
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1282
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1283
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
- dass man sich von der Identitt seiner Gesprchspartner berzeugen sollte
bzw. keine voreiligen Schlussfolgerungen ziehen sollte, bevor Interna
weitergegeben werden.
Ein Mobiltelefon sollte mglichst nicht unbeaufsichtigt bleiben. Falls ein
Mobiltelefon in einem Kraftfahrzeug zurckgelassen werden muss, so sollte
das Gert von auen nicht sichtbar sein. Das Abdecken des Gertes oder das
Einschlieen in den Kofferraum bieten Abhilfe. Ein Mobiltelefon stellt einen
Wert dar, der potentielle Diebe anlocken knnte.
Wird das Mobiltelefon in fremden Brorumen vor Ort benutzt, so sind die
Sicherheitsregelungen der besuchten Organisation zu beachten.
In fremden Rumlichkeiten wie Hotelzimmern sollte ein Mobiltelefon nicht
ungeschtzt ausliegen. Alle Passwort-Schutzmechanismen sollten sptestens
jetzt aktiviert werden. Das Verschlieen des Gertes in einem Schrank behin-
dert Gelegenheitsdiebe.
Information ber Kosten
GSM-Telefonate werden zwar jedes Jahr preiswerter, es gibt aber einige
Optionen, die auf Dauer hohe Kosten verursachen knnen. Da sich die
Gebhrenstruktur hufig ndert, sollten sich die Benutzer regelmig
informieren, was welche Verbindungsarten, welche Verbindungszeiten und
andere Optionen kosten.
So kann bei der Nutzung von Mobilfunktelefonen auch die Entgegennahme
eines Anrufs Geld kosten, wenn sich der Angerufene z. B. im Ausland befin-
det oder eine Anrufweiterleitung ins Festnetz geschaltet hat. Da der Anrufer
nicht wissen kann, wo sich der Angerufene befindet, werden ihm die Weiter-
leitungskosten auch nicht in Rechnung gestellt.
Regelung der Erreichbarkeit
Auch mit einem Mobiltelefon kann oder will ein Benutzer nicht jederzeit
angerufen werden. So macht es einen schlechten Eindruck, wenn Mobiltele-
fone bei jeder Gelegenheit benutzt werden. Bei Besprechungen oder Vortr-
gen sollten Mobiltelefone mglichst ausgeschaltet werden. Zumindest sollte
der Klingelton abgeschaltet oder leise und unauffllig eingestellt sein. Bei
allen Gelegenheiten, bei denen ohnehin nicht frei gesprochen werden kann
(Besprechungen, Restaurant, etc.) sollte die Benutzung des Mobiltelefons von
vorneherein vermieden werden.
Andererseits sollte auch die Erreichbarkeit des Benutzers sichergestellt
werden. Dafr bieten sich verschiedene Mglichkeiten an, beispielsweise
- knnen Erreichbarkeits-Zeiten festgelegt werden,
- kann die Anrufbeantworter-Funktionalitt genutzt werden oder
- es kann eine Rufumleitung auf ein Sekretariat eingerichtet werden.
Nutzungsverbot von Mobiltelefonen
Es sollte berlegt werden, ob die Nutzung oder sogar das Mitbringen von
Mobiltelefonen in allen oder bestimmten Bereichen einer Behrde oder eines
Unternehmens eingeschrnkt werden sollte. Dies kann z. B. fr Besprechungs-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1284
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
rume sinnvoll sein (siehe dazu auch M 5.80 Schutz vor Abhren der
Raumgesprche ber Mobiltelefone). Wenn die IT-Sicherheitspolitik der
Institution es nicht zulsst, dass Mobiltelefone mitgebracht werden, muss an
allen Eingngen deutlich darauf hingewiesen werden. Dies sollte dann auch
regelmig kontrolliert werden.
Durch die Nutzung von Mobiltelefonen knnen unter Umstnden auch andere Mobiltelefon nicht auf
Server legen!
technische Gerte in ihrer Funktionsfhigkeit beeintrchtigt werden. Deswe-
gen mssen z. B. in Flugzeugen oder Intensivstationen Mobiltelefone ausge-
schaltet werden. Auch andere, empfindliche IT-Systeme knnen durch Mobil-
telefone gestrt werden. Dies ist z. B. schon in Serverrumen und Rechen-
zentren beobachtet worden. Mgliche Strungen sind umso unwahrschein-
licher, je geringer die Sendeleistung des Mobiltelefons ist bzw. je weiter
dieses entfernt ist.
Bei IT-Systemen, auf denen sensitive Daten verarbeitet werden oder die an ein Schutz vor der Daten-
weitergabe ber Mobil-
Rechner-Netz angebunden sind, sollten keine Mobilfunkkarten zugelassen telefone
werden (siehe auch M 5.81 Sichere Datenbertragung ber Mobiltelefone).
Einen absoluten Schutz gegen unberechtigte Datenweitergabe ber
Mobiltelefone - insbesondere bei Innenttern - gibt es nicht. Es sollte aber die
Mitnahme von Mobiltelefonen in sensitive Bereiche untersagt und die Umset-
zung dieses Verbotes regelmig berprft werden.
Telefonbuch
Im Telefonbuch eines Mobiltelefons knnen Rufnummern und zugehrige
Namen oder weitere Details gespeichert werden. Ein Telefonbuch kann im
Endgert, also dem Mobiltelefon, oder auf der SIM-Karte gespeichert werden.
Deren Inhalte mssen nicht bereinstimmen. Dementsprechend kann ber
PINs auch wahlweise der Zugriff auf das Telefonbuch im Speicher des End-
gerts und/oder der SIM-Karte geschtzt werden.
Ob Telefonnummern bevorzugt im Endgert oder auf der SIM-Karte gespei-
chert werden, hngt von verschiedenen Erwgungen ab, beispielsweise wie
einfach das Sichern der Daten auf anderen Medien ist (siehe M 6.72
Ausfallvorsorge bei Mobiltelefonen). Im Allgemeinen bietet sich das
Speichern der Daten auf der SIM-Karte an, da
- diese damit bei einem Wechsel der SIM-Karte auch auf anderen Gerten
zur Verfgung stehen und
- diese eventuell sensitiven Daten leicht aus dem Gert entfernt werden
knnen (wichtig z. B. bei Reparaturarbeiten oder Benutzerwechsel).
Es sollte mglichst nur eine Art der Speicherung gewhlt werden. In diesem
Telefonbuch sollten alle wichtigen Rufnummern gespeichert werden, damit
diese jederzeit verfgbar sind. Die gespeicherten Rufnummern sollten gele-
gentlich kontrolliert werden, ob sie noch korrekt bzw. notwendig sind. Alle
Rufnummern sollten so gespeichert werden, dass sie weltweit angerufen
werden knnen, d. h. inklusive Landes- und Ortsvorwahl. Da nur der Lnder-
code international abgestimmt ist, nicht die Null, sollte dazu jede Rufnummer
mit einem "+" am Anfang, gefolgt vom Lndercode (z. B. +49 fr Deutsch-
land), Ortsvorwahl ohne fhrende Null und dann Telefonnummer eingegeben
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1285
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
werden. Ein Eintrag knnte also wie folgt aussehen: +492289582369 GS-
Hotline.
Wenn das Mobiltelefon von mehreren Benutzern eingesetzt wird, sollten hier
nur die gemeinsam genutzten Telefonnummern gespeichert werden. Auer-
dem sollte die Mglichkeit genutzt werden, ber die vorhandenen Sperrmg-
lichkeiten nderungen am Telefonbuch zu verhindern.
Nutzung der Anrufbeantworter-Funktionalitt
ber die Netzbetreiber kann im Allgemeinen zu einem Mobiltelefon eine
Anrufbeantworter-Funktionalitt aktiviert werden. Eingehende Anrufe werden
dabei beim Netzbetreiber in einer so genannten Mail- oder Mobilbox
gespeichert, die vom Benutzer jederzeit abgerufen werden kann. Dies kann
sehr sinnvoll sein, verursacht aber in der Regel zustzliche Kosten.
Der Zugriff auf die Mailbox sollte durch eine PIN geschtzt werden. Selbst
wenn die Mailbox nicht genutzt wird, sollte die voreingestellte PIN schnell
gendert werden, um eine Fremdnutzung zu verhindern.
Eingegangene Aufzeichnungen sollten regelmig abgehrt werden. Alle
Benutzer mssen darber informiert werden, wie dies funktioniert.
Rufumleitung
Mit der Funktion Rufumleitung knnen eingehende Anrufe auf die Mailbox
oder auf eine andere Rufnummer weitergeleitet werden. Dafr gibt es mehrere
Varianten:
- Es knnen alle eingehenden Anrufe weitergeleitet werden.
- Anrufe werden nur dann weitergeleitet, wenn besetzt ist.
- Anrufe werden nur dann weitergeleitet, wenn der Anschluss nicht erreich-
bar ist, z. B. wegen eines Funklochs oder weil das Mobiltelefon ausge-
schaltet ist.
- Es knnen bestimmte Arten von Anrufen weitergeleitet werden, z. B.
Sprach-, Daten- oder Faxanrufe.
Dabei sollte allerdings bercksichtigt werden, dass Rufumleitungen auf Fest-
netzanschlsse hohe Kosten verursachen knnen, da der Angerufene die
Weiterleitungskosten selbst tragen muss.
Anrufsperrungen
ber Anrufsperrungen knnen Gesprche zu oder von einer Rufnummer
gesperrt werden. Diese Funktionen werden ber den Netzbetreiber zur Verf-
gung gestellt und knnen ber das Mobiltelefon gendert werden. Dafr ist im
Allgemeinen die Eingabe eines Passwortes erforderlich.
Anrufsperrungen knnen sinnvoll sein, wenn das Mobiltelefon an Dritte
weitergegeben werden soll. Es gibt verschiedene Mglichkeiten von Anruf-
sperrungen:
- Sperren aller abgehenden Anrufe
Damit knnen nur noch Anrufe empfangen, aber keine Rufnummern mit
Ausnahme von Notruf-Nummern mehr angerufen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1286
Manahmenkatalog Organisation M 2.188 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1287
Manahmenkatalog Organisation M 2.189 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1288
Manahmenkatalog Organisation M 2.190 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1289
Manahmenkatalog Organisation M 2.190 Bemerkungen
___________________________________________________________________ ..........................................
- Der Benutzer muss sicherstellen, dass vor Rckgabe des Gertes smtliche
Daten, die der Benutzer noch bentigt, auf ihm zugngliche Datentrger
(z. B. seinen PC) bertragen werden. Darber hinaus hat der Benutzer
selber dafr Sorge zu tragen, dass smtliche von ihm erzeugten Daten
(z. B. Telefonnummern) gelscht sind.
- Im Nummernspeicher des Mobiltelefons werden die zuletzt angerufenen
Rufnummern gespeichert. Ebenso werden die Rufnummern der letzten
Anrufer gespeichert, wenn die Funktion Anruferkennung verfgbar und
aktiviert ist. Diese sollten vor einem Benutzerwechsel gelscht werden.
Auerdem knnen in Telefonbchern sowohl im Mobiltelefon selbst als
auch auf der SIM-Karte Rufnummern gespeichert werden. Persnliche
Rufnummern sollten vor der Weitergabe ebenfalls gelscht werden. Die fr
die dienstliche Kommunikation wichtigen Rufnummern sollten allen
Benutzern dauerhaft zur Verfgung stehen.
- Im Mobiltelefon bzw. auf der SIM-Karte knnen auerdem Kurznachrich-
ten, Faxe oder E-Mails gespeichert sein. Auch diese sollten vor einer
Weitergabe gelscht werden.
Ergnzende Kontrollfragen:
- Werden die Benutzer bei der Ausgabe von Mobiltelefonen auf die Rege-
lungen und Sicherheitsmanahmen hingewiesen, die von ihnen einzuhalten
sind?
- Werden die Benutzer bei der Ausgabe von Mobiltelefonen auf deren
geeignete Aufbewahrung hingewiesen?
- Wird die Ausgabe und Rcknahme der Mobiltelefone dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1290
Manahmenkatalog Organisation M 2.191 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1291
Manahmenkatalog Organisation M 2.191 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1292
Manahmenkatalog Organisation M 2.191 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1293
Manahmenkatalog Organisation M 2.191 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1294
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1295
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
Befindet sich das IT-Sicherheitsmanagement erst im Aufbau, so sollte eine Zusammensetzung der
Entwicklungsgruppe zur Erarbeitung der IT-Sicherheitleitlinie eingerichtet Entwicklungsgruppe
werden. Diese Gruppe kann im Laufe des IT-Sicherheitsprozesses die
Funktion des IT-Sicherheitsmanagement-Teams bernehmen. Sinnvoller-
weise sollte in dieser Entwicklungsgruppe Vertreter der IT-Anwender,
Vertreter des IT-Betriebs und ein oder mehrere in Sachen IT-Sicherheit
ausreichend vorgebildete Mitarbeiter mitwirken. Idealerweise sollte zeit-
weise auch ein Mitglied der Leitungsebene, das die Bedeutung der IT fr
die Behrde oder das Unternehmen einschtzen kann, hinzugezogen
werden.
Weitere Hinweise sind M 2.193 Aufbau einer geeigneten
Organisationsstruktur fr IT-Sicherheit zu entnehmen.
3. Bestimmung der IT-Sicherheitsziele
Zunchst sollte abgeschtzt werden, welche Informationen und Informa- Klassifizierung von
IT-Anwendungen
tionsverarbeitungssysteme zur Aufgabenerfllung beitragen und welcher
Wert diesen beigemessen wird. Hierzu sollten vor allem die Informationen,
die technische Infrastruktur und die IT-Anwendungen der Behrde bzw.
des Unternehmens klassifiziert werden. Im Rahmen der IT-Sicherheit ist
hiermit vordringlich die Bedeutung der IT fr die Organisation und ihre
Aufgaben gemeint. Hier ist insbesondere die strategische und operative
Bedeutung der IT entscheidend. Daher ist es wichtig, sich ber den mate-
riellen Wert der IT selbst hinaus klarzumachen, wie stark die Aufgaben-
erfllung innerhalb der Organisation von der eingesetzten IT und deren
reibungslosem Funktionieren abhngt. Fragen zur Beurteilung der Abhn-
gigkeit sind beispielsweise:
- Welche kritischen Aufgaben der Behrde bzw. des Unternehmens
knnen ohne Untersttzung durch IT nicht, nur unzureichend oder
mit erheblichem Mehraufwand ausgefhrt werden?
- Welche wesentlichen Entscheidungen der Behrde bzw. des Unter-
nehmens beruhen auf Vertraulichkeit, Integritt und Verfgbarkeit
von Informationen und Informationsverarbeitungssystemen?
- Welche Auswirkungen haben absichtliche oder ungewollte
IT-Sicherheitszwischenflle?
- Werden mit der eingesetzten IT Informationen verarbeitet, deren
Vertraulichkeit besonders zu schtzen ist?
- Hngen wesentliche Entscheidungen von der Korrektheit und
Aktualitt von Informationen ab, die mit IT verarbeitet werden?
Mit Hilfe dieser berlegungen kann nun festgelegt werden, welches Ma
an IT-Sicherheit fr die jeweilige Organisation ausreichend und ange-
messen ist.
Nachstehend sind einige Beispielkriterien fr eine solche Einschtzung
aufgefhrt. Hierbei spielt die Bedeutung der IT, die spezifische Gefhr-
dungslage und die relevanten Gesetzesvorgaben eine entscheidende Rolle.
Anhand derjenigen Aussagen, die am ehesten zutreffen, lsst sich das
IT-Sicherheitsniveau (niedrig, mittel, hoch oder maximal) bestimmen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1296
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
Maximal:
- Der Schutz vertraulicher Informationen muss gewhrleistet sein und
in sicherheitskritischen Bereichen strengen Vertraulichkeitsanforde-
rungen gengen.
- Die Informationen mssen im hchsten Mae korrekt sein.
- Die zentralen Aufgaben der Institution sind ohne IT-Einsatz nicht
durchfhrbar. Knappe Reaktionszeiten fr kritische Entscheidungen
fordern stndige Prsenz der aktuellen Informationen, Ausfallzeiten
sind nicht akzeptabel.
Insgesamt gilt: Der Ausfall der IT fhrt zum totalen Zusammenbruch der
Institution oder hat schwerwiegende Folgen fr breite gesellschaftliche
oder wirtschaftliche Bereiche.
Hoch:
- Der Schutz vertraulicher Informationen muss hohen gesetzlichen
Anforderungen gengen und in sicherheitskritischen Bereichen
strker ausgeprgt sein.
- Die verarbeiteten Informationen mssen korrekt sein, auftretende
Fehler mssen erkennbar und vermeidbar sein.
- In zentralen Bereichen der Institution laufen zeitkritische Vorgnge
oder es werden dort Massenaufgaben wahrgenommen, die ohne
IT-Einsatz nicht zu erledigen sind; es knnen nur kurze Ausfall-
zeiten toleriert werden.
Insgesamt gilt: Im Schadensfall tritt Handlungsunfhigkeit zentraler
Bereiche der Institution ein; Schden haben erhebliche Beeintrchtigungen
der Institution selbst oder betroffener Dritter zur Folge.
Mittel:
- Der Schutz von Informationen, die nur fr den internen Gebrauch
bestimmt sind, muss gewhrleistet sein.
- Kleinere Fehler knnen toleriert werden. Fehler, die die Aufgaben-
erfllung erheblich beeintrchtigen, mssen jedoch erkenn- oder
vermeidbar sein.
- Lngere Ausfallzeiten, die zu Terminberschreitungen fhren, sind
nicht zu tolerieren.
Insgesamt gilt: Schden haben Beeintrchtigungen der Institution zur
Folge.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1297
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
Niedrig:
- Vertraulichkeit von Informationen ist nicht gefordert.
- Fehler knnen toleriert werden, solange sie die Erledigung der
Aufgaben nicht vllig unmglich machen.
- Dauernder Ausfall ist zu vermeiden, lngere Ausfallzeiten sind
jedoch hinnehmbar.
Insgesamt gilt: Schden haben nur eine unwesentliche Beeintrchtigung
der Institution zur Folge.
Ein bestimmtes Ma an IT-Sicherheit ist immer nur mit einem entspre- Wirtschaftlichkeit
chenden Aufwand zu erreichen und aufrechtzuerhalten. Deshalb ist beim
Festlegen des IT-Sicherheitsniveaus fr die jeweilige Organisation darauf
zu achten, das dieses auch unter Kostenaspekten vertretbar bzw. finanzier-
bar ist.
Das nachstehende Diagramm soll verdeutlichen, wie viel Aufwand in Aufwand-Nutzen
Relation zu dem angestrebten IT-Sicherheitsniveau zu betreiben ist. Dieser
Aufwand bietet eine Orientierung fr die personellen, zeitlichen und mone-
tren Ressourcen, die zur Umsetzung des IT-Sicherheitsniveaus auch not-
wendig sind. Eine Orientierung fr den monetren Aufwand kann der in
der Privatwirtschaft betriebene Aufwand von durchschnittlich 5% der
IT-Investitionssumme pro Jahr fr IT-Sicherheit bieten.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1298
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1299
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1300
Manahmenkatalog Organisation M 2.192 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1301
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1302
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1303
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1304
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1305
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1306
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1307
Manahmenkatalog Organisation M 2.193 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1308
Manahmenkatalog Organisation M 2.194 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1309
Manahmenkatalog Organisation M 2.194 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Liegt eine Liste vorhandener und geplanter IT-Systeme vor? Enthlt sie
alle notwendigen Informationen?
- Liegt ein aktueller Vernetzungsplan vor?
- Wird die Bestandsliste und der Vernetzungsplan regelmig auf Vollstn-
digkeit und Aktualitt hin berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1310
Manahmenkatalog Organisation M 2.195 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1311
Manahmenkatalog Organisation M 2.195 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1312
Manahmenkatalog Organisation M 2.195 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1313
Manahmenkatalog Organisation M 2.195 Bemerkungen
___________________________________________________________________ ..........................................
Das Sicherheitskonzept ist ein Dokument, das in der Praxis hufiger herange- Strukturierung
zogen wird, um konkrete Sicherheitsmanahmen bezglich ihrer Umsetzung
oder ihrer Aktualitt zu berprfen. Daher sollte es so strukturiert sein, dass
- spezifische Bereiche schnell gefunden werden knnen,
- es mit minimalem Aufwand aktualisiert werden kann und
- ausreichend dokumentiert sein, damit im Vertretungsfall ein Dritter sicher-
heitsspezifische Aufgaben bernehmen kann.
Hier bietet es sich an, ein Sicherheitskonzept nach Zustndigkeiten oder im
thematischem Zusammenhang zu gliedern. So sollte ein auf IT-Grundschutz
basierendes Sicherheitskonzept nach der untersuchten Organisations- bzw.
nach der Netzstruktur gegliedert sein.
Ein Sicherheitskonzept kann Informationen beinhalten, die nicht beliebig Vertraulichkeit
weitergegeben werden sollten, so zum Beispiel ber noch nicht beseitigte
Schwachstellen. Die Vertraulichkeit dieser Informationen ist sicherzustellen,
indem ausschlielich den Betroffenen die fr sie relevanten Teile zugnglich
gemacht werden. Eine entsprechende Gliederung des Sicherheitskonzeptes
kann dies untersttzen.
Ergnzende Kontrollfragen:
- Existiert ein IT-Sicherheitskonzept?
- Wann wurde es zuletzt aktualisiert?
- Wo befindet sich das Konzept?
- Wer darf darauf zugreifen?
- Ist jeder zumindest ber die ihn unmittelbar betreffenden Teile des
Sicherheitskonzeptes informiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1314
Manahmenkatalog Organisation M 2.196 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1315
Manahmenkatalog Organisation M 2.196 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1316
Manahmenkatalog Organisation M 2.197 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1317
Manahmenkatalog Organisation M 2.197 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1318
Manahmenkatalog Organisation M 2.198 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1319
Manahmenkatalog Organisation M 2.198 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1320
Manahmenkatalog Organisation M 2.199 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1321
Manahmenkatalog Organisation M 2.199 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1322
Manahmenkatalog Organisation M 2.199 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1323
Manahmenkatalog Organisation M 2.199 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1324
Manahmenkatalog Organisation M 2.200 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1325
Manahmenkatalog Organisation M 2.200 Bemerkungen
___________________________________________________________________ ..........................................
Bei der Abfassung der Managementreports sollte bercksichtigt werden, dass kurz und verstndlich
der Leserkreis sich in der Regel nicht aus technischen Experten zusammen-
setzt. Entsprechend sollte sich der Text durch grtmgliche Verstndlichkeit
und Knappheit auszeichnen. Die Verfasser sollten gezielt die wesentlichen
Punkte - insbesondere also bestehende Schwachstellen, aber auch erreichte
Erfolge - herausarbeiten und nicht versuchen, ein "vollstndiges" Bild zu
vermitteln.
Zum Abschluss des Managmentreports - insbesondere bei anlassbezogenen Entscheidungsvorlage
Berichten - sollten immer klar priorisierte und mit realistischen Abschtzun-
gen des zu erwartenden Umsetzungsaufwands versehene Manahmenvor-
schlge stehen. Hierdurch wird sichergestellt, dass eine notwendige Entschei-
dung der Leitungsebene ohne unntige Verzgerungen herbeigefhrt werden
kann.
Wenn irgend mglich, sollte der Managementreport "IT-Sicherheit" der Zusammenarbeit mit der
Leitungsebene
Leitungsebene nicht nur schriftlich unterbreitet, sondern auch durch ein
Mitglied des IT-Sicherheitsmangement-Teams prsentiert werden. Eine solche
persnliche bergabe erffnet zum einen die Mglichkeit, auf wesentliche
Schwerpunkte, insbesondere auf bestehende oder drohende Sicherheitsmngel
mit besonderem Nachdruck hinzuweisen. Zum anderen steht der anwesende
IT-Sicherheitsverantwortliche auch direkt fr Nachfragen oder weitergehende
Erluterungen zur Verfgung, was wiederum erfahrungsgem zu einer
Beschleunigung des Entscheidungsvorgangs fhrt. Nicht zuletzt bietet ein
solcher persnlicher Kontakt die Mglichkeit, einen "kleinen Dienstweg" zu
etablieren, dessen Existenz sich in dringenden Notfllen als sehr hilfreich
erweisen kann. Alternativ bzw. ergnzend zur persnlichen Prsentation des
Managementreports sollte berlegt werden, ob ein Mitglied der Leitungsebene
des Unternehmens oder der Behrde mit entsprechendem fachlichen Hinter-
grund und Interesse vorab als Ansprechpartner zur Verfgung steht. Auch so
knnen Leitungsentscheidungen besser vorbereitet und Probleme schon im
Voraus entschrft werden.
Zur kontinuierlichen Verfolgung des IT-Sicherheitsprozesses sollten smtliche Dokumentation
Managementreports zur IT-Sicherheit ggf. mit Vermerken ber die getroffe-
nen Entscheidungen in geordneter Weise zusammen mit den sonstigen IT-
sicherheitsrelevanten Dokumenten archiviert werden und allen Sicherheits-
verantwortlichen bei Bedarf kurzfristig zugnglich sein (siehe M 2.201
Dokumentation des IT-Sicherheitsprozesses).
Da die Managmentreports zur IT-Sicherheit im Allgemeinen sensitiven Infor- Vertraulichkeit
mationen ber bestehende Sicherheitslcken und Restrisiken enthalten, ist
deren Vertraulichkeit sicherzustellen. Eine Weitergabe an unbefugte Personen
ist zuverlssig auszuschlieen.
Ergnzende Kontrollfragen:
- Werden die Managementreports "IT-Sicherheit" zusammen mit sonstigen
relevanten Dokumenten zum IT-Sicherheitsprozess archiviert?
- Gibt es innerhalb des Unternehmens oder der Behrde "geeignete" Mit-
glieder der Leitungsebene, mit denen der Managementreport vorab abge-
stimmt und seine Vorlage vorbereitet werden kann?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1326
Manahmenkatalog Organisation M 2.201 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1327
Manahmenkatalog Organisation M 2.202 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1328
Manahmenkatalog Organisation M 2.202 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind die Leitaussagen und Regelungen zur IT-Sicherheit dokumentiert?
- Stehen diese Dokumente allen betroffenen Mitarbeitern zur Verfgung?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1329
Manahmenkatalog Organisation M 2.203 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1330
Manahmenkatalog Organisation M 2.204 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1331
Manahmenkatalog Organisation M 2.205 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1332
Manahmenkatalog Organisation M 2.205 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1333
Manahmenkatalog Organisation M 2.206 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1334
Manahmenkatalog Organisation M 2.206 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1335
Manahmenkatalog Organisation M 2.207 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1336
Manahmenkatalog Organisation M 2.207 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1337
Manahmenkatalog Organisation M 2.208 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1338
Manahmenkatalog Organisation M 2.208 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1339
Manahmenkatalog Organisation M 2.208 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1340
Manahmenkatalog Organisation M 2.209 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1341
Manahmenkatalog Organisation M 2.209 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1342
Manahmenkatalog Organisation M 2.210 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1343
Manahmenkatalog Organisation M 2.210 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1344
Manahmenkatalog Organisation M 2.210 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1345
Manahmenkatalog Organisation M 2.211 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1346
Manahmenkatalog Organisation M 2.211 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1347
Manahmenkatalog Organisation M 2.212 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1348
Manahmenkatalog Organisation M 2.212 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wird kontrolliert, ob die Mitarbeiter der beauftragten Reinigungsfirma die
ausgegebenen Schlssel bzw. Ausweise vertragsgem verwenden?
- Sind die Reinigungskrfte ber den Umgang mit der IT ausreichend
informiert?
- Werden die Reinigungskrfte in besonders sensitiven Bereichen bei der
Arbeit beaufsichtigt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1349
Manahmenkatalog Organisation M 2.213 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1350
Manahmenkatalog Organisation M 2.214 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1351
Manahmenkatalog Organisation M 2.214 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1352
Manahmenkatalog Organisation M 2.214 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1353
Manahmenkatalog Organisation M 2.214 Bemerkungen
___________________________________________________________________ ..........................................
- Die Struktur der verwendeten Namens- und Nummernrume sollte mg- unntige Ausnahmen
lichst einfach, allgemein und ohne unntige Ausnahmen sein, auch wenn vermeiden
dies bedeutet, dass die Bezeichnungen lnger werden (z. B. mehr Ziffern
enthalten). Anderenfalls besteht die Gefahr, dass die Bezeichnungen fehl-
interpretiert oder von gngigen Produkten nicht verarbeitet werden knnen.
- Bei der Konzeption ist das absehbare mittelfristige Wachstum zu berck- Reserven einplanen
sichtigen, das durch den Namens- bzw. Nummernraum versorgt werden
muss. In jedem Fall sind grozgige Reserven einzuplanen. Nachtrgliche
Erweiterungen oder Migrationen auf grere Namens- oder Nummern-
rume sind oft zeit- und kostenintensiv.
- Wenn Kollisionen, d. h. mehrfache Vergabe des gleichen Bezeichners oder Kollisionen auflsen
der gleichen Nummer, durch das generelle Vergabesystem mglich sind, so
ist im Konzept festzulegen, wie diese aufgelst werden. Ein wichtiges
Beispiel ist die Konvention Vorname.Nachname fr E-Mail-Adressen. Hier
muss im Konzept definiert werden, welche Adressen ersatzweise vergeben
werden, wenn in der Behrde bzw. im Unternehmen zwei oder mehr
Mitarbeiter mit gleichen Vor- und Nachnamen beschftigt werden.
Schnittstellendefinitionen fr das Zusammenspiel der Komponenten
Die Informationsverarbeitung geschieht in der Regel durch eine Vielzahl
kleiner Verarbeitungsschritte, die durch geeignete Hardware- oder Software-
Komponenten untersttzt werden. Der Datentransfer zwischen diesen
Komponenten erfolgt in der Regel ber Dateien, Datenbanken oder Netze.
Um einen reibungslosen IT-Betrieb gewhrleisten zu knnen ist es daher Schnittstellen definieren
und dokumentieren
erforderlich, die Schnittstellen fr das Zusammenspiel der einzelnen Kompo-
nenten klar zu definieren. Alle Schnittstellendefinitionen sollten dokumentiert
werden, sofern sie nicht von den verwendeten Komponenten her selbstver-
stndlich sind.
Wichtige Aspekte von Schnittstellendefinitionen zwischen IT-Komponenten Standardformate und
Standardprotokolle
sind beispielsweise Datei- und Datenformate sowie Netzprotokolle. Um bei verwenden
Bedarf einzelne Komponenten mglichst problemlos austauschen zu knnen
(Investitionsschutz) und um auf praxisbewhrte Lsungen zurckgreifen zu
knnen, sollten so weit wie mglich Standardformate und Standardprotokolle
verwendet werden, beispielsweise EDI, XML und HTTP.
Alle nderungen an Schnittstellendefinitionen zwischen den verwendeten IT- Auswirkungen auf die IT-
Sicherheit prfen
Komponenten mssen dokumentiert und in Bezug auf Auswirkungen auf die
Sicherheit des IT-Verbunds geprft werden. Falls erforderlich ist das IT-
Sicherheitskonzept entsprechend zu ergnzen bzw. anzupassen.
Ergnzende Kontrollfragen:
- Gibt es Richtlinien fr IT-Verfahrensablufe und den sicheren IT-Betrieb?
- Wurden Hausstandards fr verwendete Hardware- und Software-Kompo-
nenten festgelegt?
- Existiert ein bergreifendes Konzept fr den Einsatz von Namens-, Adress-
und Nummernrumen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1354
Manahmenkatalog Organisation M 2.215 Bemerkungen
___________________________________________________________________ ..........................................
M 2.215 Fehlerbehandlung
Verantwortlich fr Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich fr Umsetzung: Benutzer, Administrator
Alle Fehler, die IT-Systeme oder Kommunikationsverbindungen betreffen,
mssen gemeldet und protokolliert werden. Hiervon sind natrlich alle
Fehlermeldungen ausgenommen, die aufgrund von Plausibilittsprfungen
angezeigt werden, also z. B. durch fehlerhafte Benutzereingaben
hervorgerufen werden. Es muss gewhrleistet sein, dass die gemeldeten Fehler
schnellstmglich behoben werden.
Die Untersuchung und Beseitigung von Fehlern sollte nur von entsprechend Information der Benutzer
geschultem Personal durchgefhrt werden. Alle Benutzer sollten darber
informiert sein, wer beim Auftreten von Fehlern oder Problemen mit IT-
Systemen zu benachrichtigen ist. Auerdem sollten die Benutzer ber Fehler,
die das Arbeiten mit IT-Systemen beeintrchtigen knnen, informiert werden,
ebenso ber deren Behebung.
Die Protokolle ber gemeldete Fehler sollten folgende Angaben enthalten: Protokollierung
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1355
Manahmenkatalog Organisation M 2.215 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Gibt es ein festgelegtes Verfahren fr die Fehlerbehandlung?
- Werden Fehler ausschlielich von der fachlich zustndigen Stelle beseitigt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1356
Manahmenkatalog Organisation M 2.216 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1357
Manahmenkatalog Organisation M 2.217 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1358
Manahmenkatalog Organisation M 2.217 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden die Mitarbeiter regelmig auf den sorgfltigen Umgang mit
Informationen hingewiesen?
- Sind alle Informationen entsprechend ihrem Schutzbedarf eingestuft
worden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1359
Manahmenkatalog Organisation M 2.218 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1360
Manahmenkatalog Organisation M 2.218 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1361
Manahmenkatalog Organisation M 2.219 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1362
Manahmenkatalog Organisation M 2.220 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1363
Manahmenkatalog Organisation M 2.220 Bemerkungen
___________________________________________________________________ ..........................................
verfahren eingesetzt werden, also solche die z. B. auf dem Einsatz von
Einmalpasswrtern oder dem Besitz von Chipkarten basieren.
Beim Anmeldevorgang sollten keine Informationen ber das IT-System oder
den Fortschritt der Anmeldeprozedur angezeigt werden, bis dieser erfolgreich
abgeschlossen ist. Es sollte dabei darauf hingewiesen werden, dass der Zugriff
nur autorisierten Benutzern gestattet ist. Die Authentikationsdaten drfen erst
dann berprft werden, wenn sie vollstndig eingegeben wurden. Weitere
Anforderungen an die Authentikationsmechanismen finden sich in M 4.133
Geeignete Auswahl von Authentikations-Mechanismen.
Ergnzende Kontrollfragen:
- Gibt es Richtlinien fr die Zugriffs- bzw. Zugangskontrolle?
- Gibt es Standard-Rechteprofile fr verschiedene Funktionen bzw.
Aufgaben?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1364
Manahmenkatalog Organisation M 2.221 Bemerkungen
___________________________________________________________________ ..........................................
M 2.221 nderungsmanagement
Verantwortlich fr Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: Administratoren, Fachverantwortliche
Bei der Komplexitt heutiger IT-Systeme knnen bereits kleine nderungen
an laufenden Systemen zu Sicherheitsproblemen fhren, z. B. durch uner-
wartetes Systemverhalten oder Systemausflle.
In Bezug auf IT-Sicherheit ist es Aufgabe des nderungsmanagements, neue
Sicherheitsanforderungen zu erkennen, die sich aus nderungen an IT-Syste-
men ergeben. Sind signifikante Hardware- oder Software-nderungen an
einem IT-System geplant, so sind die Auswirkungen auf die Sicherheit des
Gesamtsystems zu untersuchen. nderungen an einem IT-System drfen nicht
zu einer Verringerung der Effizienz von einzelnen Sicherheitsmanahmen und
damit einer Gefhrdung der Gesamtsicherheit fhren.
Daher sollte es Richtlinien fr die Durchfhrung von nderungen an IT- Richtlinien fr nde-
rungen
Komponenten, Software oder Konfigurationsdaten geben (siehe M 4.78
Sorgfltige Durchfhrung von Konfigurationsnderungen). Alle nderungen
an IT-Komponenten, Software oder Konfigurationsdaten sollten geplant,
getestet, genehmigt und dokumentiert werden. Es ist dafr Sorge zu tragen,
dass auf alle sicherheitsrelevanten nderungen angemessen reagiert wird.
Dazu gehren zum Beispiel:
- nderungen an IT-Systemen (neue Applikationen, neue Hardware, neue
Netzwerkverbindungen, Modifikationen an der eingesetzten Software,
Einspielen von Sicherheitspatches, Aufrstung der Hardware, ...),
- nderungen in der Aufgabenstellung oder in der Wichtigkeit der Aufgabe
fr die Institution,
- nderungen in der Benutzerstruktur (neue, etwa externe oder anonyme,
Benutzergruppen),
- rumliche nderungen, z. B. nach einem Umzug.
Bevor nderungen genehmigt und durchgefhrt werden, muss durch Prfung Rckfalllsung
und Test der geplanten Aktionen sichergestellt werden, dass das Sicherheits-
niveau whrend und nach der nderung erhalten bleibt. Wenn Risiken, insbe-
sondere fr die Verfgbarkeit, nicht ausgeschlossen werden knnen, muss die
Planung auch eine Rckfalllsung vorsehen und Kriterien vorgeben, wann
diese zum Tragen kommen soll.
Alle nderungen und die dazugehrigen Entscheidungsgrundlagen sind zu Dokumentation der
nderungen
dokumentieren. Dies gilt sowohl in der Betriebs- als auch in einer Testum-
gebung.
Beim nderungsmanagement ist das Berechtigungskonzept zur Durchfhrung
von nderungen ein wichtiger Punkt:
- Nur diejenigen, die nderungen durchfhren drfen, sollten Zugriffs-
berechtigungen auf die dafr relevanten Systembereiche haben.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1365
Manahmenkatalog Organisation M 2.221 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1366
Manahmenkatalog Organisation M 2.222 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1367
Manahmenkatalog Organisation M 2.223 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1368
Manahmenkatalog Organisation M 2.223 Bemerkungen
___________________________________________________________________ ..........................................
jede freie Minute von Kollegen mit Terminen besetzt wird. Dies fhrt dann
dazu, dass groe Zeitrume auf Vorrat blockiert werden.
Daneben kann es auch zu anderen Problemen kommen, z. B. durch zu
grozgige Rechtevergabe (siehe auch G 3.20 Ungewollte Freigabe des
Leserechtes bei Schedule+).
Es sollte daher Richtlinien fr die Verwendung vernetzter Terminkalender
und die hierbei zu beachtenden Zugriffsrechte geben. Diese sollten frh-
zeitig mit dem Personal- bzw. Betriebsrat abgestimmt werden. Bei der
Einfhrung von vernetzten Terminkalendern sollten auerdem alle Mitar-
beiter in den richtigen Umgang damit eingewiesen werden.
- automatischer Start von CD-ROMs
Unter allen neueren Windows-Betriebssystemen knnen CD-ROMs auto-
matisch erkannt und gestartet werden. Dadurch knnen auch Schad-
programme wie Viren oder Trojanische Pferde auf den Rechner gelangen
werden. Die automatische CD-ROM-Erkennung sollte daher ausgeschaltet
werden (siehe M 4.57 Deaktivieren der automatischen CD-ROM-Erken-
nung).
- OLE (Object Linking And Embedding, Dienst zum Verknpfen und
Einbetten von Objekten)
ber OLE-Funktionen knnen Objekte in Dateien eingebettet werden.
Diese werden in vielen Office-Produkten benutzt, um Informationen
anderen Programmen zur Verfgung zu stellen. Hierber kann beispiels-
weise eine in Excel erstellte Tabelle in einem Word-Dokument eingebettet
werden. Damit werden aber nicht nur die in dem Tabellenausschnitt
dargestellte Informationen, sondern u. U. alle in der Excel-Datei enthal-
tenen Informationen in die Word-Datei bertragen. Wenn die Word-Datei
dann weitergegeben wird, kann der Empfnger dann auch die Excel-Datei
einsehen und sogar verndern, auch wenn diese durch ein Passwort lese-
oder schreibgeschtzt war.
Um dies zu verhindern, sollte in diesem Beispiel die Tabelle als Text in die
Word-Datei kopiert werden. Nur wenn die Ursprungs-Excel-Datei keine
anderen Informationen enthlt, als solche, die weitergegeben werden
sollen, sollte sie in einer andere Datei eingebettet werden. Dies kann z. B.
durch Anlegen einer neuen Excel-Datei erreicht werden (siehe auch M 4.64
Verifizieren der zu bertragenden Daten vor Weitergabe / Beseitigung von
Restinformationen).
- PostScript /ghostscript
In PostScript-Dateien kann es zu Problemen hnlich wie bei Makro-Viren
kommen. Bei Anzeige-Programmen fr PostScript handelt es sich um
Interpreter, die die PostScript-Sprache abarbeiten. Ab Level 2.0 der
PostScript-Spezifikation gibt es auch PostScript-Befehle, um Dateien zu
schreiben. Dadurch ist es mglich, PostScript-Dateien zu erzeugen, die
whrend der Bearbeitung durch einen Interpreter, auch bereits bei der
Anzeige am Bildschirm, andere Dateien modifizieren, lschen oder umbe-
nennen knnen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1369
Manahmenkatalog Organisation M 2.223 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1370
Manahmenkatalog Organisation M 2.223 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1371
Manahmenkatalog Organisation M 2.224 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1372
Manahmenkatalog Organisation M 2.224 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1373
Manahmenkatalog Organisation M 2.225 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1374
Manahmenkatalog Organisation M 2.226 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1375
Manahmenkatalog Organisation M 2.226 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden externe Mitarbeiter mit lngerfristigen Aufgaben auf die Ein-
haltung der einschlgigen Gesetze und Vorschriften verpflichtet?
- Werden externe Mitarbeiter geregelt in ihre Aufgaben eingearbeitet und
ber bestehende Regelungen zur IT-Sicherheit unterrichtet?
- Werden bei smtlichen eingerichteten Zugangsberechtigungen die
Zugriffsrechte bei Auftragsende entzogen bzw. gelscht?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1376
Manahmenkatalog Organisation M 2.227 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1377
Manahmenkatalog Organisation M 2.227 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1378
Manahmenkatalog Organisation M 2.227 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1379
Manahmenkatalog Organisation M 2.227 Bemerkungen
___________________________________________________________________ ..........................................
M 4.147 Sichere Nutzung von EFS unter Windows 2000, sowie unter
M 4.148 berwachung eines Windows 2000 Systems.
- Das Migrations-Konzept: Der vllige Neuaufbau eines Windows 2000 Migrations-Konzept
Systems stellt normalerweise nicht den Regelfall dar. Vielmehr besteht
regelmig der Wunsch oder die Notwendigkeit, existierende, meist
Windows NT-basierte Netze auf Windows 2000 umzustellen. Dabei muss
die so genannte Migration sorgfltig geplant, vorbereitet und durchgefhrt
werden. Eine allgemeine Empfehlung, welche der verschiedenen Migrati-
onskonzepte zur Anwendung kommen sollen, kann nicht gegeben werden,
da dies vom zu migrierenden Netz abhngt. Generell muss jedoch schon
bei der Planung des Windows 2000 Netzes bedacht werden, dass das Netz
ber einen lngeren Zeitraum als heterogenes Netz betrieben werden muss,
das migrierte und auch nicht migrierte Komponenten enthalten wird.
Insbesondere ist zu beachten, dass whrend der Migration die Sicherheit
des Systems - im Vergleich zu einem reinen Windows 2000 System -
gefhrdet sein kann. Dies geschieht u. U. durch Fehler bei der Migration,
durch nicht kompatible Konfigurationsparameter oder aber durch die
Notwendigkeit der Rckwrtskompatibilitt fr Sicherheitseinstellungen.
Hinweise zu typischen Sicherheitsproblemen bei der Migration sind in
M 2.233 Planung der Migration von Windows NT auf Windows 2000 zu
finden.
- Das Auditing/Protokollierungs-Konzept: Um die Sicherheit in einem Auditing und
Protokollierung
Windows 2000 System gewhrleisten zu knnen, muss das Einhalten der
festgelegten Sicherheitsrichtlinien (siehe M 2.228 Festlegen einer Windows
2000 Sicherheitsrichtlinie) berwacht werden. Dazu stellt Windows 2000,
wie auch schon Windows NT, einen ereignisbasierten Protokollierungs-
Mechanismus zur Verfgung. Die im Rahmen eines Auditing-Konzeptes
zu beachtenden Sicherheitsaspekte sind in der Manahme
M 4.148 berwachung eines Windows 2000 Systems zusammengefasst.
- Das IPSec-Konzept: Fr die Kommunikationsabsicherung auf Transport- IPSec-Konzept
ebene stellt Windows 2000 eine IPSec-konforme Implementierung zur
Verfgung. Durch IPSec knnen alle IP-basierten Kommunikationsver-
bindungen von und zu einem Rechner abgesichert werden. Dabei ist es
mglich, die Endpunkte der Kommunikation zu authentisieren und die
Datenpakete signiert und verschlsselt zu bertragen, so dass die Integritt
und Vertraulichkeit der Daten gewhrleistet werden kann. Empfehlungen
fr die Konfiguration der IPSec-Komponenten sind in Manahme
M 5.90 Einsatz von IPSec unter Windows 2000 zusammengefasst.
Neben diesen Teilkonzepten knnen je nach Einsatzszenario auch weitere
Konzepte notwendig werden, wie z. B. Internet-Konzept oder Software-
verteilungs-Konzept, die dann in der Planungsphase bercksichtigt werden
mssen. So basiert beispielsweise die Windows 2000 Authentisierung auf dem
Kerberos-Protokoll. Hierbei werden Zeitstempel benutzt, um u. a. die Gltig-
keit von Authentisierungsdaten zu beschrnken. Daher mssen die System-
uhren aller Rechner, die mit Kerberos arbeiten, innerhalb eines Toleranz-
intervalls synchronisiert sein. Standardmig erfolgt der regelmige Uhren-
abgleich automatisch durch Windows 2000 selbst. Sofern jedoch auf eine
externe Zeitquelle synchronisiert werden soll, ist dazu ein Konzept zu
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1380
Manahmenkatalog Organisation M 2.227 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1381
Manahmenkatalog Organisation M 2.228 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1382
Manahmenkatalog Organisation M 2.228 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1383
Manahmenkatalog Organisation M 2.228 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1384
Manahmenkatalog Organisation M 2.228 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1385
Manahmenkatalog Organisation M 2.228 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1386
Manahmenkatalog Organisation M 2.228 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1387
Manahmenkatalog Organisation M 2.229 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1388
Manahmenkatalog Organisation M 2.229 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1389
Manahmenkatalog Organisation M 2.229 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1390
Manahmenkatalog Organisation M 2.229 Bemerkungen
___________________________________________________________________ ..........................................
gesteuert. Pro Site muss mindestens ein Rechner existieren, der eine Kopie des
Global Catalogs hlt. Der Global Catalog muss im Rahmen des Anmelde-
prozesses eines Benutzers angefragt werden, so dass bei der Anmeldung
immer ein Global Catalog-Server zugreifbar sein muss. Die von Windows
2000 automatisch aufgebaute Standortstruktur sollte an die behrden- oder
unternehmensinternen Gegebenheiten, wie z. B. Standorte in verschiedenen
Stdten oder Lndern, individuell angepasst werden. Da dies Einfluss auf die
AD-Replikationsbeziehungen hat, ist dazu jedoch ein Konzept zu erstellen.
Im Rahmen der AD Planung sind folgende Aspekte zu bercksichtigen:
- Welche AD-Struktur im Sinne der Aufteilung in Domnen und welche
Anordnung der Domnen in Bume und Wlder soll gewhlt werden?
- Welche Benutzer und Rechner sollen in welchen Domnen zusammen-
gefasst werden?
Fr jede Domne muss entschieden werden,
- welche OU-Objekte existieren sollen, wie diese hierarchisch angeordnet
werden und welche Objekte diese jeweils aufnehmen sollen,
- welche Sicherheitsgruppen bentigt werden und wie diese in OUs zusam-
mengefasst werden,
- welches administrative Modell umgesetzt wird (zentrale/dezentrale
Verwaltung),
- ob und an wen administrative Aufgaben delegiert werden sollen,
- welche Sicherheitseinstellungen fr verschiedene Typen von Rechnern und
Benutzergruppen gelten sollen,
- welche Einstellungen bei den Gruppenrichtlinien bentigt werden und nach
welchem Konzept die Gruppenrichtlinien verteilt werden (siehe
M 2.231 Planung der Gruppenrichtlinien unter Windows 2000),
- welche Vertrauensstellungen von Windows 2000 automatisch generiert
werden und welche zustzlichen Vertrauensstellungen (z. B. zu NT-
Domnen oder externen Kerberos-Realms) eingerichtet werden mssen,
- auf welche AD-Informationen ber die verschiedenen AD-Schnittstellen
(z. B. ADSI, LDAP) von wem zugegriffen werden drfen,
- welche AD-Objekte in den so genannten Global Catalog bernommen
werden sollen, auf den in einem Forest global zugegriffen werden kann,
- in welchem Modus die Domne betrieben werden muss: mssen in einer
Domne noch Windows NT Backup-Domnen-Controller (BDCs) betrie-
ben werden, so muss die Domne im "Mixed-Mode" betrieben werden.
Sind keine BDCs vorhanden, kann die Domne im "Native-Mode" betrie-
ben werden.
Generell muss die geplante AD-Struktur dokumentiert werden, dies trgt
mageblich zur Stabilitt, konsistenten Administration und damit zur System-
sicherheit bei. Es empfiehlt sich insbesondere festzuhalten, welche Schema-
nderungen durchgefhrt werden. Dabei sollten auch die Grnde fr die
nderung dokumentiert sein.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1391
Manahmenkatalog Organisation M 2.229 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1392
Manahmenkatalog Organisation M 2.229 Bemerkungen
___________________________________________________________________ ..........................................
- Administrative Delegation wird durch die Vergabe von Zugriffsrechten auf Administrative
AD-Objekte und deren Attribute erreicht. Die Verteilung der Zugriffs- Delegation
rechte muss gem dem administrativen Modell erfolgen. Durch die
Mechanismen fr Zugriffsrechte im AD (Vererbung, Kontrolle der
Vererbung, Wirkungsbereich von Zugriffseinstellungen) knnen sehr
komplexe Berechtigungsstrukturen aufgebaut werden. Diese knnen sehr
schnell unbersichtlich und nicht mehr administrierbar werden, so dass
sich durch Fehlkonfigurationen im AD Sicherheitslcken ergeben knnen.
Eine mglichst einfache Berechtigungsstruktur ist daher vorzuziehen.
- Schemanderungen sind kritische Operationen und drfen nur von autori- Schemanderungen
sorgfltig planen
sierten Administratoren nach sorgfltiger Planung durchgefhrt werden.
Abschlieend sei darauf hingewiesen, dass Fehler in der AD-Planung und den
zugrunde liegenden Konzepten nach erfolgter Installation nur mit betrcht-
lichem Aufwand zu berichtigen sind. Nachtrgliche Vernderungen in der
AD-Struktur, wie z. B. die Anordnung von Domnen in Bume und Forests,
ziehen u. U. das komplette Neuaufsetzen von Domnen nach sich.
Ergnzende Kontrollfragen:
- Wurde eine AD-Planung durchgefhrt?
- Sind alle Beteiligten in die Planung einbezogen worden?
- Ist ein bedarfsgerechtes AD-Berechtigungskonzept entworfen worden?
- Sind administrative Delegationen mit restriktiven und bedarfsgerechten
Berechtigungen ausgestattet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1393
Manahmenkatalog Organisation M 2.230 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1394
Manahmenkatalog Organisation M 2.230 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1395
Manahmenkatalog Organisation M 2.230 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1396
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1397
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1398
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1399
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
Kennwortrichtlinie
Richtlinie Computereinstellung
Kennwortchronik erzwingen 6 Gespeicherte Kennwrter
Kennwrter mssen den Komplexittsanforderungen Aktiviert
entsprechen.
Kennwrtern fr alle Domnenbenutzer mit umkehr- Deaktiviert
barer Verschlsselung speichern
Maximales Kennwortalter 90 Tage
Minimale Kennwortlnge 6 Zeichen
Minimales Kennwortalter 1 Tag
Kontosperrungsrichtlinien
Richtlinie Computereinstellung
Kontensperrungsschwelle 3 Ungltige Anmeldeversuche
Kontosperrdauer 0 (Hinweis: Konto ist gesperrt, bis Administrator
Sperrung aufhebt)
Kontosperrungszhler zurcksetzen nach 30 Minuten
Kerberos-Richtlinie
Richtlinie Computereinstellung
Benutzeranmeldeeinschrnkungen erzwingen Aktiviert
Max. Gltigkeitsdauer des Benutzertickets 8 Stunden
Max. Gltigkeitsdauer des Diensttickets 60 Minuten
Max. Toleranz fr die Synchronisation des 5 Minuten
Computertakts
Max. Zeitraum, in dem ein Benutzerticket erneuert 1 Tag
werden kann
berwachungsrichtlinie
Richtlinie Computereinstellung
Active Directory-Zugriff berwachen Erfolgreich, Fehlgeschlagen
Anmeldeereignisse berwachen Erfolgreich, Fehlgeschlagen
Anmeldeversuche berwachen Erfolgreich, Fehlgeschlagen
Kontenverwaltung berwachen Erfolgreich, Fehlgeschlagen
Objektzugriffsversuche berwachen Fehlgeschlagen
Prozessverfolgung berwachen Keine berwachung
Rechteverwendung berwachen Fehlgeschlagen
Richtliniennderungen berwachen Erfolgreich, Fehlgeschlagen
Systemereignisse berwachen Erfolgreich, Fehlgeschlagen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1400
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1401
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
Sicherheitsoptionen
Richtlinie Computereinstellung
Administrator umbenennen Nicht definiert
Anwender vor Ablauf des Kennworts zum ndern 7 Tage
des Kennworts auffordern
Anwendern das Installieren von Druckertreibern nicht Aktiviert
erlauben
Anzahl zwischenzuspeichernder vorheriger Anmel- 0 Anmeldungen
dungen (fr den Fall, dass der Domnencontroller
nicht verfgbar ist)
Auslagerungsdatei des virtuellen Arbeitspeichers Aktiviert
beim Herunterfahren des Systems lschen
Auswerfen von NTFS-Wechselmedien zulassen Administratoren
Benutzer automatisch abmelden, wenn die Anmelde- Aktiviert
zeit berschritten wird (lokal)
Benutzer nach Ablauf der Anmeldezeit automatisch Aktiviert
abmelden
Clientkommunikation digital signieren (immer) Deaktiviert
Clientkommunikation digital signieren (wenn Aktiviert
mglich)
Die Verwendung des Sicherungs- und Wieder- Deaktiviert
herstellungsrechts berprfen
Gastkonto umbenennen Nicht definiert
Herunterfahren des Systems ohne Anmeldung Deaktiviert
zulassen
LAN Manager-Authentifizierungsebene Nur NTLMv2-Antworten senden\LM verweigern
Leerlaufzeitspanne bis zur Trennung der Sitzung 15 Minuten
Letzten Benutzernamen nicht im Anmeldedialog Aktiviert
anzeigen
Nachricht fr Benutzer, die sich anmelden wollen Nicht definiert
Nachrichtentitel fr Benutzer, die sich anmelden Nicht definiert
wollen
Serverkommunikation digital signieren (immer) Deaktiviert
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1402
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
Sicherheitsoptionen (Fortsetzung)
Richtlinie Computereinstellung
Serverkommunikation digital signieren (wenn mg- Aktiviert
lich)
Serveroperatoren das Einrichten von geplanten Tasks Nicht definiert
erlauben (Nur fr Domnencontroller)
Sicherer Kanal: Daten des sicheren Kanals digital Aktiviert
signieren (wenn mglich)
Sicherer Kanal: Daten des sicheren Kanals digital Aktiviert
verschlsseln (wenn mglich)
Sicherer Kanal: Daten des sicheren Kanals digital Deaktiviert
verschlsseln oder signieren (immer)
Sicherer Kanal: Starker Sitzungsschlssel erforderlich Deaktiviert (Hinweis: In reinen Windows 2000
(Windows 2000 oder hher) Umgebungen aktivieren)
Standardberechtigungen globaler Systemobjekte (z. Aktiviert
B. symbolischer Verknpfungen) verstrken
STRG+ALT+ENTF-Anforderung zur Anmeldung Deaktiviert (Hinweis: D. h. STRG+ALT+ENTF ist
deaktivieren erforderlich)
System sofort herunterfahren, wenn Sicherheitsber- Deaktiviert
prfungen nicht protokolliert werden knnen
Systemwartung des Computerkontokennworts nicht Deaktiviert
gestatten
Unverschlsseltes Kennwort senden, um Verbindung Deaktiviert
mit SMB-Servern von Drittanbietern herzustellen
Verhalten bei der Installation von nichtsignierten Warnen, aber Installation zulassen
Dateien (auer Treibern)
Verhalten bei der Installation von nichtsignierten Warnen, aber Installation zulassen
Treibern
Verhalten beim Entfernen von Smartcards Computer sperren
Weitere Einschrnkungen fr anonyme Verbindungen Kein Zugriff ohne explizite anonyme Berechtigung
Wiederherstellungskonsole: Automatische Deaktiviert
administrative Anmeldungen zulassen
Wiederherstellungskonsole: Kopieren von Disketten Deaktiviert
und Zugriff auf alle Laufwerke und alle Ordner
zulassen
Zugriff auf CD-ROM-Laufwerke auf lokal ange- Aktiviert
meldete Benutzer beschrnken
Zugriff auf Diskettenlaufwerke auf lokal angemeldete Aktiviert
Benutzer beschrnken
Zugriff auf globale Systemobjekte prfen Deaktiviert
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1403
Manahmenkatalog Organisation M 2.231 Bemerkungen
___________________________________________________________________ ..........................................
Ereignisprotokoll
Richtlinie Computereinstellung
Anwendungsprotokoll aufbewahren fr Nicht definiert
Aufbewahrungsmethode des Anwendungsprotokolls Ereignisse bei Bedarf berschreiben
Aufbewahrungsmethode des Sicherheitsprotokolls Ereignisse bei Bedarf berschreiben Hinweis: Im
Hochsicherheitsbereich ist folgende Einstellung zu
whlen: Ereignisse nicht berschreiben (Protokoll
manuell aufrumen)
Aufbewahrungsmethode des Systemprotokolls Ereignisse bei Bedarf berschreiben
Gastkontozugriff auf Anwendungsprotokoll Aktiviert
einschrnken
Gastkontozugriff auf Sicherheitsprotokoll Aktiviert
einschrnken
Gastkontozugriff auf Systemprotokoll einschrnken Aktiviert
Maximale Gre des Anwendungsprotokolls 30080 Kilobytes
Maximale Gre des Sicherheitsprotokolls 100992 Kilobytes
Maximale Gre des Systemprotokolls 30080 Kilobytes
Sicherheitsprotokoll aufbewahren fr Nicht definiert
System bei Erreichen der max. Sicherheitsprotokoll- Deaktiviert (Hinweis: Fr Hochsicherheitssysteme
gre herunterfahren aktivieren)
Systemprotokoll aufbewahren fr Nicht definiert
Ergnzende Kontrollfragen:
- Wurde das GPO-Konzept bedarfsgerecht entworfen?
- Sind alle GPOs durch restriktive Zugriffsrechte geschtzt?
- Sind fr alle GPO-Parameter in allen GPOs Vorgaben festgelegt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1404
Manahmenkatalog Organisation M 2.232 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1405
Manahmenkatalog Organisation M 2.232 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1406
Manahmenkatalog Organisation M 2.232 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1407
Manahmenkatalog Organisation M 2.232 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wurde eine bedarfsgerechte PKI-Planung durchgefhrt?
- Ist die CA-Hierarchie mit allen Verantwortlichkeiten und Nutzungsbe-
stimmungen dokumentiert?
- Wurde eine Root-CA bestimmt?
- Sind alle CA-Rechner abgesichert?
- Wurde festgelegt, welcher Benutzer welche Zertifikate erhlt?
- Wurden alle Parameter - wie etwa die Gltigkeit - fr alle Zertifikatstypen
definiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1408
Manahmenkatalog Organisation M 2.233 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1409
Manahmenkatalog Organisation M 2.233 Bemerkungen
___________________________________________________________________ ..........................................
Im Rahmen der Migration einer Domne ist zustzlich von Bedeutung, ob native mode oder mixed
nach Abschluss der Migration weiterhin Windows NT Backup-Domnen- mode
Controller (BDC) innerhalb der Domne betrieben werden oder nicht. Davon
hngt ab, ob die Windows 2000 Domne im so genannten "nativen Modus"
(native mode) oder im so genannten "gemischten Modus" (mixed mode)
betrieben werden kann. Im gemischten Modus untersttzen die Windows 2000
Domnen-Controller weiterhin alle Mechanismen und Protokolle, um mit den
BDCs wie ein Windows NT Primrer Domnen-Controller (PDC) zu kommu-
nizieren. Dies hat jedoch den Nachteil, dass auch unter Windows 2000
bestimmte Funktionen, die von Windows NT nicht untersttzt werden, nicht
genutzt werden knnen. Existieren nach der Migration keine Windows NT
BDCs im Netz, so kann die Windows 2000 Domne in den nativen Modus
geschaltet werden. Es sei an dieser Stelle darauf hingewiesen, dass auch
Client- oder Server-Rechner mit lteren Windows Versionen durchaus
Mitglied in einer Windows 2000 Domne sein knnen, die im nativen Modus
betrieben wird. Vor der Umstellung einer Domne auf den nativen Modus ist
zu beachten, dass diese Umstellung nicht wieder rckgngig gemacht werden
kann. Eine Rckkehr zu einer Windows NT-Domne ist dann nicht mehr
mglich.
Die wesentlichen Einschrnkungen des gemischten Modus sind:
- Es existiert eine Greneinschrnkung der Windows NT SAM.
- Folgende, unter Windows 2000 neu eingefhrte Gruppentypen und Funkti-
onen stehen nicht zur Verfgung:
- Universelle Sicherheitsgruppen
- Domnen-lokale Gruppen
- Verschachtelte Gruppen
- Transitive Kerberos-Vertrauensstellungen
Vorteilhaft am gemischten Modus ist, dass jederzeit wieder auf Windows NT
umgestellt werden kann, indem ein vorhandener Windows NT BDC zum PDC
heraufgestuft wird, nachdem alle Windows 2000 Domnen-Controller vom
Netz genommen worden sind.
Fr die eigentliche Rechnerumstellung auf Windows 2000 kann grob
zwischen folgenden Verfahren unterschieden werden, die sich im wesent-
lichen im zustzlichen Hardware-Bedarf unterscheiden:
1. In-place-Umstellung: Bei dieser Umstellungsart kommt die jeweilige In-place-Umstellung
Update-Version von Windows 2000 zum Einsatz. Auf die Rechner wird -
nach vorheriger Datensicherung - Windows 2000 aufgespielt. Dabei wird
das Vorgngersystem durch Windows 2000 ersetzt und analog zur existie-
renden Version konfiguriert. Bei dieser Variante ist keine zustzliche
Hardware notwendig. Nachteilig ist jedoch, dass der umzustellende
Rechner whrend der Umstellung nicht zur Verfgung steht.
2. Migration durch parallelen Aufbau eines separaten Windows 2000 Netzes: separates Netz
Bei dieser Migrationsart wird parallel zum existierenden Netz ein quiva-
lentes Windows 2000 Netz aufgebaut. Nach erfolgreichem Aufbau des
Parallelnetzes wird dieses genutzt. Vorteilhaft ist hierbei, dass das existie-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1410
Manahmenkatalog Organisation M 2.233 Bemerkungen
___________________________________________________________________ ..........................................
rende System nicht beeinflusst wird. Nachteilig ist hier jedoch der hohe
Bedarf an zustzlicher Hardware.
3. Rollende Migration: Bei dieser Variante der parallelen Migration wird das rollende Migration
existierende Netz in Teilbereiche aufgeteilt. Die Teilbereiche werden dann
nacheinander auf Windows 2000 umgestellt. Dabei wird zunchst jeweils
fr das Teilnetz eine parallele Struktur aufgebaut, die dann nach erfolgtem
Aufbau genutzt wird. Die so freigesetzte Hardware des Altsystems kann
dann fr den Aufbau des parallelen Systems des nchsten Teilsystems
genutzt werden.
Fr die Migrationsreihenfolge von Rechnern kann unterschieden werden
zwischen:
1. Client-Update-first: Hierbei werden zunchst die Arbeitsplatzrechner auf
Windows 2000 umgestellt und innerhalb der existierenden NT Domne
betrieben. Danach werden die Server und die Domne nach Windows 2000
migriert. Vorteil dieser Umstellungsart ist, dass Benutzer bereits mit der
neuen Bedienoberflche arbeiten knnen, ohne dass serverseitig wichtige
Systemdienste umgestellt werden mssen.
2. Server-Update-first: Hierbei werden zunchst die Server auf Windows
2000 umgestellt. In der Regel erfolgt dabei zunchst eine Domnen-
Umstellung und die Server werden in die Windows 2000 Domne integ-
riert. Danach erfolgt die Umstellung der Clients. Vorteil dieser Umstel-
lungsart ist, dass Benutzer mit dem gewohnten Client-Betriebssystem
arbeiten knnen und die Umstellung der wichtigen Systemdienste im
Hintergrund vollzogen werden kann.
Wie bereits erwhnt, kann an dieser Stelle keine Empfehlung fr eine der
Migrationsvarianten gegeben werden. Generell sind fr die Planung der
Migration jedoch folgende Aspekte zu bedenken:
- Es muss ein realistischer Zeitplan fr die Migration erstellt werden. Im Zeitplan erstellen
Laufe der Migrationsplanung muss mit Angleichungen des Zeitplanes
gerechnet werden.
- Es muss sichergestellt sein, dass die existierenden Betriebssysteme auf
Windows 2000 umgestellt werden knnen: So ist es z. B. nicht mglich,
Windows NT 3.51 direkt auf Windows 2000 umzustellen. Hier muss eine
Zwischenumstellung, z. B. auf Windows 95/98 oder NT 4.0, eingeplant
werden.
- Die existierende Domnenstruktur muss erfasst werden. Nur so kann eine
korrekte Planung der Windows 2000 Domnenstruktur erfolgen.
- Es muss ein Notfallplan erstellt werden, der sicherstellt, dass bei einem Notfallplan erstellen
fehlgeschlagenen Migrationsversuch ein operatives System schnell wieder-
hergestellt werden kann.
- Der Migrationsplan muss eine Strategie zur Umstellung der Domain
Controller festlegen (In-place-Upgrade, Parallel-Upgrade, Reihenfolge).
- Die Reihenfolge, in der die existierenden Domnen umgestellt werden
sollen, muss festgelegt werden. Da die erste umgestellte Domne die Rolle
der so genannten Forest-Root-Domne (FRD) erhlt, ist die Wahl der
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1411
Manahmenkatalog Organisation M 2.233 Bemerkungen
___________________________________________________________________ ..........................................
Domne, die als erste umgestellt werden soll, besonders wichtig. Es kann
u. U. sinnvoll sein, keine der existierenden Domnen mit der Rolle der
FRD zu betrauen und die FRD vllig neu zu erzeugen.
- Fr jede Domne muss entschieden werden, ob und wann diese in den
nativen Modus umgeschaltet wird. Ziel einer Migration sollte immer die
vollstndige Umschaltung aller Domnen in den nativen Modus sein.
- Im Rahmen der Migrationsplanung sollte entschieden werden, ob eine Sollen Domnen
restrukturiert werden?
Restrukturierung der Domnen notwendig oder gewnscht ist. Ist dies der
Fall, muss der Restrukturierungsprozess geplant werden.
- Fr jede Domne muss die Migration von Benutzern und Benutzergruppen Wie und wann werden
Benutzer und Gruppen
geplant werden. Es ist dabei darauf zu achten, dass die Migration Einfluss migriert?
auf die Zugriffsberechtigungen hat, da sich die SID eines Benutzerkontos
bei der Migration ndert. Windows 2000 bietet hier den Mechanismus der
so genannten SID-History an, der es einem nach Windows 2000 migrierten
Benutzerkonto erlaubt, unter der Pr-Windows 2000 Identitt (SID) auf
Ressourcen zuzugreifen. Es ist hierbei darauf zu achten, dass einerseits die
SID-History nach der vollstndigen Migration fr alle Benutzerkonten
gelscht wird und andererseits nicht alle Windows 2000 Vorgngerver-
sionen SID-Histories untersttzen, z. B. Windows NT 3.51.
- Fr jede Domne muss die Migration von Rechnern, also Clients und Wie und wann werden
Clients und Server
Servern, geplant werden. Es ist dabei darauf zu achten, ob insbesondere die migriert?
Migration von Applikationsservern problemlos mglich ist, oder ob
bestimmte Applikationen eine Migration verhindern, weil diese beispiels-
weise auf einem BDC installiert sein mssen. Werden Clients vor Servern
auf Windows 2000 umgestellt und ohne Windows 2000 Active Directory
Untersttzung betrieben, so muss bercksichtigt werden, dass nach
Umstellung der Server auf Windows 2000 und Einfhrung des Active
Directory u. U. eine nochmalige Neuinstallation der Clients notwendig ist,
um deren gewnschte Systemkonfiguration sicherzustellen.
- Whrend der Migration existieren Windows 2000 Domnen und (meist) Vertrauensstellung
zwischen alten und
Windows NT Domnen nebeneinander. Der Zugriff auf Ressourcen der NT neuen Domnen
Domne kann dabei auch ber schon nach Windows 2000 migrierte Benut-
zerkonten erfolgen. Zwischen Windows 2000 Domnen und Windows NT
Domnen muss jedoch eine explizite Vertrauensstellung definiert werden,
damit der Zugriff erfolgen kann. Es sollten hierbei nur die notwendigen
Vertrauensstellungen erzeugt werden. Es empfiehlt sich auerdem, NT-
Kontendomnen vor NT-Ressourcendomnen auf Windows 2000 umzu-
stellen. Dadurch muss die Vertrauensstellung nur einseitig von den NT-
Ressourcendomnen fr eine Windows 2000 Domne erfolgen.
- Bei der Durchfhrung der Migration werden in der Regel diverse Migrati- Welche Tools werden
eingesetzt?
onswerkzeuge eingesetzt. In der Migrationsplanung muss auch der Werk-
zeugeinsatz geplant werden. Es ist festzulegen, welche Werkzeuge fr
welche Migrationsschritte zum Einsatz kommen sollen.
- Whrend der technischen Migrationsvorbereitung findet in der Regel eine
Informationssammelphase statt, bei der - meist werkzeuggesttzt -
Systeminformationen, wie Benutzerkonten, Zugriffsrechte usw., zusam-
mengetragen werden. Damit die benutzten Werkzeuge auf diese Infor-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1412
Manahmenkatalog Organisation M 2.233 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1413
Manahmenkatalog Organisation M 2.234 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1414
Manahmenkatalog Organisation M 2.234 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1415
Manahmenkatalog Organisation M 2.234 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1416
Manahmenkatalog Organisation M 2.235 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1417
Manahmenkatalog Organisation M 2.235 Bemerkungen
___________________________________________________________________ ..........................................
Auerdem sollte in den Richtlinien vorgegeben werden, welche Daten auf Umgang mit Daten aus
dem Internet-PC abgespeichert werden drfen und welche Verzeichnisse hier- dem Internet
fr vorgesehen sind. Es muss auch geregelt werden, unter welchen Bedingun-
gen Daten vom Internet-PC in das Hausnetz oder umgekehrt transportiert
werden drfen.
In beiden Fllen ist mindestens eine Prfung auf Computer-Viren durchzu-
fhren. Fr den Import von Daten und Programmen ins Hausnetz wird der
Einsatz eines Schleusen-PCs empfohlen.
Falls eine lokale Datenhaltung auf dem Internet-PC vorgesehen ist, muss
geregelt werden, ob die Benutzer fr eine evtl. erforderliche Datensicherung
selbst verantwortlich sind oder ob dies automatisch bzw. durch die Administ-
ration geschieht. Dies ist besonders wichtig, wenn der Internet-PC fr E-Mail,
Banking, elektronische Beschaffung oder hnliche Aufgaben eingesetzt wird.
Die Benutzer mssen darber belehrt werden, welche Angebote, z. B. illegale unerlaubte Inhalte
Inhalte, Pornographie oder Extremismus, auf keinen Fall genutzt werden
drfen. Auerdem mssen die Benutzer darber belehrt werden, dass sie sich
bei der Nutzung des Internets an geltende Rechtsvorschriften und die
"Netiquette" halten mssen, da sie ja im Namen der Behrde bzw. des Unter-
nehmens agieren.
Fr die Einwahl beim Internet Service Provider oder fr die lokale Anmel- Umgang mit
Authentisierungsdaten
dung am Internet-PC werden meist Passwrter bentigt. In den Richtlinien
sollte vorgegeben werden, welches Format und welche (Mindest-)lnge diese
Passwrter haben und wie oft sie gendert werden mssen.
Falls eine Benutzer-Authentisierung im Einsatzkonzept vorgesehen ist, sind
die Benutzer darber zu belehren, dass sie mit den Authentisierungs-
geheimnissen sorgfltig umgehen und sich vom System abmelden mssen,
wenn sie den Internet-PC verlassen.
Schlielich sollte festgelegt werden, ob das fr die Einwahl beim Internet
Service Provider bentigte Passwort abgespeichert werden darf oder ob es bei
jeder Einwahl erneut eingegeben werden muss. Diese Entscheidung sollte auf
einer Einschtzung beruhen, wie gro die Gefahr einer missbruchlichen
Nutzung der Internet-Anbindung im vorliegenden Einsatzumfeld ist. Ein dop-
pelter Zugangsschutz (erst Benutzeranmeldung, dann Eingabe des Einwahl-
passwortes) wird von Benutzern oft nicht akzeptiert.
Je nach Anwendungsfall und Einsatzumgebung mssen unter Umstnden
weitere Richtlinien oder Regelungen fr den Internet-PC getroffen werden.
Ergnzende Kontrollfragen:
- Wurden fr die Nutzung des Internet-PCs alle erforderlichen Richtlinien
festgelegt?
- Sind die Richtlinien allen Benutzern des Internet-PCs bekannt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1418
Manahmenkatalog Organisation M 2.236 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1419
Manahmenkatalog Organisation M 2.236 Bemerkungen
___________________________________________________________________ ..........................................
In einem eDirectory-Baum gibt es immer eine ausgezeichnete Wurzel, die eine Wurzel- und
Zertifizierungsstelle
gewisse Sonderstellung besitzt: sie wird bestimmt durch den ersten Server, der
in einem Baum installiert wird. Auf diesem Server luft die Zerti-
fizierungsstelle (CA) des Baums, der Voraussetzung fr die Einbindung
weiterer eDirectory-Server in den Baum ist. Die CA kann spter auch auf
einen anderen eDirectory-Server verschoben werden. Smtliche weiteren
eDirectory-Installationen mssen sich bei dem gegebenen eDirectory-Baum
anmelden. Dabei muss der genaue Kontext, in dem der eDirectory-Server in
einen bestehenden Baum eingebunden wird, angegeben werden. Ein spteres
Verschieben der eDirectory-Server ist nur sehr schwer mglich, so dass der
Server-Kontext im Voraus geplant werden muss.
Die ersten drei eDirectory-Server eines Baums erhalten automatisch eine voll- automatische
Replizierung
stndige Replica der Verzeichnisdaten, die weiteren nicht mehr - sofern dies
nicht explizit so konfiguriert wird.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1420
Manahmenkatalog Organisation M 2.236 Bemerkungen
___________________________________________________________________ ..........................................
Nach einer Standardinstallation existiert eine zunchst einfache eDirectory- Baumstruktur sorgfltig
Struktur, die von eDirectory angelegt wird und dann entsprechend der Planung planen
verndert werden kann. Da eDirectory primr der Verwaltung von IT-Res-
sourcen dient, sollte beim Aufbau der eDirectory-Baumstruktur darauf geach-
tet werden, dass die Struktur vornehmlich auf administrative Gegebenheiten
abgestimmt wird. Wenn stattdessen zwanghaft die organisatorische Unter-
nehmensstruktur bis ins Kleinste nachgebildet wird, kann dies zu Problemen
in der Administration fhren.
Es ist weiterhin darauf zu achten, dass die gewhlte Baumstruktur nicht zu Baumstruktur nicht zu
flach whlen
flach ist, damit sich die Replizierung zwischen den eDirectory-Servern nicht
auf den gesamten Baum auswirkt. Der Ausfall eines einzelnen eDirectory-
Servers oder der Verbindung dieses Servers zum Restsystem fhrt anderen-
falls zu Fehlermeldungen smtlicher in den Replizierungsring eingebundener
Server.
Die mglichen Anordnungen von eDirectory-Objekten, d. h. welches Objekt Vorsicht bei
Schemanderungen
welche anderen Objekte enthalten darf, welche Attribute existieren und aus
welchen Attributen Objekte zusammengesetzt werden, wird durch das so
genannte eDirectory-Schema definiert. Das von eDirectory vorgegebene
Schema kann verndert werden, dies stellt jedoch einen gravierenden Eingriff
in die Verzeichnisstruktur dar, der nur nach sorgfltiger Planung durchgefhrt
werden darf.
Der eDirectory-Verzeichnisdienst bietet die Mglichkeit, mit anderen DirXML-Schnittstelle
Verzeichnisdiensten ber einen Synchronisationsmechanismus Daten im
XML-Format abzugleichen. Als XML-Schnittstelle steht dazu das Produkt
DirXML zur Verfgung. Diese besteht aus einem Kern (engine) und verschie-
denen Treibern fr diverse untersttzte Zielsysteme, z. B. Lotus Notes, SAP
R/3, Windows 2000 Active Directory, Netscape (iPlanet), etc. Es gibt dabei
zwei Kommunikationskanle: Zum einen den so genannten Publisher
Channel, unter dem fremde Verzeichnisdienste nderungen ihres Daten-
bestandes dem eDirectory mitteilen knnen. Zum anderen gibt es den Subscri-
ber Channel, mit dessen Hilfe eingeschriebene fremde Verzeichnisdienste von
nderungen im eDirectory erfahren.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1421
Manahmenkatalog Organisation M 2.236 Bemerkungen
___________________________________________________________________ ..........................................
Der Einsatz der DirXML-Schnittstelle bedarf auf jeden Fall einer genauen
Planung, um spter unerwnschte Seiteneffekte zu vermeiden, z. B. Endlos-
schleifen.
Im Rahmen der eDirectory-Planung sind folgende Aspekte zu bercksich-
tigen:
- Welche Gliederung in Organisations-, Organisationseinheit- und weitere
Container-Objekte soll gewhlt werden?
- Welche Objektklassen werden bentigt und welche Attribute sollen diese
haben?
- Welche Benutzer und Server sollen in welchen Organisationseinheiten
zusammengefasst werden?
Fr jede Organisation muss entschieden werden,
- welche Administratorgruppen bentigt werden,
- welches administrative Modell umgesetzt wird (zentrale oder dezentrale
Verwaltung),
- welche administrativen Rollen innerhalb der Baumstruktur existieren
sollen,
- ob und an wen administrative Aufgaben delegiert werden sollen,
- welche Sicherheitseinstellungen fr verschiedene Typen von Servern und
Benutzergruppen gelten sollen,
- auf welche Informationen ber die verschiedenen eDirectory-Schnittstellen
(z. B. eDirectory-Clients, LDAP) von wem zugegriffen werden darf.
Generell muss die geplante eDirectory-Struktur dokumentiert werden. Dies Dokumentation der
eDirectory-Struktur
trgt mageblich zur Stabilitt, konsistenten Administration und damit zur
Systemsicherheit bei. Es empfiehlt sich insbesondere festzuhalten:
- Welche Schemanderungen werden durchgefhrt? Dabei sollen auch die
Grnde fr die nderung dokumentiert sein.
- Welche Objektklassen werden in welcher Weise verwendet, speziell
welche Attribute werden fr welche Inhalte genutzt?
Fr jedes eDirectory-Objekt sollte dokumentiert sein: Dokumentation der
eDirectory-Objekte
- Name und Position im eDirectory-Baum (z. B. "StandortBerlin", Vater-
Objekt: OU "Filialen-Deutschland"),
- welchem Zweck das Objekt dient,
- welche administrativen Zugriffsrechte fr das Objekt und dessen Attribute
vergeben werden sollen (z. B. vollstndig verwaltet von "Admin1"),
- wie die Vererbung von eDirectory-Rechten konfiguriert werden soll, z. B.
blockieren oder filtern der Rechtevererbung,
- welche Sicherheitsquivalenzen zwischen Objekten bestehen sollen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1422
Manahmenkatalog Organisation M 2.236 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1423
Manahmenkatalog Organisation M 2.237 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1424
Manahmenkatalog Organisation M 2.237 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1425
Manahmenkatalog Organisation M 2.237 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1426
Manahmenkatalog Organisation M 2.237 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1427
Manahmenkatalog Organisation M 2.238 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1428
Manahmenkatalog Organisation M 2.238 Bemerkungen
___________________________________________________________________ ..........................................
Datenkommunikation:
- Welche Datenkommunikation ist abgesichert abzuwickeln?
- Mit welchen Mechanismen werden ggf. Vertraulichkeit, Integritt und
Authentizitt der Daten geschtzt?
Zertifikatsautoritt:
- Welche Parameter fr die CA sind zu verwenden?
- Wer darf Einstellungen der CA ndern?
- Welche Objekte sind mit Zertifikaten zu versehen?
- Welche Zertifikate sind fr SSL-Verbindungen einzusetzen?
Dateisystem des unterliegenden Betriebssystems:
- Welche Berechtigungen auf Systemdateien gelten fr die verschiedenen
Administratoren und Benutzer?
- Soll Verschlsselung auf Dateisystemebene eingesetzt werden?
LDAP:
- Welche Benutzer drfen unter welchen Bedingungen ber LDAP auf das
eDirectory zugreifen?
- Soll anonymer Login untersttzt werden?
- Welche Netzapplikationen drfen via LDAP auf das eDirectory zugreifen?
- Soll die LDAP-Kommunikation generell ber SSL laufen?
- Drfen die Benutzerpasswrter im Klartext bertragen werden?
Client-Zugriff auf den eDirectory-Verzeichnisdienst:
- Welche Authentisierungsverfahren sollen eingesetzt oder erlaubt werden?
- Auf welchen Verzeichnisbaum darf vom Netz aus zugegriffen werden?
- Welche Ressourcen sind aus dem Netz von welchen Benutzern zugreifbar?
Verschlsselung von Attributen
- Soll der Secret Store Mechanismus (verfgbar ber das Zusatzmodul
Secure Login) zur Verschlsselung von Attributen genutzt werden?
Fernzugriff zur Systemberwachung und Administration:
- Darf das Tool iMonitor genutzt werden?
- Wer darf das Tool iMonitor nutzen?
- Wie wird das Protokoll HTTPS zu diesem Zweck konfiguriert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1429
Manahmenkatalog Organisation M 2.238 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1430
Manahmenkatalog Organisation M 2.238 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1431
Manahmenkatalog Organisation M 2.238 Bemerkungen
___________________________________________________________________ ..........................................
der Regel beschrnkt sich dies jedoch auf die Vergabe der eigenen Passwrter
fr das Login.
11. Schulung
Abschlieend muss festgelegt werden, welche Benutzer zu welchen Teil-
aspekten geschult werden mssen. Erst nach ausreichender Schulung kann der
Produktivbetrieb aufgenommen werden. Besonders die Administratoren sind
hinsichtlich der Verwaltung und der Sicherheit von eDirectory grndlich zu
schulen.
Die so entwickelten Sicherheitsrichtlinien sind zu dokumentieren und im
erforderlichen Umfang den Benutzern des eDirectory-Verzeichnisdienstes
mitzuteilen. Bei der Definition der Sicherheitsrichtlinie fr eDirectory ist zu
beachten, dass sie sich an den bisher geltenden Sicherheitsrichtlinien der
Behrde bzw. des Unternehmens orientieren muss, diesen nicht widersprechen
(Konsistenz) und auch nicht im Widerspruch zu geltendem Recht stehen darf.
In der Regel wird eine eDirectory-Sicherheitsrichtlinie existierende Regelun-
gen spezifisch anpassen oder aber sinngem erweitern, z. B. durch zustz-
liche Anforderungen fr Komponenten. Dabei sind unter Umstnden neue
Regelungen fr eDirectory-spezifische Funktionalitten, z. B. iMonitor, zu
treffen. Generell gilt, dass sich die Planung des eDirectory-Verzeichnis-
dienstes an den jeweiligen Sicherheitsrichtlinien orientiert, dabei jedoch auch
Einfluss auf die Sicherheitsrichtlinien besitzt (Feedback-Prozess).
Ergnzende Kontrollfragen:
- Sind alle fr den geplanten Einsatz von eDirectory relevanten Bereiche
durch die Sicherheitsrichtlinien abgedeckt?
- Wurden zeitliche Abhngigkeiten fr die Umsetzung der Sicherheitsricht-
linien bercksichtigt?
- Sind alle Benutzer ber die eDirectory-Sicherheitsrichtlinien informiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1432
Manahmenkatalog Organisation M 2.239 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1433
Manahmenkatalog Organisation M 2.239 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1434
Manahmenkatalog Organisation M 2.240 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1435
Manahmenkatalog Organisation M 2.241 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1436
Manahmenkatalog Organisation M 2.241 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wurde eine Anforderungsanalyse fr den Telearbeitsplatz durchgefhrt?
- Wurden die Anforderungen an den Telearbeitsplatz mit den IT-Verantwort-
lichen (Administratoren und anderem technischem Personal) abgestimmt?
- Ist der Schutzbedarf der Informationen, die im Rahmen der Telearbeit
verarbeitet werden, festgestellt und dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1437
Manahmenkatalog Organisation M 2.242 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1438
Manahmenkatalog Organisation M 2.242 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1439
Manahmenkatalog Organisation M 2.243 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1440
Manahmenkatalog Organisation M 2.243 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1441
Manahmenkatalog Organisation M 2.243 Bemerkungen
___________________________________________________________________ ..........................................
8. Sporadische Restaurierungsbungen
Einzelne Punkte dieses Konzepts werden in den Manahmen
- M 2.242 Zielsetzung der elektronischen Archivierung,
- M 2.244 Ermittlung der technischen Einflussfaktoren fr die elekronische
Archivierung,
- M 2.245 Ermittlung der rechtlichen Einflussfaktoren fr die elektronische
Archivierung,
- M 2.246 Ermittlung der organisatorischen Einflussfaktoren fr die
elektronische Archivierung,
nher adressiert.
Bei der elektronischen Archivierung handelt es sich nicht um eine einmalige Archivierungskonzept
regelmig anpassen
Aufgabe, sondern um einen dynamischen Prozess. Ein Archivierungskonzept
muss daher regelmig den aktuellen Gegebenheiten angepasst werden.
Ergnzende Kontrollfragen:
- Ist das Archivierungskonzept verbindlich festgelegt?
- Ist das vorliegende Archivierungskonzept aktuell?
- Sind die Mitarbeiter ber den sie betreffenden Teil des Konzepts nach-
weislich unterrichtet worden?
- Wird die Aktualitt des Konzepts regelmig berprft?
- Werden nderungen der Einflussfaktoren zeitnah bercksichtigt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1442
Manahmenkatalog Organisation M 2.244 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1443
Manahmenkatalog Organisation M 2.244 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1444
Manahmenkatalog Organisation M 2.244 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1445
Manahmenkatalog Organisation M 2.244 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1446
Manahmenkatalog Organisation M 2.245 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1447
Manahmenkatalog Organisation M 2.245 Bemerkungen
___________________________________________________________________ ..........................................
Hierbei wird u. a. gefordert, dass alle zur Auswertung der Daten notwen-
digen Informationen wie Dateistruktur, Datenfelder, interne und externe
Verknpfungen in maschinell auswertbarer Form zur Verfgung stehen
mssen.
- Gesetze und Vorschriften zum Schutz personenbezogener Daten
Sofern personenbezogene Daten archiviert werden, mssen die hierfr
geltenden Gesetze und Vorschriften eingehalten werden. Dazu gehren vor
allem das Bundesdatenschutzgesetz (BDSG) und die entsprechenden Ge-
setze der Lnder.
Weiterhin gibt es Gesetze und Vorschriften, die speziell fr Behrden und in
der Verwaltung zu beachten sind, beispielsweise:
- Bundesarchivgesetz und die entsprechen Landesarchivgesetze,
- Registraturrichtlinie fr das Bearbeiten und Verwalten von Schriftgut in
Bundesministerien (RegR),
- Empfehlungen des Bundesarchivs zur Aussonderung elektronischer Akten
im Konzept zur Aussonderung elektronischer Akten der Koordinierungs-
und Beratungsstelle der Bundesregierung fr Information in der Bundes-
verwaltung (Schriftenreihe der KBSt, Band 40)
Organisationsspezifisch gelten darber hinaus zahlreiche weitere gesetzliche
und organisationsinterne Regelungen (z. B. Vorschriften fr Sozialversiche-
rungstrger, Krankenhuser, Pharmaindustrie, Militr oder Kreditwesen), die
im Einzelfall ermittelt werden mssen. Wesentliche Regelungskriterien sind
blicherweise die Aufbewahrungsdauer sowie der Vertraulichkeits- und Inte-
grittsbedarf, wobei bei letzteren neben der Strke auch die Zeitdauer des
Schutzbedarfs eingeht.
Fr die ffentliche Verwaltung besteht darber hinaus die gesetzliche Ver-
pflichtung, auch in digitaler Form vorliegende Dokumente den zustndigen
Archiven anzubieten (Anbietungspflicht).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1448
Manahmenkatalog Organisation M 2.246 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1449
Manahmenkatalog Organisation M 2.246 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1450
Manahmenkatalog Organisation M 2.246 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1451
Manahmenkatalog Organisation M 2.246 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1452
Manahmenkatalog Organisation M 2.246 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1453
Manahmenkatalog Organisation M 2.247 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1454
Manahmenkatalog Organisation M 2.247 Bemerkungen
___________________________________________________________________ ..........................................
ber den generellen Aufbau des Windows 2000 Systems haben, insbeson-
dere ber die Verteilung der Domnen-Controller und die Erreichbarkeit
des sogenannten Global Catalog Servers.
- Bei der Planung des Einsatzes von Exchange 2000 und Outlook 2000 ist Aufteilung in Routing
Groups
ber die Aufteilung in sogenannte Routing Groups zu entscheiden. Dies
sind Verbnde von Exchange-Servern, die ber eine spezielle Hochge-
schwindigkeitsverbindung miteinander kommunizieren. Dies lst das Site-
Konzept (Standort-Konzept) von Exchange 5.5 ab. Weiterhin ist ber die
Aufteilung der Exchange-Server in administrative Gruppen zu entscheiden.
- Die E-Mail-Datenbanken knnen partitioniert und auf verschiedene Ex- Partitionierung
change-Server verteilt werden. Damit lassen sich E-Mail-Daten mit unter-
schiedlichem Schutzbedarf auf entsprechend physikalisch gesicherte Server
aufteilen. Bei bedarfsgerechter Planung kann dies gleichzeitig die Perfor-
mance und die Ausfallsicherheit erhhen. Dies gilt auch fr den Einsatz der
Replikation der E-Mail-Datenbanken, die genutzt werden kann, um die
Ausfallsicherheit zu erhhen.
- Begleitend zur Planung des gewnschten Einsatzszenarios und der Vertei- Sicherheitsrichtlinie
erstellen
lung der Exchange-Server ist eine Sicherheitsrichtlinie zu entwerfen, in der
die fr Exchange spezifischen Aspekte behandelt werden. Die dabei zu be-
rcksichtigenden Gesichtspunkte sind in der Manahme M 2.248
Festlegung einer Sicherheitsrichtlinie fr Exchange/ Outlook 2000
zusammengefasst.
- Die Konfiguration des Exchange-Systems erfolgt ber die Mechanismen
der System- und Gruppenrichtlinien von Windows 2000. Diese Einstellun-
gen mssen mit den allgemeinen Richtlinieneinstellungen von Windows
2000 abgestimmt sein (siehe auch M 2.231 Planung der
Gruppenrichtlinien unter Windows 2000).
- Fr die Anbindung eines Exchange-Systems an fremde E-Mail/Messaging- Connectoren planen
Systeme, z. B. X.400 oder ccMail, stehen sogenannte Connectoren zur
Verfgung, welche die Verbindung zwischen den verschiedenen E-Mail-
Systemen herstellen. Der Einsatz dieser Connectoren ist sorgfltig zu
planen, um einen reibungslosen Ablauf des E-Mail-Verkehrs zu gewhr-
leisten.
- Um die Weiterleitung von E-Mails ber die eingerichteten Routing Groups Bridgehead Server
sicher betreiben
hinweg zu ermglichen, muss der Einsatz sogenannter Bridgehead Server
geplant werden. Da diese Server in der Regel mit fremden Netzen kommu-
nizieren mssen, sollten sie in einer demilitarisierten Zone (DMZ) oder
zumindest hinter einer Firewall (siehe Baustein 7.3 Firewall) platziert
werden.
- Der Einsatz der Outlook 2000 Clients, deren Zugriffsmglichkeiten auf das Zugriffsmglichkeiten
der Clients festlegen
Exchange-System und die Absicherung dieser Zugriffe mssen geplant
werden. Es ist ferner die Frage zu beantworten, ob eine Anbindung als
MAPI-Client gewnscht ist oder nicht. In der Vergangenheit wurde die
MAPI-Schnittstelle hufig zur Verbreitung von Programmen mit Schad-
funktionen (z. B. Viren, Wrmer, usw.) missbraucht.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1455
Manahmenkatalog Organisation M 2.247 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1456
Manahmenkatalog Organisation M 2.247 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1457
Manahmenkatalog Organisation M 2.248 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1458
Manahmenkatalog Organisation M 2.248 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Knnen alle relevanten Sicherheitsvorschriften auf Exchange/Outlook
2000 abgebildet werden?
- Mssen existierende Sicherheitsvorschriften gendert werden?
- Werden alle Benutzer ber neue oder vernderte Sicherheitsvorschriften
informiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1459
Manahmenkatalog Organisation M 2.249 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1460
Manahmenkatalog Organisation M 2.249 Bemerkungen
___________________________________________________________________ ..........................................
Die bei Exchange 5.5 noch bliche Site-Gruppierung von Exchange-Servern Routing Groups
werden unter Exchange 2000 durch die sogenannten Routing Groups abgelst.
Die so im Verbund organisierten Exchange-Server erlauben den Datenaus-
tausch mit hoher Bandbreite. Bei Exchange 2000 wird nun standardmig das
Simple Mail Transfer Protocol (SMTP) eingesetzt, anstelle der vormals ver-
wendeten Remote Procedure Calls (RPCs).
Auch hinsichtlich der Administration der Exchange-Server ergibt sich ein
Unterschied: Sie beschrnkte sich vormals auf eine NT-Domne, nun ist die
bergreifende Verwaltung ber Domnen hinweg innerhalb eines Forests
durch entsprechend autorisierte Administratoren mglich.
Die Aufgaben der Partitionierung und der Replizierung von Inhalten der E- Partitionierung und
Replizierung
Mail-Datenbank bernimmt in vollem Umfang das Active Directory. Hier ist
jedoch eine bedarfsgerechte Planung wesentlich, wenn eine Steigerung der
Performance erreicht werden soll.
Fremde E-Mail-Systeme, z. B. X.400 oder ccMail, werden mittels sogenannter
Connectoren an das Exchange-System angebunden. Speziell fr die hier be-
trachtete Migration wird auch ein Connector zur Anbindung eines Ex-
change 5.5 Systems an das Active Directory angeboten.
Die Migration muss in ihren einzelnen Schritten mglichst detailliert geplant, Migration planen und
dokumentieren
der angestrebte Migrationsprozess dokumentiert und allen Beteiligten zu-
gnglich gemacht werden. Im berblick sind folgende Schritte im Rahmen
des Migrationprozesses durchzufhren:
- Backup des Exchange 5.5-Systems
- Probelauf der Exchange 2000 Software in einem Testszenario
- Windows 2000 Active Directory auf Domnen-Controller
installieren
- Einrichten des Windows 2000 Netzes und der gewnschten Dienste
(DNS, DHCP, etc.)
- Neue Rechner (fr Exchange 2000 Server) mit Windows 2000
Server installieren
- Neue Rechner (fr Exchange 2000 Server) Mitglied der
gewnschten Domnen werden lassen
- Installation der Exchange 2000 Software auf den dafr vorgesehenen
Windows 2000 Servern
- Verteilung der Outlook 2000 Clients
- Einrichten der Benutzerkonten inklusive der E-Mail-Funktionalitt
- Einspielen der alten E-Mail-Daten. Dies kann dadurch geschehen,
dass ein Connector zu einem Exchange 5.5 Server eingerichtet wird.
Folgende Aspekte sind aus Sicherheitssicht bei der Planung der Migration zu
bercksichtigen:
- Welche E-Mail-Konten und ffentliche Verzeichnisse (public
folders) sind zu migrieren?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1461
Manahmenkatalog Organisation M 2.249 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1462
Manahmenkatalog Organisation M 2.250 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1463
Manahmenkatalog Organisation M 2.250 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1464
Manahmenkatalog Organisation M 2.250 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1465
Manahmenkatalog Organisation M 2.250 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1466
Manahmenkatalog Organisation M 2.251 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1467
Manahmenkatalog Organisation M 2.251 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1468
Manahmenkatalog Organisation M 2.251 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1469
Manahmenkatalog Organisation M 2.252 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1470
Manahmenkatalog Organisation M 2.252 Bemerkungen
___________________________________________________________________ ..........................................
- Die Organisationsform eines Dienstleisters kann in Betracht gezogen wer- Eigentmerstruktur und
den, da dies z. B. die Haftungsgrenzen beeinflussen kann. Die Eigentmer- Organisationsform
struktur sollte recherchiert werden, um mgliche Einflussfaktoren im Vor-
feld abzuklren.
- Die Kundenstruktur sollte beachtet werden, da dies darauf hinweist, in Kundenstruktur
welchem Wirtschaftssektor der Anbieter seine Strken hat.
- Ein Qualittsnachweis bzw. eine Zertifizierung, z. B. nach IT-Grundschutz Zertifizierung
oder ISO 9000, ist eine sinnvolle Forderung.
- Ausknfte ber die aktuelle wirtschaftliche Lage sowie Erwartungen an die Solvenz
zuknftige Geschftsentwicklung der Dienstleister sollten eingeholt wer-
den.
Anforderungen an Mitarbeiter
Auch an die Mitarbeiter eines Dienstleisters sind diverse Anforderungen zu
stellen (siehe auch M 2.226 Regelungen fr den Einsatz von Fremdpersonal
und M 3.33 Sicherheitsberprfung von Mitarbeitern).
- Die Qualifikation der Mitarbeiter muss in die Bewertung der Angebote Qualifikationsprofil
einflieen. Es ist nach der Projektvergabe darauf zu achten, dass die im
Angebot genannten Mitarbeiter auch spter tatschlich eingesetzt werden.
- Die Anzahl der verfgbaren Mitarbeiter muss bewertet werden. Dabei soll- Ressourcenplanung
ten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt wer-
den.
- Bei der Wahl auslndischer Partner muss eine gemeinsame Sprache fr die Kommunikationssprache
Kommunikation zwischen den eigenen Mitarbeiter und denen des
Dienstleisters festgelegt werden. Hierbei sollte auch hinterfragt werden, ob
die vorhandenen Sprachkenntnisse fr die Klrung von Detailproblemen
ausreichen. Die Erfahrungen zeigen, dass viele Personen aus Angst, sich zu
blamieren, lieber zu wichtigen Fragen schweigen, wenn sie ihre Sprachf-
higkeiten als nicht perfekt einschtzen.
- Entsprechend dem erforderlichen Sicherheitsniveau fr das Outsourcing- Sicherheitsberprfung
Vorhaben sollte in die Bewertung der Angebote mit aufgenommen werden,
ob eine Sicherheitsberprfung der Mitarbeiter vorliegt bzw. eine solche
durchgefhrt werden kann.
Ergnzende Kontrollfragen:
- Ist ein Bewertungsmastab mit Bewertungskriterien fr die Anbieteraus-
wahl festgelegt worden?
- Sind die Sicherheitsanforderungen im Bewertungsmastab bercksichtigt?
- Ist der Bewertungsmastab auf das konkrete Outsourcing-Vorhaben zuge-
schnitten worden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1471
Manahmenkatalog Organisation M 2.253 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1472
Manahmenkatalog Organisation M 2.253 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1473
Manahmenkatalog Organisation M 2.253 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1474
Manahmenkatalog Organisation M 2.253 Bemerkungen
___________________________________________________________________ ..........................................
4. Beweisbarkeit
- Kann ein Schaden nachgewiesen bzw. der Verursacher berfhrt
werden (z. B. Nachweis von Spionage oder Manipulationen)?
Es ist immer zu bedenken, dass Schadensersatzzahlungen nur das aller-
letzte Mittel sind und nicht dazu fhren drfen, dass aus Kostengrnden
andere Sicherheitsmanahmen vernachlssigt werden. Sicherheit lsst sich
nicht mit juristischen Mitteln erzielen.
Mandantenfhigkeit
- Die notwendige Trennung von IT-Systemen und Anwendungen ver-
schiedener Kunden muss vereinbart werden.
- Es ist sicherzustellen, dass Probleme bei anderen Kunden nicht die
Ablufe und Systeme des Auftraggebers beeintrchtigen.
- Es ist sicherzustellen, dass Daten des Auftraggebers unter keinen
Umstnden anderen Kunden des Outsourcing-Dienstleisters zugng-
lich werden.
- Falls notwendig, muss die physikalische Trennung (d. h. dezidierte Hard-
ware) vereinbart werden.
- Falls notwendig, muss vereinbart werden, dass die vom Dienstleister einge-
setzten Mitarbeiter nicht fr andere Auftraggeber eingesetzt werden. Es
kann auch sinnvoll sein, diese auf Verschwiegenheit zu verpflichten, so
dass die eingesetzten Mitarbeiter nicht mit anderen Mitarbeitern des
Dienstleisters auftraggeberbezogene Informationen austauschen drfen.
nderungsmanagement und Testverfahren
- Es mssen Regelungen gefunden werden, die es ermglichen, dass der
Auftraggeber immer in der Lage ist, sich neuen Anforderungen anzupas-
sen. Dies gilt insbesondere, wenn beispielsweise gesetzliche Vorgaben ge-
ndert wurden. Es ist festzulegen, wie auf Systemerweiterungen, gestie-
gene Anforderungen oder knapp werdende Ressourcen reagiert wird.
- In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung
bereits vorhandener Systeme zu regeln. Nicht selten bernimmt der
Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber,
der damit die Fhigkeit verliert, diese in seinem Sinne weiterzuentwickeln.
Der Evolutionspfad von Systemen muss daher geregelt werden.
- Eine kontinuierliche Verbesserung der Dienstleistungsqualitt und des IT-
Sicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden.
- Der Zeitrahmen fr die Behebung von Fehlern ist festzulegen.
- Testverfahren fr neue Soft- und Hardware sind zu vereinbaren. Dabei sind
folgende Punkte einzubeziehen:
- Regelungen fr Updates und Systemanpassungen
- Trennung von Test- und Produktionssystemen
- Zustndigkeiten bei der Erstellung von Testkonzepten
- Festlegen von zu benutzenden Testmodellen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1475
Manahmenkatalog Organisation M 2.253 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1476
Manahmenkatalog Organisation M 2.254 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1477
Manahmenkatalog Organisation M 2.254 Bemerkungen
___________________________________________________________________ ..........................................
das Audit kann der Auftraggeber dabei auch auf externe Dritte zurckgrei-
fen.
Die in M 2.251 Festlegung der Sicherheitsanforderungen fr Outsourcing-
Vorhaben und M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister
genannten Sicherheitsanforderungen bilden dabei die Basis fr das IT-
Sicherheitskonzept. Aufbauend auf den dort beschriebenen grundlegenden
Anforderungen muss im IT-Sicherheitskonzept die detaillierte Ausgestaltung
erfolgen, wobei beispielsweise die Manahmen konkretisiert und
Ansprechpartner namentlich festgelegt werden.
Erfahrungsgem ist der bergang (Migration) von Aufgaben und IT-Syste- Sicherheitskonzept fr
Testphase
men vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase, in
der verstrkt mit Sicherheitsvorfllen zu rechnen ist. Aus diesem Grund ms-
sen im Sicherheitskonzept Regelungen und Manahmen zur Migration behan-
delt werden, die in M 2.255 Sichere Migration bei Outsourcing-Vorhaben
genauer behandelt werden.
Im Folgenden sind einige Aspekte und Themen aufgelistet, die im IT-Sicher-
heitskonzept im Detail beschrieben werden sollten. Da die Details eines IT-
Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhngen, ist die
Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollstndig-
keit. Neben einem berblick ber die Gefhrdungslage, die der Motivation
der Sicherheitsmanahmen dient, und den organisatorischen, infrastrukturellen
und personellen Sicherheitsmanahmen knnen Manahmen aus folgenden
Bereichen sinnvoll sein:
Organisation
- Umgang mit Daten und schtzenswerten Betriebsmitteln wie Druckerpa-
pier und Speichermedien, insbesondere Regelungen zum Anfertigen von
Kopien und Lschen/Vernichten
- Festlegung von Aktionen, fr die das "Vier-Augen-Prinzip" anzuwenden
ist
Hard-/Software
- Einsatz gehrteter Betriebssysteme, um Angriffe mglichst zu erschweren
- Einsatz von Intrusion-Detection-Systemen (IDS), um Angriffe frhzeitig
zu erkennen
- Einsatz von Datei-Integritt-Prfungssystemen, um Vernderungen z. B.
nach erfolgreichen Angriffen, zu erkennen
- Einsatz von Syslog- und Timeservern, um eine mglichst umfassende
Protokollierung zu ermglichen
- Einsatz kaskadierter Firewallsysteme zur Erhhung des Perimeterschutzes
auf Seiten des Dienstleisters
- sorgfltige Vergabe von Benutzer-Kennungen, Verbot von Gruppen-IDs
fr Personal des Dienstleisters
Kommunikation
- Absicherung der Kommunikation (z. B. durch Verschlsselung, elektroni-
sche Signatur) zwischen Dienstleister und Auftraggeber, um sensitive Da-
ten zu schtzen
- Authentisierungsmechanismen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1478
Manahmenkatalog Organisation M 2.254 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1479
Manahmenkatalog Organisation M 2.255 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1480
Manahmenkatalog Organisation M 2.255 Bemerkungen
___________________________________________________________________ ..........................................
- Die Mitarbeiter des Auftraggebers sind zum Verhalten whrend und nach
der Migrationsphase zu schulen. In der Regel sind die Mitarbeiter dabei mit
neuen und unbekannten Ansprechpartnern konfrontiert. Dies birgt die Ge-
fahr des Social Engineering (z. B. Anruf eines vermeintlichen Mitarbeiters
des Sicherheitsteams des Dienstleisters).
- Der Dienstleister muss die relevanten Ablufe, Applikationen und IT-Sys-
teme des Auftraggebers genau kennen lernen und dahingehend eingewie-
sen werden.
- Der strungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests
sicherzustellen. Die produktiven Systeme drfen dabei nicht vernachlssigt
werden. Dazu ist im Vorfeld zu berprfen, ob die vorgesehenen Mitar-
beiter zur Verfgung stehen. Zustzlich mssen Strungen durch notwen-
dige Tests einkalkuliert werden.
- Anwendungen und IT-Systeme, die der Dienstleister bernehmen soll,
mssen ausreichend dokumentiert sein. Die Prfung der Dokumentation
auf Vollstndigkeit muss dabei ebenso bedacht werden wie das Anpassen
der vorhandenen Dokumentation auf die vernderten Randbedingungen
durch das Outsourcing-Vorhaben. Die Dokumentation neuer Systeme oder
Teilsysteme muss dabei ebenfalls sichergestellt sein.
- Whrend der Migration muss stndig berprft werden, ob die SLAs oder
die vorgesehenen IT-Sicherheitsmanahmen angepasst werden mssen.
In der Einfhrungsphase des Outsourcing-Vorhabens und der ersten Zeit des Notfallvorsorgekonzept
Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt
werden. Bis sich bei allen Beteiligten die notwendige Routine, beispielsweise
in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkomm-
nissen eingestellt hat, sind verstrkt Mitarbeiter zu Bereitschaftsdiensten zu
verpflichten.
Nach Abschluss der Migration muss sichergestellt werden, dass das IT-Si- Aktualisierung und Kon-
kretisierung des Sicher-
cherheitskonzept aktualisiert wird, da sich erfahrungsgem whrend der heitskonzepts
Migrationsphase immer nderungen ergeben. Dies bedeutet insbesondere:
- Alle Sicherheitsmanahmen mssen konkretisiert werden.
- Ansprechpartner und Zustndigkeiten werden mit Namen und notwendigen
Kontaktdaten (Telefon, Zeiten der Erreichbarkeit, Kodeworte) dokumen-
tiert.
- Die Systemkonfigurationen ist zu dokumentieren, wobei auch die
eingestellten sicherheitsrelevanten Parameter zu erfassen sind.
Schulung
- Das Personal ist durch Schulungsmanahmen auf den Regelbetrieb
vorzubereiten.
Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase
in den sicheren Regelbetrieb (siehe M 2.256 Planung und Aufrechterhaltung
der IT-Sicherheit im laufenden Outsourcing-Betrieb) berfhrt werden. Dabei
ist vor allem darauf zu achten, dass alle Ausnahmeregelungen, die whrend
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1481
Manahmenkatalog Organisation M 2.255 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1482
Manahmenkatalog Organisation M 2.256 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1483
Manahmenkatalog Organisation M 2.256 Bemerkungen
___________________________________________________________________ ..........................................
- Es mssen regelmige bungen und Tests zu folgenden Themen durchge- Tests und bungen
fhrt werden:
- Reaktion auf Systemausflle (Teilausfall, Totalausfall)
- Wiedereinspielen von Datensicherungen
- Beherrschung von Sicherheitsvorfllen
Ergnzende Kontrollfragen:
- Wurde ein Betriebskonzept fr das Outsourcing-Vorhaben festgelegt?
- Enthlt das Betriebskonzept Verfahren und Manahmen, die das ge-
wnschte Sicherheitsniveau im laufenden Betrieb sicher stellen?
- Werden regelmig die notwendigen Kontrollen durchgefhrt?
- Sind alle Sicherheitskonzepte noch aktuell?
- Gibt es eine regelmige Kommunikation zwischen den Vertragspartnern?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1484
Manahmenkatalog Organisation M 2.257 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1485
Manahmenkatalog Organisation M 2.257 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Ist eine kontinuierliche berwachung des verbleibenden Speicherplatzes
gewhrleistet?
- Sind die Grenzwerte fr eine Alarmierung festgelegt und dokumentiert?
- Sind leere Archivmedien in gengender Stckzahl an einem bekannten Ort
gelagert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1486
Manahmenkatalog Organisation M 2.258 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1487
Manahmenkatalog Organisation M 2.258 Bemerkungen
___________________________________________________________________ ..........................................
Die Wahl des Verfahrens ist abhngig vom erwarteten Datenvolumen. Werden
in unregelmigen Abstnden einzelne Dokumente archiviert, ist ein manu-
elles Verfahren auf der Grundlage konkreter Vorgaben zur Erstellung eines
Kontextes ausreichend.
Werden regelmig groe Datenvolumen archiviert, sollte ein halbautoma-
tisches Verfahren zur Erzeugung der Indexdaten gewhlt werden. Hier besteht
die Mglichkeit, diese Informationen manuell zu kontrollieren und zu korri-
gieren, bevor Dokument und Dokumentindex archiviert werden und dann ge-
gebenenfalls nicht mehr nachtrglich gendert werden knnen.
Bei der vollautomatischen Erzeugung der Indexdaten knnen Fehler nicht
erkannt bzw. korrigiert werden. Eine eventuelle Fehlzuordnung von zu archi-
vierenden Dokumenten, z. B. zu Geschftsprozessen, kann dann nicht erkannt
oder ausgeschlossen werden. Dieses Verfahren sollte deshalb nur dann ange-
wandt werden, wenn alle Dokumente so strukturiert sind, dass alle Indexdaten
in jedem Fall zweifelsfrei und zuverlssig extrahiert werden knnen.
Ergnzende Kontrollfragen:
- Wie gro ist der Benutzerkreis und wie hoch ist das Datenaufkommen, so
dass eine manuelle Indizierung vertretbar ist?
- Sind Kontrollen der vergebenen Indizes mglich?
- Ist die Struktur der Indizierung dokumentiert und kommuniziert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1488
Manahmenkatalog Organisation M 2.259 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1489
Manahmenkatalog Organisation M 2.259 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1490
Manahmenkatalog Organisation M 2.259 Bemerkungen
___________________________________________________________________ ..........................................
Das Ziel ist, Software-Spezifikationen zu erstellen, mit deren Hilfe ein- Zusammenwirken von
heitliche Voraussetzungen fr das Zusammenwirken unterschiedlichster Workflow-Produkten
Workflow-Produkte und -Komponenten in unterschiedlichsten Umge-
bungen geschaffen werden.
Fast alle namhaften Hersteller arbeiten in diesem Gremium mit.
Ergnzende Kontrollfragen:
- Ist berprft worden, ob der Einsatz eines Dokumentenmanagement-
Systems sinnvoll ist?
- Ist die Verantwortung fr Betrieb und Nutzung des DMS dokumentiert und
bekannt?
- Ist die Nutzung des DMS in der Organisation verpflichtend geregelt und
dokumentiert?
- Untersttzt das DMS die Vergabe und Kontrolle von Rollen und
Zugriffsberechtigungen?
- Untersttzt das eingesetzte DMS die einschlgigen Standards?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1491
Manahmenkatalog Organisation M 2.260 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1492
Manahmenkatalog Organisation M 2.260 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1493
Manahmenkatalog Organisation M 2.260 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Findet eine regelmige Revision des Archivierungsprozesses statt?
- Ist die Vorgehensweise fr Revisionen dokumentiert?
- Werden die Ergebnisse der Revision ebenfalls archiviert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1494
Manahmenkatalog Organisation M 2.261 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1495
Manahmenkatalog Organisation M 2.262 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1496
Manahmenkatalog Organisation M 2.262 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1497
Manahmenkatalog Organisation M 2.263 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1498
Manahmenkatalog Organisation M 2.264 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1499
Manahmenkatalog Organisation M 2.264 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1500
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1501
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
- welche Aussage damit verbunden sein soll, d. h. was damit beglaubigt wird
(bei einem Zeitstempel beispielsweise das Vorliegen eines Dokuments zu
einem bestimmten Zeitpunkt).
Die Policy muss schriftlich dokumentiert und archiviert werden, damit bei
einer spteren Prfung der digitalen Signatur klar ist, was die Signatur aussagt
(d. h. beweisen soll) und was nicht. Auerdem sollte sie auch in geeigneter
Form verffentlicht werden, damit alle, die auf die Signaturen vertrauen
mssen bzw. wollen, sich darauf beziehen knnen.
Lebensdauer digitaler Signaturen
Die Lebensdauer digitaler Signaturen wird durch die technische Entwicklung
von Hard- und Software sowie Fortschritte der Kryptographie beschrnkt
(siehe G 2.79 Unzulngliche Erneuerung von digitalen Signaturen bei der
Archivierung und G 4.47 Veralten von Kryptoverfahren). Es muss davon
ausgegangen werden, dass digitale Signaturen nach einem Zeitablauf von ca.
5 Jahren als veraltet gelten, da ihre Aussagekraft nachlsst.
Schlsselzertifikate und Zeitstempel sollten von einem Trust Center daher in
der Regel fr maximal 5 Jahre ausgestellt werden. Sie knnen aber auch
kurzfristig fr ungltig erklrt werden, wenn dies notwendig sein sollte. Dies
wird als Sperrung bezeichnet.
Sperrung von Schlsselzertifikaten
Wenn Schlsselzertifikate durch die Zertifizierungsinstanz gesperrt werden,
weil z. B. die Signaturschlssel kompromittiert sind, muss schnell gehandelt
werden. Alle ab diesem Zeitpunkt mit dem betreffenden Schlssel erfolgten
Signaturen haben ihre faktische Aussagekraft (z. B. Beweiskraft) verloren. Die
Gltigkeit der Signaturen hngt jedoch auch vom Gltigkeitsmodell ab. Im
Gegensatz zum Schalenmodell sind beim Kettenmodell im Grunde zunchst
keine weiteren Aktionen bei der Kompromittierung von Schlsseln
erforderlich.
Dies kann unmittelbare Folgen fr die Aussagekraft archivierter Dokumente
haben. Wenn die betroffenen archivierten Dokumente nur mit dem nun
ungltigen Schlssel signiert sind, so ist diese Signatur je nach verwendetem
Gltigkeitsmodell nicht mehr beweiskrftig.
Empfehlung
Fr die Archivierung digital signierter Dokumente gibt es derzeit keine
erprobten Standards, durch deren Anwendung eine langfristige Gltigkeit und
Beweiskraft der Signaturen sichergestellt werden kann. Bis sich entsprechende
Standards etablieren, sollten daher unter Bercksichtigung der bei der
Langfristarchivierung auftretenden Gefhrdungen folgende Empfehlungen
beachtet werden:
- Die Aussagekraft der Signaturen und Zertifikate ist in einer Policy zu
dokumentieren. Die Policy muss ebenfalls archiviert werden.
- Es sollte ein unabhngiges Trust Center zur Generierung von
Schlsselzertifikaten und Zeitstempeln eingebunden werden.
- Alle zu einem Dokument gehrenden Signaturen, Zeitstempel, Zertifikate
und die fr die Signatur- bzw. Zertifikatsprfung bentigten Schlssel
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1502
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
mssen ebenfalls archiviert werden. Dies kann entweder lokal oder zentral
durch das Trust Center erfolgen.
- Je nach Anforderungen an die Aussagekraft der Signaturen mssen u. U.
weitere Kontextinformationen archiviert werden. Bei qualifizierten
Signaturen gem Signaturgesetz gehren hierzu z. B. Verzeichnisdienst-
ausknfte des Zertifizierungsdiensteanbieters.
- Nach sptestens 5 Jahren, mindestens vor Ablauf der regulren Gltigkeit
der Schlsselzertifikate sollten die digitalen Signaturen und Zertifikate
erneuert werden. Solange der Verzeichnisdienst integer verfgbar bleibt, ist
dies eigentlich nur dann erforderlich, wenn die Eignung der Algorithmen
nicht mehr gegeben ist. Da bei der Archivierung die Daten fr einen
lngeren Zeitraum unbearbeitet vorgehalten werden, ist es sinnvoll, diese
trotzdem vorsichtshalber alle 5 Jahre erneut zu signieren.
- Die berprfung einer digitalen Signatur schlgt fehl, sobald auch nur ein
Bit im Dokument oder dessen Signatur gendert wird. Eine bitgenaue
Archivierung ist deshalb unbedingt erforderlich, um die Gltigkeit der
Signatur zu erhalten. Aus diesem Grund sollten entsprechende Fehler-
korrekturmanahmen bei der Speicherung der signierten Dokumente
getroffen werden.
- Die Verantwortlichen fr die elektronische Archivierung sollten sich
regelmig ber die Entwicklungen auf dem Gebiet der digitalen
Signaturen informieren.
Archivierungsmodelle
Im Folgenden werden verschiedene Modelle fr die Archivierung digital
signierter Dokumente beschrieben. Dabei bleibt zunchst die Archivierung
von Schlsselverwaltungsinformationen, wie Zertifikaten oder Sperrlisten,
unbercksichtigt.
Solange es bei den beschriebenen Modellen unwesentlich ist, ob das
Originaldokument nur eine oder mehrere Signaturen enthlt, wird von einer
Originalsignatur gesprochen. Mehrere Originalsignaturen werden nur dann
erwhnt, wenn die Funktionsweise der Archivierung sich dadurch ndert.
Die Beschreibungen der Modelle sind nach folgenden Punkten strukturiert:
- Notwendige Infrastruktur
- Ablauf der Archivierung eines signierten Dokuments
- Ablauf der Abfrage eines Dokuments aus dem Archiv
- Semantik der durch die Archivierung erfolgten zustzlichen Signaturen,
d. h. was wird durch diese Signaturen besttigt?
- Vorgehensweise bei der Prfung der Beweiskraft der Originalsignatur
- Notwendiges Vertrauen in die Instanzen, die an der Archivierung beteiligt
sind
An die Beschreibung schliet sich eine kurze Diskussion der unterschied-
lichen Modelle an.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1503
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1504
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1505
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1506
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1507
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1508
Manahmenkatalog Organisation M 2.265 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1509
Manahmenkatalog Organisation M 2.266 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1510
Manahmenkatalog Organisation M 2.267 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1511
Manahmenkatalog Organisation M 2.267 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1512
Manahmenkatalog Organisation M 2.268 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1513
Manahmenkatalog Organisation M 2.268 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1514
Manahmenkatalog Organisation M 2.269 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1515
Manahmenkatalog Organisation M 2.269 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1516
Manahmenkatalog Organisation M 2.270 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1517
Manahmenkatalog Organisation M 2.270 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1518
Manahmenkatalog Organisation M 2.270 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1519
Manahmenkatalog Organisation M 2.271 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1520
Manahmenkatalog Organisation M 2.272 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1521
Manahmenkatalog Organisation M 2.273 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1522
Manahmenkatalog Organisation M 2.273 Bemerkungen
___________________________________________________________________ ..........................................
Falls festgestellt wird, dass ein Sicherheitsupdate oder Patch mit einer anderen
wichtigen Komponente oder einem Programm inkompatibel ist oder Probleme
verursacht, so muss sorgfltig berlegt werden, wie weiter vorgegangen wird.
Wird entschieden, dass auf Grund der aufgetretenen Probleme ein Patch nicht
installiert wird, so ist diese Entscheidung auf jeden Fall zu dokumentieren.
Auerdem muss in diesem Fall klar beschrieben sein, welche Manahmen
ersatzweise ergriffen wurden, um ein Ausnutzen der Schwachstelle zu
verhindern. Eine solche Entscheidung darf nicht von den Administratoren
alleine getroffen werden, sondern sie muss mit den Vorgesetzten und dem IT-
Sicherheitsbeauftragten abgestimmt sein.
Ergnzende Kontrollfragen:
- Wissen die Administratoren, von wo sie sicherheitsrelevante Patches und
Updates beziehen knnen?
- Werden Sicherheitsupdates und Patches vor dem Einspielen berprft und
getestet?
- Wie werden die Vernderungen durch Updates und Patches dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1523
Manahmenkatalog Organisation M 2.274 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1524
Manahmenkatalog Organisation M 2.274 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Ist geregelt, wie Vertretungsregelungen bei E-Mail umgesetzt werden?
- Wissen alle Benutzer, wie sie Vertretungsregelungen bei den E-Mail-
Clients aktivieren knnen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1525
Manahmenkatalog Organisation M 2.275 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1526
Manahmenkatalog Organisation M 2.275 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1527
Manahmenkatalog Organisation M 2.276 Bemerkungen
___________________________________________________________________ ..........................................
Abbildung 1: Routing
Wenn das Zielsystem (Zielnetz) nicht direkt am Router angeschlossen ist, Next Hop
sendet der Router das Datenpaket an einen benachbarten Router, der nher am
Zielsystem (Zielnetz) angeschlossen ist, den sogenannten Next Hop. Der letzte
Router in dieser Verbindungskette ist immer direkt am Zielnetz angeschlossen
und sendet das Datenpaket zum Zielsystem.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1528
Manahmenkatalog Organisation M 2.276 Bemerkungen
___________________________________________________________________ ..........................................
Abbildung 2: Routing
Die Aufgabe eines Routers ist es, eintreffende Datenpakete entweder direkt an
den adressierten Empfnger zu bergeben, oder in das nchste Netz
weiterzuleiten. In welches Netz das Datenpaket weitergeleitet wird, wenn es
nicht direkt zugestellt werden kann, entscheidet die sogenannte Routing-
Metrik. Die Metrik ist ein Ma fr die Qualitt der Verbindung zwischen dem
Sender bzw. dem Router und dem Ziel des Paketes. Mit ihrer Hilfe entscheidet
der Router, an welchen Next Hop er das Paket weitergibt. Routing-Metriken
beziehen sich nicht ausschlielich auf die Lnge des Weges zwischen Sender
und Empfnger, sondern knnen auch andere Merkmale, wie beispielsweise
die Qualitt der Leitungen, die Bandbreite oder die Auslastung in die
Entscheidung mit einbeziehen. Welche Kriterien verwendet werden, ist von
dem verwendeten Routing-Protokoll abhngig.
Die Routing-Informationen werden in sogenannten Routing-Tabellen Routing-Tabellen
verwaltet. Routing-Tabellen enthalten Informationen darber, ber welche
benachbarten Router als Next Hop fr bestimmte Zielnetze dienen knnen.
Router treffen die Entscheidung, an welchen Next Hop ein empfangenes
Datenpaket weitergegeben wird, ausschlielich auf Basis dieser Routing-
Tabellen. Deswegen ist es besonders wichtig, diese Tabellen vor
Manipulationen zu schtzen. Es sind eine Reihe von Angriffen bekannt,
welche die Manipulierbarkeit von Routing-Tabellen ausnutzen. In der
folgenden Abbildung ist der Inhalt einer Routing-Tabelle beispielhaft
dargestellt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1529
Manahmenkatalog Organisation M 2.276 Bemerkungen
___________________________________________________________________ ..........................................
Hop Count gibt an, wie viele Zwischenstationen das Paket noch passieren
muss, um sein Ziel ber den betreffenden Next Hop zu erreichen. Sind fr ein
bestimmtes Ziel mehrere benachbarte Router als Next Hops verfgbar, so
kann der Hop Count als eine Routing-Metrik verwendet werden, um den
"gnstigsten" Next Hop zu bestimmen. Auch beim Routing Protokoll RIP
wird der Hop Count als Routing-Metrik verwendet.
Statisches und dynamisches Routing
Es wird in bezug auf das Routing zwischen statischem und dynamischem
Routing unterschieden. Diese beiden Methoden unterscheiden sich
hinsichtlich der Verwaltung der Routing-Tabellen.
Beim statischen Routing werden diese Tabellen manuell mit Hilfe von
Systembefehlen gepflegt.
Beim dynamischen Routing erfolgt die Pflege der Routing-Tabellen
automatisiert. Dies geschieht mit Hilfe von Routing-Protokollen. Hier wird
noch einmal zwischen den Interior Gateway Protokollen (IGP) und den
Exterior Gateway Protokollen (EGP) unterschieden. IGP wird innerhalb von
Netzen verwendet, die unter eigener Administrationsverantwortung stehen.
Die Zusammenfassung der unter eigener Verantwortung betriebenen Netze
wird auch als Routing-Domne bezeichnet. Mit Hilfe von EGP werden
Routing-Informationen zwischen unterschiedlichen Routing-Domnen
ausgetauscht.
Die folgende Abbildung stellt diesen Zusammenhang dar.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1530
Manahmenkatalog Organisation M 2.276 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1531
Manahmenkatalog Organisation M 2.276 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1532
Manahmenkatalog Organisation M 2.277 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1533
Manahmenkatalog Organisation M 2.277 Bemerkungen
___________________________________________________________________ ..........................................
Abbildung 1: Switching-Tabelle
Ein Frame, der an die Station mit der MAC-Adresse 0001.02c4.fdca gerichtet
ist, wird vom Switch nur an den Port 01 weitergeleitet.
Da die Switching-Tabelle zur Steuerung des Datenflusses verwendet wird,
muss sie vor Manipulationen geschtzt werden. Es sind einige
Angriffsmethoden bekannt, die die Integritt und Verfgbarkeit dieser
Tabellen bedrohen (siehe G 5.112 Manipulation von ARP-Tabellen).
Layer-3- und Layer-4-Switches arbeiten analog auf einer entsprechend
hheren OSI-Schicht.
Sind in einem lokalen Netz mit einer komplizierten Topographie mehrere Spanning Tree
Switches vorhanden, so kann es vorkommen, dass fr die Verbindung
zwischen zwei Gerten mehrere mgliche Wege existieren. Switching
funktioniert aber nur dann, wenn zu jedem Zeitpunkt klar ist, an welchen Port
ein Paket weitergeleitet werden muss. Andernfalls besteht die Gefahr, dass im
Netz Schleifen (Loops) entstehen, auf denen Pakete immer im Kreis geschickt
werden und niemals ihr eigentliches Ziel erreichen. Deswegen bieten Switches
die Mglichkeit, automatisch untereinander eine logische Netzstruktur (einen
sogenannten Spanning Tree des Netzes) "auszuhandeln", die eine reibungslose
Funktion erlaubt. Zu diesem Zweck wird das sogenannte Spanning Tree
Protocol (STP, IEEE 802.1d) verwendet. berflssige Verbindungen im Netz
werden automatisch deaktiviert und nur dann wieder aktiviert, wenn die per
STP ermittelte primre Verbindung nicht verfgbar ist.
Hierzu muss jedem Switch eine Priorittsinformation und eine eindeutige
MAC-Adresse zugewiesen sein, es muss eine Multicast-Adresse fr alle
Switches existieren und jeder Port ber eine ID eindeutig identifizierbar sein.
Um den Broadcast-Verkehr in einem "geswitchten" Netz einzuschrnken, VLAN
lassen sich virtuelle Netze (VLANs) bilden. Hierbei wird innerhalb eines
physikalischen Netzes eine logische Netzstruktur abgebildet, in dem
funktionell zusammengehrende Arbeitsstationen und Server zu einem
virtuellen Netz verbunden werden. Die Grnde fr den Zusammenschluss zu
einem VLAN knnen organisatorischer oder technischer Art sein. Unter dem
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1534
Manahmenkatalog Organisation M 2.277 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1535
Manahmenkatalog Organisation M 2.277 Bemerkungen
___________________________________________________________________ ..........................................
Abbildung 2: Trunking
Erstreckt sich ein VLAN ber mehrere Switches, so steigt in der Praxis der
Datenverkehr zwischen diesen Komponenten um den Anteil der mit Hilfe des
Trunking- Protokolls bertragenen Informationen. Die Kommunikation
zwischen Teilnehmern unterschiedlicher VLANs erfolgt ber OSI-Schicht 3,
das heit die Pakete werden VLAN bergreifend geroutet. Das Routing kann
auf einem Switch durchgefhrt werden, der Routing-Funktionen untersttzt
(siehe auch den Abschnitt zu Layer-3-Switches in der Einleitung zum Kapitel
7.11 Router und Switches), oder auf einem angeschlossenen Router erfolgen,
der die VLANs auf der OSI-Schicht 3 verbindet.
Die folgenden Abbildungen zeigen Beispiele fr ein (port-basiertes) VLAN,
das sich ber drei verschiedene Etagen eines Gebudes erstreckt und fr eine
Konfiguration mit zwei verschiedenen VLANs auf einem Switch.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1536
Manahmenkatalog Organisation M 2.277 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1537
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1538
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
Die Funktion der Paketfilterung ist bei den meisten Routern bereits im
Betriebssystem integriert. Es gibt auch Router, die bereits eine integrierte
Stateful-Inspection-Firewall bereitstellen.
Es ist empfehlenswert, das Management der beteiligten Systeme (speziell die
Einrichtung von Filterregeln) mit Hilfe einer einheitlichen Benutzeroberflche
durchzufhren. Dies hilft Konfigurationsfehler vermeiden, die beispielsweise
Sicherheitslcher im Sicherheits-Gateway ffnen oder zu Strungen des
Netzbetriebs fhren knnen.
Anforderungen an einen Router fr diesen Einsatzzweck sind in M 2.73
Auswahl eines geeigneten Firewall-Typs zu finden.
Weiterhin sind bei der Konfiguration Vorgaben aus M 4.203 Konfigurations-
Checkliste fr Router und Switches als Mindestvoraussetzung zu
bercksichtigen. Der uere Paketfilter im aufgefhrten Beispiel ist direkt an
ein ffentliches Netz angeschlossen und damit einem erhhten Risiko
ausgesetzt. Deshalb muss dieser Router besonders restriktiv konfiguriert sein.
Anbindung von Auenstellen
Router knnen zur Anbindung von Auenstellen genutzt werden. In der
nachfolgenden Abbildung dienen die dargestellten Router zur Kopplung von
lokalen Netzen (LAN), die einen einheitlichen Schutzbedarf haben und unter
einer einheitlichen Administrationsverantwortung stehen. In diesen Fllen
werden zumeist keine oder nur schwache Filterregeln auf den Routern
konfiguriert. In kleinen Netzen knnen statische Routen verwendet werden,
whrend in mittleren oder groen Umgebungen Interior Gateway Protokolle
als Routing-Protokolle eingesetzt werden. Die beteiligten Router sind somit
Bestandteil einer abgeschlossenen Routing-Domne. Als
Verbindungstechnologien knnen ATM, Frame Relay, ISDN, DSL oder
Standardfestverbindungen genutzt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1539
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
Remote Access
In kleinen und mittleren Netzen werden Router oftmals auch zur Einwahl in
lokale Netze (LAN) verwendet. Einwahlmglichkeiten sollten jedoch nicht
direkt in ein LAN integriert werden, sondern es sollte zumindest ein Einwahl-
Router eingesetzt werden, der entsprechende Sicherheitsfunktionalitt bietet,
um das LAN vor Angriffen ber die Einwahlzugnge zu schtzen.
Ein mglicher Weg zur Absicherung einer Einwahl mit Hilfe eines Routers ist
in der folgenden Abbildung dargestellt. Der Router wird in der DMZ eines
Sicherheits-Gateways betrieben. Zustzliche Sicherheit wird durch die
Authentisierung mit Hilfe eines RADIUS-Servers erreicht. Der Router
fungiert in diesem Fall als RADIUS-Client. Remote-User authentisieren sich
nicht direkt am Router, sondern am RADIUS-Server. Dadurch knnen
Benutzer zentral am RADIUS-Server verwaltet werden.
Durch die Verwendung eines One-Time-Passwort-Verfahrens (OTP) in
Kombination mit einem Hardware-Token oder einer Smart-Card, wird eine
starke Authentisierung erreicht. RADIUS-Server untersttzen in der Regel die
Erweiterung von OTP-basierenden Verfahren durch die Installation von Plug-
Ins oder durch die Kommunikation mit einem OTP-Server. Eine weitere
Mglichkeit zur Erreichung einer starken Authentisierung ist die Einbindung
der Remote-Access-Lsung in eine bestehende Public Key Infrastructure
(PKI). Der RADIUS-Server muss in diesem Fall fr den Zugriff auf einen
Verzeichnisdienst konfiguriert sein. Dadurch lsst sich in Kombination mit
einer Smart-Card eine zertifikatsbasierende starke Verschlsselung erreichen.
Weiterfhrende Manahmen sind im Baustein 7.6 Remote Access und 8.4
LAN-Anbindung eines IT-Systems ber ISDN beschrieben.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1540
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1541
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1542
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Ist der Einsatzzweck der zu beschaffenden Netzkomponente definiert?
- Wo soll der Router eingesetzt werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1543
Manahmenkatalog Organisation M 2.278 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1544
Manahmenkatalog Organisation M 2.279 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1545
Manahmenkatalog Organisation M 2.279 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1546
Manahmenkatalog Organisation M 2.279 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1547
Manahmenkatalog Organisation M 2.280 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1548
Manahmenkatalog Organisation M 2.280 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1549
Manahmenkatalog Organisation M 2.280 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1550
Manahmenkatalog Organisation M 2.280 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1551
Manahmenkatalog Organisation M 2.280 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1552
Manahmenkatalog Organisation M 2.281 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1553
Manahmenkatalog Organisation M 2.281 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1554
Manahmenkatalog Organisation M 2.282 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1555
Manahmenkatalog Organisation M 2.282 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1556
Manahmenkatalog Organisation M 2.282 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1557
Manahmenkatalog Organisation M 2.282 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Ist die regelmige Kontrolle von Routern und Switches Bestandteil der
Sicherheitsrichtlinie?
- Welches Prfintervall wurde festgelegt?
- Wann und von wem wurden Router und Switches das letzte Mal geprft?
- Wurde die Prfung dokumentiert?
- Wurden entsprechende Aktionen aus der Prfung abgeleitet und
Verantwortlichkeiten festgelegt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1558
Manahmenkatalog Organisation M 2.283 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1559
Manahmenkatalog Organisation M 2.283 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1560
Manahmenkatalog Organisation M 2.283 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1561
Manahmenkatalog Organisation M 2.284 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1562
Manahmenkatalog Organisation M 2.284 Bemerkungen
___________________________________________________________________ ..........................................
Oft sind Router und Switches von auen mit IP-Adressen, Hostnamen oder
sonstigen technischen Informationen beschriftet. Auch diese Beschriftung
sollte vor der Entsorgung entfernt werden.
Ergnzende Kontrollfragen:
- Ist die sichere Entsorgung von Gerten in der Sicherheitsrichtlinie fr
Router und Switches bercksichtigt?
- Werden Konfigurationsdateien und Log-Dateien vor der Entsorgung sicher
gelscht bzw. unlesbar gemacht?
- Wird die Beschriftung von den Gerten vor der Entsorgung entfernt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1563
Manahmenkatalog Organisation M 2.285 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1564
Manahmenkatalog Organisation M 2.285 Bemerkungen
___________________________________________________________________ ..........................................
- Job-Namen
evtl. mit Unterscheidungsmerkmalen fr Entwicklung und Produktion
- Katalog-Namen
- LOGON-Prozeduren-Namen
- Member-Namen
evtl. mit Unterscheidungsmerkmalen fr Entwicklung und Produktion
- Output-Klassen
- PAGE-Datasets
- Parmlib-Member fr JESx
- Prozeduren-Namen
- RACF-Resource-Klassen
- SMF-Belegung (System Management Facility)
- SMP/E-Datei-Namen
- SMP/E-Umgebungen fr verschiedene Subsysteme
- SMP/E-Zonen-Datasets
- SMP/E-Zonen-Namen
- SMS-Datei-Namen
- SSID (Sub-System ID)
- Vermeidung von Standortkennzeichen
Standortkennzeichen haben sich im Rahmen von Umstrukturierungen und
Anwendungsverlagerungen nicht unbedingt als vorteilhaft erwiesen
- STC-Namen (Started Tasks)
- STEPCAT sollte nicht verwendet werden
- SVC-Belegung
- Sysplex-ID
- Systemdateien-Namen
- System-ID (mit Sysplex-Kennung)
- Table-Space-Namen
- TSO-LOGON-Prozeduren
- UNIT-Klassen
- USER-ID
- USERMODs
- Volume-Namen (System-Volumes, Anwendungs-Volumes)
In Abhngigkeit von den eingesetzten Subsystemen, Datenbanksystemen,
Software-Produkten und Anwendungen kann diese Liste noch durch weitere
Objekte ergnzt werden.
Ergnzende Kontrollfragen:
- Sind die vereinbarten Standards dokumentiert?
- Haben die Administratoren Zugang zu der Dokumentation der Standards?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1565
Manahmenkatalog Organisation M 2.286 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1566
Manahmenkatalog Organisation M 2.286 Bemerkungen
___________________________________________________________________ ..........................................
Behrde oder des Unternehmens muss bei der Planung mit bercksichtigt
werden.
Personal
Es ist zu berprfen, wie viele Mitarbeiter mit welcher Ausbildung fr den
Betrieb des zSeries-Systems bentigt werden. Stehen nicht gengend
ausgebildete Mitarbeiter mit Mainframe-Wissen zur Verfgung, mssen die
Schulungsmanahmen rechtzeitig initiiert werden.
Einsatzszenarien
Im Folgenden werden exemplarisch einige typische Einsatzszenarien von
zSeries-Systemen vorgestellt und Empfehlungen zur Trennung von Systemen
mit unterschiedlichen Sicherheitsanforderungen beschrieben.
Batch-Systeme
Bei Batch-Systemen steht die Stapelverarbeitung im Vordergrund. Stapelver-
arbeitung bedeutet, dass vorgegebene Programme (Batch-Jobs) an Hand von
durch JCL (Job Control Language) definierten Ablufen ohne Interaktion mit
den Benutzern - in der Regel groe - Datenbestnde bearbeiten. Batch-
Systeme knnen sowohl als Einzelsysteme als auch im Rahmen von Parallel-
Sysplex-Clustern betrieben werden. Fr Batch-Systeme ist zu berlegen, ob
eine Scheduling-Funktion zur Kontrolle der Stapelverarbeitung eingesetzt
werden soll (siehe M 2.287 Batch-Job-Planung fr z/OS-Systeme). Die
Verwaltung der Zugriffsrechte sollte durch RACF (Resource Access Control
Facility) abgedeckt werden. Anhand der Anforderungen an die Skalierbarkeit
ist auerdem zu prfen, ob ein Parallel-Sysplex-Cluster eingesetzt werden
sollte.
Online-Systeme
Online-Systeme verarbeiten Transaktionen, die durch interaktive Arbeiten der
Benutzer am Bildschirm ausgelst werden. Hierbei kommen hufig
sogenannte Transaktionsmonitore wie CICS (Customer Information Control
System) oder IMS (Information Management System) zum Einsatz. Wie bei
Batch-Systemen sollte RACF zur Verwaltung und Durchsetzung der
Zugriffsrechte verwendet werden. Bei hohen Anforderungen an die
Verfgbarkeit des Online-Systems sollte geprft werden, ob diesen
Anforderungen durch den Einsatz eines Parallel-Sysplex-Clusters Rechnung
getragen werden kann. Weitere Empfehlungen finden sich in der Manahme
M 2.296 Grundstzliche berlegungen zu z/OS-Transaktionsmonitoren.
Web-Server
zSeries-Systeme werden auch als Web-Server fr Internet- oder Intranet-
Angebote eingesetzt. Als Betriebssystem kommt dabei z/OS oder auch zLinux
(separat oder als Gast unter z/VM) zum Einsatz. Sicherheitsempfehlungen fr
den Betrieb von Linux auf zSeries-Systemen finden sich in der Manahme
M 4.212 Absicherung von Linux fr zSeries.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1567
Manahmenkatalog Organisation M 2.286 Bemerkungen
___________________________________________________________________ ..........................................
Datenbank-Server
z/OS-Systeme knnen auch als Datenbank-Server eingesetzt werden. Das
System stellt dazu, hufig mit Hilfe der Datenbank-Software DB2, Services
zur Verfgung, die es erlauben, Datenbankinformationen abzufragen oder
deren Inhalte zu verndern. Datenbank-Server werden oft in Verbindung mit
Transaktionsmonitoren (z. B. CICS) oder mit Webservern eingesetzt und
liefern diesen den notwendigen Datenbank-Zugriff. Die Konzentration auf den
reinen Datenbank-Service reduziert die Komplexitt und verbessert die
Performance des Systems gerade bei sehr groen Datenbanken. Wie bei den
vorher beschriebenen Szenarien sollte RACF auch bei Datenbank-Servern zur
Verwaltung und Durchsetzung der Zugriffsrechte verwendet werden. Weitere
Empfehlungen zum Einsatz von DB2 finden sich in der Manahme M 2.296
Grundstzliche berlegungen zu z/OS-Transaktionsmonitoren.
Universelle Systeme
Universelle Systeme sind Mainframes, die mehrere der oben beschriebenen
Dienste erbringen. Sie verarbeiten sowohl Batch-Jobs als auch Online-
Transaktionen und enthalten einen (oder mehrere) Datenbank-Server.
Gegebenenfalls werden sie zustzlich auch noch als Webserver im Internet
oder Intranet eingesetzt. In allen Bereichen sollte RACF als Sicherheitssystem
eingesetzt werden.
System-Trennung
Da fr Produktions-Systeme unter z/OS in der Regel hhere
Sicherheitsanforderungen gelten als fr Test- und Entwicklungssysteme, muss
zwischen beiden Systemumgebungen eine Trennung erfolgen. Um diese
Trennung zu realisieren, sind folgende Empfehlungen zu bercksichtigen:
Gemeinsame Festplatten-Zugriffe
Die Festplatten sind den Test- und Produktions-Systemen so zuzuordnen, dass
unberechtigte Zugriffe auf Produktions-Daten verhindert werden knnen.
Dabei erfolgt die Definition der Adressen im HCD (Host Configuration
Definition). Es muss durch technische und organisatorische Manahmen
sichergestellt werden, dass Festplatten aus Test-Systemen an Produktions-
Systemen (und umgekehrt) nicht Online gesetzt werden knnen und dass auf
die gleichen Festplatten nicht gleichzeitig von Test- und Produktions-
Systemen aus zugegriffen werden kann (Shared DASD).
Einsatz von FTP
Der Datenaustausch zwischen Produktions- und Test-Systemen sollte ber
FTP (File Transfer Program) erfolgen.
Shared Sysplex
Produktions- und Test-Systeme sollten nicht im selben Parallel Sysplex-
Verbund betrieben werden. Ist eine solche Konstellation notwendig, muss eine
logische Trennung ber entsprechende Standards und RACF-Definitionen
(Resource Access Control Facility) sicherstellen, dass kein Missbrauch von
Dateizugriffen entstehen kann.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1568
Manahmenkatalog Organisation M 2.286 Bemerkungen
___________________________________________________________________ ..........................................
Shared RACF-Datenbanken
Es sollte berlegt werden, fr Produktions- und Test-Systeme keine Shared-
RACF-Datenbanken zu verwenden.
Ergnzende Kontrollfragen:
- Sind die Transaktionsmonitore ber RACF gesichert?
- Ist sichergestellt, dass es keine Shared-Dasd-Verbindung zwischen Test-
und Produktions-Systemen unter Produktionsbedingungen gibt?
- Ist sichergestellt, dass Test- und Produktions-Systeme nicht im gleichen
Parallel-Sysplex-Verbund laufen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1569
Manahmenkatalog Organisation M 2.287 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1570
Manahmenkatalog Organisation M 2.287 Bemerkungen
___________________________________________________________________ ..........................................
Prozedurdateien
Die Prozedurdateien des Job-Schedulers mssen so ber RACF geschtzt
werden, dass der Zugriff auf die Prozedurdateien nur Mitarbeitern mglich ist,
die diesen Zugriff fr ihre Ttigkeit auch bentigen. Dabei ist die Anzahl auf
ein Minimum zu beschrnken. Eine Stellvertreter-Regelung muss in jedem
Fall vorgesehen sein.
Die Kennung des Job-Schedulers muss lesenden Zugriff auf alle
Prozedurdateien besitzen, um die Batch-Jobs entsprechend starten zu knnen.
Tool-Zugriff
Der Job-Scheduler wird meist ber einen ISPF-Dialog (Interactive System
Productivity Facility) gesteuert. Der Zugang zum Job-Scheduler sollte nur
Mitarbeitern zur Verfgung stehen, die ihn fr ihre Arbeit bentigen, sowie
deren Vertretern. Der Zugangs- und Zugriffsschutz sollte ber RACF
erfolgen. Falls dies nicht mglich ist, mssen interne Sicherheitsmechanismen
des Schedulers genutzt werden.
Systemadministration
Die Verwaltung der Batch-Jobs im Job-Scheduler sollte, wenn immer
mglich, so ber RACF geschtzt werden, dass jede Anwender-Gruppe, wie
Systembetreuer, Space-Management oder RACF-Administration, nur ihre
Batch-Jobs einsehen und bearbeiten kann.
Ergnzende Kontrollfragen:
- Ist sichergestellt, dass die Kennung des Job-Schedulers ohne das RACF-
Attribut OPERATIONS auskommt?
- Ist der Zugang zum Job-Scheduler-Programm ber RACF geschtzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1571
Manahmenkatalog Organisation M 2.288 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1572
Manahmenkatalog Organisation M 2.288 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1573
Manahmenkatalog Organisation M 2.289 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1574
Manahmenkatalog Organisation M 2.289 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1575
Manahmenkatalog Organisation M 2.290 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1576
Manahmenkatalog Organisation M 2.290 Bemerkungen
___________________________________________________________________ ..........................................
Ausnahme stellt IRREVX01 dar. Dieser Exit sollte jedoch ebenfalls kontrolliert
werden, wenn er verwendet wird.
Ergnzende Kontrollfragen:
- Ist der Exit ICHDEX01 und damit der Masking-Algorithmus ausgeschaltet?
- Wurden alle verwendeten RACF-Exits per SMP/E als Usermod eingebaut?
- Steht die Exit-Auswertung ber DSMON zur Verfgung?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1577
Manahmenkatalog Organisation M 2.291 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1578
Manahmenkatalog Organisation M 2.291 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1579
Manahmenkatalog Organisation M 2.291 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1580
Manahmenkatalog Organisation M 2.291 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1581
Manahmenkatalog Organisation M 2.292 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1582
Manahmenkatalog Organisation M 2.292 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1583
Manahmenkatalog Organisation M 2.293 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1584
Manahmenkatalog Organisation M 2.293 Bemerkungen
___________________________________________________________________ ..........................................
Change Management
Alle nderungen an Definitionen des z/OS-Betriebssystems (auch dyna-
mische nderungen whrend des produktiven Betriebs) mssen ber das
Change Management geplant und kontrolliert werden. Dies gilt auch fr
Neuinstallationen.
Neuinstallation
Eine Neuinstallation wird notwendig, wenn ein z/OS-Betriebssystem erstmalig CustomPacs
in Betrieb gehen soll oder wenn eine neue Version (bzw. neues Release) die
vorhandene Version ablsen soll. Der Hersteller bietet hier unter dem Begriff
CustomPac verschiedene, weitgehend vorbereitete Produkt- und System-
lieferungen an, die teils kostenlos, teils im Rahmen von Wartungsvertrgen
zur Verfgung stehen.
SystemPac ist ein Teil des CustomPac-Angebotes und erlaubt es, eine weit-
gehend vorbereitete Lieferung des z/OS-Betriebssystems - gegebenenfalls
einschlielich einiger Zusatzprodukte - zu installieren. Zur Neuinstallation ist
eine separate Systemumgebung (siehe unten) erforderlich. Durch die Nutzung
von SystemPac kann der Aufwand und dadurch auch die Wahrscheinlichkeit
von Bedienungsfehlern bei der Neuinstallation erheblich reduziert werden. Es
sollte deshalb berlegt werden, bei Neuinstallationen von z/OS auf den
SystemPac-Mechanismen zurckzugreifen. Dabei sind auch die Zusatzkosten
zu bercksichtigen, die dadurch eventuell anfallen.
Permanente Pflege der Komponenten
Das z/OS-Betriebssystem und seine Programm-Produkte mssen permanent
gepflegt werden. Fast alle Hersteller stellen fr ihre Programme Patches (im
Mainframe-System als PTFs bekannt) zur Verfgung, die Fehler beheben
sollen. IBM stellt diese PTFs fr das z/OS-Betriebssystem ber verschiedene
Kanle zur Verfgung:
- als Einzellieferung auf Anforderung des Kunden (z. B. auf Grund einer
Fehlersituation): hier muss der Anwender die Rahmenbedingungen selbst
berprfen, z. B. die Abhngigkeiten
- als RefreshPac im Rahmen prventiver Wartung, angepasst an das
Kundensystem (von IBM vorgeprft) oder
- als OMIS-Lieferung (Online Maintenance Information System). OMIS
basiert auf den Daten des Kundensystems und ist ebenfalls von IBM
vorgeprft.
Es ist zu berlegen, ob prventive Wartung zur Erhhung der Betriebssicher-
heit notwendig ist, oder ob PTFs nur bei aktuellen Fehlern eingespielt werden
sollen. Sicherheitsrelevante Patches sollten in jedem Fall prventiv und zeit-
nah nach dem Erscheinen eingespielt werden. Dies gilt besonders fr Systeme
mit Internetzugang. Informationen ber sicherheitsrelevante Patches knnen
von IBM angefordert werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1585
Manahmenkatalog Organisation M 2.293 Bemerkungen
___________________________________________________________________ ..........................................
SMP/E-Wartung
Als zentrales Wartungs-Tool ist SMP/E einzusetzen, das System Modifikation Einsatz von SMP/E
Program/Extended. Durch die Bestandsfhrung der Software-Stnde im CSI
(Consolidated Software Inventory) wird sichergestellt, dass alle Informationen
ber Module, Versionen und Zusammenhnge des z/OS-Betriebssystems zur
Verfgung stehen und damit Fehler bei der Installation der Patches mglichst
vermieden werden.
Independent Software Vendors
Software-Produkte von ISVs (Independent Software Vendors) sollten mg-
lichst ebenfalls ber SMP/E installiert und gepflegt werden. Es ist zu ber-
legen, ob ISV-Produkte separat oder im Rahmen des SystemPac-Mechanismus
installiert werden sollen.
Consolidated Software Inventory
Es sollte ein CSI fr das z/OS-Betriebssystem existieren, bzw. im Falle einer
SystemPac-Installation gem der Lieferung durch IBM sollte das (die)
CSI(s), wie im Ablauf vorgesehen, angelegt werden. Pro Hersteller wird ein
separates CSI empfohlen, um Problemen mit Namensgleichheit bei PTFs vor-
zubeugen.
USERMODS
Eigene nderungen durch Anwender sollten nur mittels SMP/E installiert
werden (als USERMODS). Dies stellt sicher, dass die eigenen nderungen
nicht durch Herstellernderungen berspielt werden, ohne dass eine Informa-
tion darber vorliegt. Sie mssen nach jedem Releasewechsel des Systems
bzw. der Module, auf denen die nderungen aufsetzen, neu installiert und
eventuell auch angepasst werden. USERMODS sollten auf ein Minimum
begrenzt werden, da sie permanenten Pflegeaufwand nach sich ziehen.
ACCEPT-Lufe
Durch einen ACCEPT-Lauf wird ein PTF permanent im System abgelegt, d. h.
es ist nicht mehr entfernbar. Ein ACCEPT-Lauf sollte daher erst stattfinden,
wenn sichergestellt ist, dass die PTFs die festgestellten Probleme beseitigen
und keine neuen erkennbaren Fehler hervorrufen.
APPLY CHECK
Es ist zu empfehlen, dass vor dem Einbau von PTFs ber einen APPLY
CHECK SMP/E-Lauf sichergestellt wird, dass die PTFs auch zur aktuell
installierten Betriebssystem-Umgebung passen und keine zustzlichen PTFs
erforderlich sind (sogenannte Prerequisites oder Corequisites).
Test vor Produktion
Die betriebliche Zuverlssigkeit der gelieferten PTFs sollte erst auf einem
Testsystem berprft werden, bevor die PTFs in ein Produktionssystem
eingebaut werden. Bei greren Wartungsarbeiten (z. B. ein sogenannter
Refresh mit hunderten von PTFs) muss dieser Ablauf in jedem Fall vorge-
sehen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1586
Manahmenkatalog Organisation M 2.293 Bemerkungen
___________________________________________________________________ ..........................................
Kumulative Betriebssystemdateien
Es sollten keine Betriebssystemdateien an SMP/E vorbei kopiert werden, da
hierdurch die Sicherheit der Wartung beeintrchtigt werden kann. Kumulierte
Dateien sind solche, die aus mehreren Dateien zusammengesetzt worden sind.
Sollen kumulierte Dateien verwendet werden, muss entweder die Bestands-
fhrung in SMP/E angepasst oder ein separates Verfahren eingesetzt werden,
um die Bestandskontrolle gewhrleisten zu knnen. Es ist daher zu berlegen,
ob der Mehraufwand gerechtfertigt ist.
Alternative Systemumgebung
Zum Einbau von PTFs sollte eine zweite (alternative) Systemumgebung
benutzt werden. Hierfr sollten separate Festplatten mit einer Kopie des
Originalsystems verwendet werden. Dies ermglicht ein problemloses Ein-
bauen whrend der Betriebszeiten und erlaubt ein schnelles IPL (Initial
Program Load) von der vernderten System Residence (der Festplatte, von der
der Boot-Vorgang eingeleitet wird). Darber hinaus untersttzt diese Vor-
gehensweise (Flip-Flop-Verfahren) den schnellen Fallback, da die Festplatten
der vorher aktiven Betriebssystemkomponenten noch zur Verfgung stehen.
System-Cloning
Unter System-Cloning versteht man das Kopieren der Betriebssystem-Kompo-
nenten auf einen neuen Festplatten-Satz unter Bercksichtigung der zu
ndernden Definitionen. Es ist zu berlegen, ob ein Verfahren zum System-
Cloning etabliert wird, um alternative System-Umgebungen schnell und sicher
aufbauen zu knnen.
Ein solches Verfahren muss eigenstndig erstellt werden, z. B. in Form eines
Batch-Jobs mit mehreren Schritten. Die Benutzung von System-Variablen
hilft hier wesentlich.
Einsatz symbolischer System-Variablen
Bei den z/OS-Parameter-Dateien sollte, soweit mglich, mit symbolischen
Variablen gearbeitet werden. Dies vereinfacht das System-Cloning erheblich
und vermeidet vielfach auch Fehldefinitionen. Ab dem z/OS-Betriebssystem
V1R4 stehen bis zu 800 Variablen zur Verfgung.
Dokumentation
Es ist zu berlegen, ob ein Berichtswesen, basierend auf SMP/E, aufgebaut
werden sollte, um jederzeit den aktuellen Stand der gesamten Software des
Betriebssystems darstellen zu knnen.
Wartung des zSeries-Microcode (Firmware)
Zur Behebung von Code-Fehlern in der Firmware, zum Firmware-Update auf
neue Versionen und zur Aktivierung oder Deaktivierung von Hardware-
Komponenten (z. B. Prozessoren, Krypto-Hardware) werden von den Her-
stellern Microcode-Updates durchgefhrt. Hierfr mssen folgende Hinweise
beachtet werden:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1587
Manahmenkatalog Organisation M 2.293 Bemerkungen
___________________________________________________________________ ..........................................
Betreiberkontrolle
Updates durch den Hersteller drfen nur nach Absprache mit dem Betreiber
der zSeries-Systeme und nur unter Kontrolle von Mitarbeitern des Betreibers
durchgefhrt werden.
Hersteller-Erklrung
Der Hersteller der Betriebssystem-Software sollte eine Vertraulichkeits-
Erklrung ausstellen.
Remote Wartung
Der externe Zugang (Remote Access) ist, wie in Baustein 7.6 Remote Access Einsatz des Remote
Support Facilities
und speziell in Manahme M 4.207 Einsatz und Sicherung systemnaher z/OS-
Terminals beschrieben, zu schtzen. Es muss sichergestellt werden, dass
nderungen an Firmware-Komponenten nur nach Abstimmung mit dem
zSeries-Systembetreiber erfolgen.
Abbau des z/OS-Betriebssystems
Weiterfhrende Informationen zu dem Abbau eines z/OS-Betriebssystems
sind unter M 2.297 Deinstallation von z/OS-Systemen zu finden.
Ergnzende Kontrollfragen:
- Wird SMP/E zur Installation und zu Wartungsarbeiten eingesetzt?
- Werden alle Anwender-spezifische Modifikationen ber SMP/E installiert?
- Gibt es eine alternative System-Umgebung?
- Werden symbolische Variablen eingesetzt?
- Ist ein Verfahren zum System-Cloning etabliert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1588
Manahmenkatalog Organisation M 2.294 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1589
Manahmenkatalog Organisation M 2.294 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1590
Manahmenkatalog Organisation M 2.295 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1591
Manahmenkatalog Organisation M 2.295 Bemerkungen
___________________________________________________________________ ..........................................
- Audits
Der Auditor (RACF Attribut AUDITOR) kann alle sicherheitsrelevanten
Systemeinstellungen einsehen, aber nicht ndern. Der Auditor gleicht die
aktuellen Systemeinstellungen mit den vorgegebenen Systemeinstellungen
ab.
Stellvertreter-Regelungen
Fr alle wichtigen Rollen der Systemverwaltung mssen Stellvertreter-
Regelungen vorhanden sein. Keinesfalls darf eine wichtige Rolle nur mit einer
Person besetzt sein. Weitere Hinweise hierzu sind in M 3.10 Auswahl eines
vertrauenswrdigen Administrators und Vertreters aufgefhrt.
Ergnzende Kontrollfragen:
- Gibt es ein Rollenkonzept fr z/OS-Systeme?
- Gibt es Stellvertreter-Regelungen fr die wichtigen Rollen der System-
verwaltung?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1592
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1593
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1594
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1595
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1596
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1597
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1598
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1599
Manahmenkatalog Organisation M 2.296 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1600
Manahmenkatalog Organisation M 2.297 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1601
Manahmenkatalog Organisation M 2.297 Bemerkungen
___________________________________________________________________ ..........................................
Automation
Vorhandene Automationsverfahren sind darauf zu untersuchen, ob Defini-
tionen angepasst werden mssen.
Lizenzschlsselverwaltung
Da sich durch den Abbau die Anzahl der Systeme reduziert hat, sollte geprft
werden, ob Software-Lizenzen nicht mehr bentigt werden und daher abbe-
stellt werden knnen.
Ergnzende Kontrollfragen:
- Werden sensitive Daten auf frei werdenden Festplatten vollstndig
gelscht?
- Trgt das Lschverfahren dem Schutzbedarf der gespeicherten Informa-
tionen Rechnung?
- Wird das zu deinstallierende System aus allen relevanten Tabellen ent-
fernt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1602
Manahmenkatalog Organisation M 2.298 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1603
Manahmenkatalog Organisation M 2.298 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1604
Manahmenkatalog Organisation M 2.298 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Domainnamen wurden registriert?
- Existiert ein berblick ber Laufzeiten, Preise und Kontakte fr die
Domainregistrierungen?
- Wo werden die Nameserver der Organisation betrieben?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1605
Manahmenkatalog Organisation M 2.299 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1606
Manahmenkatalog Organisation M 2.299 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1607
Manahmenkatalog Organisation M 2.299 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1608
Manahmenkatalog Organisation M 2.300 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1609
Manahmenkatalog Organisation M 2.300 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1610
Manahmenkatalog Organisation M 2.301 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1611
Manahmenkatalog Organisation M 2.301 Bemerkungen
___________________________________________________________________ ..........................................
Hierbei muss eine hohe Verfgbarkeit sowohl der Verbindung als auch des
Sicherheitsgateway-Systems gewhrleistet werden, da bei deren Ausfall
keine externen Verbindungen mehr mglich sind.
Im Allgemeinen sollen auch weitere Komponenten, die der
Kommunikation zwischen geschtztem und externem Netz dienen,
eingesetzt werden. Dazu gehren z. B. Informationsserver fr die
Bereitstellung von Informationen an interne oder externe Benutzer,
Mailserver und DNS-Server. Diese werden blicherweise in einer DMZ
des Sicherheitsgateway aufgestellt (siehe auch M 2.77 Integration von
Servern in das Sicherheitsgateway). In diesem Fall mssten sie also beim
externen Dienstleister betrieben werden. Dies kann die Kosten erheblich in
die Hhe treiben.
Sowohl beim Remote Management als auch beim Hosting eines
Sicherheitsgateways sollte eine Ausweich-Verbindung zum Dienstleister
vorhanden sein, um bei einem Ausfall der Hauptanbindung die Administration
bzw. die Internet-Anbindung zu gewhrleisten. Fr die Ausweich-Verbindung
muss sichergestellt sein, dass fr diese Verbindung mindestens das selbe
Sicherheitsniveau gewhrleistet ist, wie fr die Hauptverbindung.
Bei den verschiedenen Dienstleistungsangeboten ist zu hinterfragen,
- wie viel technisches, aber auch wie viel sicherheitsrelevantes Wissen beim
Anbieter vorhanden ist und wie dieses aktuell gehalten wird,
- ob und wie lange das Sicherheitsgateway-System unbeaufsichtigt betrieben
wird,
- wie der Personaleinsatz gesteuert wird, da ja blicherweise mehrere
Kunden betreut werden.
Auch wenn die Betreuung des Sicherheitsgateways einem Dienstleister
berlassen wird, muss trotzdem intern eine Sicherheitsgateway-
Sicherheitspolicy erstellt werden, die mit den Sicherheitszielen der
Organisation abgestimmt ist (siehe auch M 2.71 Festlegung einer Policy fr
ein Sicherheitsgateway). Beim Outsourcing eines Sicherheitsgateways sollte
in den Service-Level Agreements insbesondere schriftlich fixiert werden,
- welche Reaktionszeiten bei Ausfllen oder Angriffen gewhrleistet werden
mssen,
- welche Verfgbarkeit zu gewhrleisten ist (Performance, maximale
Ausfallrate),
- was protokolliert werden darf bzw. muss,
- welche Sicherheitsmanahmen gewhrleistet werden mssen. Dazu
gehren insbesondere alle in Kapitel 7.3 Sicherheitsgateway (Firewall)
aufgefhrten Manahmen.
Fr das Outsourcing einer so sicherheitskritischen Komponente wie dem Kapitel 3.10 Outsourcing
betrachten!
Sicherheitsgateway muss in jedem Fall der Baustein 3.10 Outsourcing
angewandt werden. Beim Dienstleister sollte idealerweise ebenfalls ein
vollstndiges Sicherheitsmanagement-System nach dem IT-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1612
Manahmenkatalog Organisation M 2.301 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1613
Manahmenkatalog Organisation M 2.302 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1614
Manahmenkatalog Organisation M 2.302 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1615
Manahmenkatalog Organisation M 2.302 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1616
Manahmenkatalog Organisation M 2.302 Bemerkungen
___________________________________________________________________ ..........................................
Dynamischer Parallelbetrieb/Loadbalancing
Bei dieser Betriebsart wird die Konfiguration der Komponenten des
Sicherheitsgateways den Performanceanforderungen im Betrieb angepasst. Ein
Beispiel hierfr ist das Loadbalancing, bei dem Datenstrme in Abhngigkeit
von der Auslastung der an der Kommunikation beteiligten Komponenten
geroutet werden.
Unbedingt zu beachten ist beim Loadbalancing, dass sich durch die
automatischen Konfigurationsnderungen auf den beteiligten Komponenten
keine nderungen des Sicherheits-Regelwerks fr das gesamte
Sicherheitsgateway ergeben.
Loadbalancing kann Teil einer High-Availibility-Lsung (HA-Lsung) sein.
Bei einer HA-Lsung wird die Verfgbarkeit von Komponenten des
Sicherheitsgateways berwacht und es werden beim Ausfall ggf.
Ersatzsysteme genutzt, die den Ausfall kompensieren sollen. Das oben
angesprochene Loadbalancing dient in diesem Zusammenhang eigentlich nur
der Performancesteigerung und fhrt alleine noch nicht zu Hochverfgbarkeit,
es muss zustzlich dafr gesorgt werden, dass bei einem Systemausfall die
Ersatzsysteme den Ausfall automatisch ohne Zutun des Administrators
auffangen. Eine stndige berwachung der HA-Komponenten ist dabei
ebenso wichtig wie ein automatisches Fail-Over im Bedarfsfall.
Vor- und Nachteile einer HA-Lsung sind mit denen eines Hot-Standby-
Systems zu vergleichen. Vorteilhaft gegenber Hot-Standby ist zustzlich
jedoch, dass smtliche Komponenten des Sicherheitsgateways genutzt werden
und sich somit eine Lastverteilung ergibt, die die Verfgbarkeit des
Sicherheitsgateways sicherstellen kann.
Anforderungen an HA-Lsungen:
An eine HA-Lsung sollten folgende Forderungen gestellt werden:
- Auch nach einem automatischen Fail-Over muss das Sicherheitsgateway Keine
Sicherheitseinbuen bei
die Sicherheitsanforderungen der Sicherheitsleit- bzw. -richtlinie erfllen Fail-Over!
("Fail safe" bzw. "Fail secure").
- Die HA-Realisierung darf den Betrieb des Sicherheitsgateways bzw.
dessen Sicherheitsfunktionen nicht behindern.
- Mindestens Paketfilter und Application-Level-Gateway sollten
hochverfgbar ausgelegt werden, da eine Kommunikation bei einem
Ausfall der Komponenten in der Regel nicht mehr mglich ist. hnliches
gilt fr VPN-Komponenten.
- Es sollten zwei voneinander unabhngige Zugangsmglichkeiten zum
externen Netz bestehen, z. B. zwei Internetzugnge von unterschiedlichen
Providern.
- Interne und externe Router mssen redundant ausgelegt sein, z. B. unter
Verwendung von Protokollen wie "Virtual Router Redundancy Protocol"
(VRRP) oder das proprietre "Hot Standby Routing Protocol" (HSRP).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1617
Manahmenkatalog Organisation M 2.302 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1618
Manahmenkatalog Organisation M 2.302 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1619
Manahmenkatalog Organisation M 2.303 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1620
Manahmenkatalog Organisation M 2.303 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1621
Manahmenkatalog Organisation M 2.304 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1622
Manahmenkatalog Organisation M 2.304 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1623
Manahmenkatalog Organisation M 2.304 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1624
Manahmenkatalog Organisation M 2.304 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1625
Manahmenkatalog Organisation M 2.305 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1626
Manahmenkatalog Organisation M 2.305 Bemerkungen
___________________________________________________________________ ..........................................
1.2 Zuverlssigkeit/Ausfallsicherheit
- Wie zuverlssig und ausfallsicher ist das Produkt?
- Ist das Produkt im Dauerbetrieb einsetzbar?
- Gibt es einen im Produkt integrierte Backup-Mechanismus?
- Kann eine automatische Datensicherung durchgefhrt
werden?
1.3 Benutzerfreundlichkeit
- Knnen Benutzer die Systeme ohne grere Schulungsma-
nahmen effektiv, sicher und fehlerfrei nutzen?
- Ist die Synchronisations-Software so konfigurierbar, dass die
Benutzer mglichst wenig mit technischen Details belastet
werden? Ist die Sicherheit dabei trotzdem immer gewhrlei-
stet?
- Sind Abmessungen und Gewicht bezogen auf den Einsatz-
zweck angemessen? Ist die Akku-Laufzeit ausreichend fr die
tgliche Arbeit?
1.4 Kosten
- Wie hoch sind die Anschaffungskosten der Hard- und Soft-
ware?
- Wie hoch sind die voraussichtlichen laufenden Kosten der
Hard- und Software (Wartung, Betrieb, Support)?
- Wie hoch sind die voraussichtlichen laufenden Kosten fr das
Personal (Administrator/Support)?
- Mssen zustzliche Soft- oder Hardware-Komponenten ange-
schafft werden (z. B. Docking-Station, Konvertierungssoft-
ware)?
2. Funktion
2.1 Installation und Inbetriebnahme
- Lsst sich das Produkt einfach installieren, konfigurieren und
nutzen?
- Kann das Gert sowie die Synchronisations-Software so
konfiguriert werden, dass die vorgegebenen Sicherheitsziele
erreicht werden knnen?
- Knnen wichtige Konfigurationsparameter vor Vernderun-
gen durch nicht befugte Benutzer geschtzt werden?
- Arbeitet das Produkt mit gngiger Hard- und Software zusam-
men (Betriebssysteme, Treiber)?
2.2 Administration
- Enthlt die mitgelieferte Produktdokumentation eine genaue
Darstellung aller technischen und administrativen Details?
- Knnen die PDAs ber eine zentral gesteuerte Management- Ist einfache
Software administriert werden? Ist die administrative Schnitt- Administration mglich?
stelle so gestaltet, dass auf fehlerhafte, unsichere oder inkonsi-
stente Konfigurationen hingewiesen wird oder diese verhin-
dert werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1627
Manahmenkatalog Organisation M 2.305 Bemerkungen
___________________________________________________________________ ..........................................
2.3 Protokollierung
- Bietet das Produkt Protokollierung an?
- Ist der Detailgrad der Protokollierung konfigurierbar?
- Werden durch die Protokollierung alle relevanten Daten
erfasst?
2.4 Kommunikation und Datenbertragung
- Untersttzt der PDA alle bentigten Datenbertragungs-
techniken (z. B. Infrarot, Bluetooth oder GSM)?
2.5 Sicherheit: Kommunikation, Authentisierung und Zugriff
- Hat der PDA geeignete Mechanismen zur Identifikation und
Authentisierung der Benutzer?
- Knnen mit dem Produkt die Daten zu anderen Endgerten
gesichert bertragen werden? Gilt dies fr alle Schnittstellen,
also z. B. auch fr drahtlose Verbindungen?
- Knnen zustzliche Sicherungsmechanismen (z. B. Verschls-
selungs- oder Virensuchprogramme) genutzt werden?
- Erlaubt die Produktarchitektur die nachtrgliche Installation
neuer Sicherheitsmechanismen?
- Wird dem mobilen Benutzer nur nach erfolgreicher Authenti-
sierung der Zugang zu lokalen Endgerten erlaubt?
- Gibt es benutzerfreundliche Mglichkeiten zur Datensiche-
rung?
Sind alle Anforderungen an das zu beschaffende Produkt dokumentiert, so
mssen die am Markt erhltlichen Produkte dahin gehend untersucht werden,
inwieweit sie diese Anforderungen erfllen. Es ist zu erwarten, dass nicht
jedes Produkt alle Anforderungen gleichzeitig oder gleich gut erfllt. Daher
sollten die einzelnen Anforderungen mit Gewichten versehen werden, die
reflektieren, wie wichtig die Erfllung der jeweiligen Anforderung ist. Auf-
grund der durchgefhrten Produktbewertung (gem dem erstellten Anforde-
rungskatalog) kann dann eine fundierte Kaufentscheidung getroffen werden.
Trotz einer Produktauswahl durch das IT-Management sollte immer damit Eigenwillige Mitarbeiter
gerechnet werden, dass Mitarbeiter andere PDAs bevorzugen und versuchen,
diese im Betrieb einzusetzen und eventuell sogar Untersttzung dafr einfor-
dern. Hierfr sollte eine geeignete Vorgehensweise definiert werden.
Ergnzende Kontrollfragen:
- Wurde eine Anforderungsanalyse durchgefhrt?
- Wurde eine Bewertung der relevanten Gerte anhand dieser Anforderungen
durchgefhrt?
- Wurde die Beschaffungsentscheidung mit den Administratoren und dem
technischen Personal abgestimmt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1628
Manahmenkatalog Organisation M 2.306 Bemerkungen
___________________________________________________________________ ..........................................
M 2.306 Verlustmeldung
Verantwortlich fr Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: IT-Benutzer
Bei Ausfall, Defekt, Zerstrung oder Diebstahl eines IT-Systems sollte dies
umgehend gemeldet werden. Hierfr sollte es in jeder Organisation klare
Meldewege und Ansprechpartner geben. Vor allem bei einem Diebstahl muss
schnell gehandelt werden, da es hier nicht nur um die Wiederbeschaffung der
Gerte geht, sondern auch darum, potentiellen Missbrauch der betroffenen
Informationen zu verhindern.
Auf gestohlenen Gerten wie Laptops oder PDAs knnen sich vertrauliche
Daten befinden, nach deren Verlust umgehend gehandelt werden muss, bei-
spielsweise:
- Zugangsdaten wie Passwrter: Alle Zugangsdaten auf eventuell betroffe-
nen IT-Systemen mssen umgehend gendert werden.
- als vertraulich eingestufte Informationen (z. B. Patientenakten): Alle
betroffenen Bereiche (z. B. Fachabteilung, Kunden, etc.) mssen benach-
richtigt werden, um entsprechende Manahmen ergreifen zu knnen.
Wenn verloren geglaubte Gerte wieder auftauchen, ist dies nicht nur ein
Grund zur Freude, sondern sollte auch nachdenklich stimmen. Vor der erneu-
ten Inbetriebnahme sollten die Gerte auf eventuelle Manipulationen unter-
sucht werden (z. B. ob Schrauben geffnet oder Siegel entfernt wurden).
Auerdem sollten sie neu installiert werden, um sicherzustellen, dass sich
keine manipulierten Programme auf diesen befinden (siehe dazu M 4.28 Soft-
ware-Reinstallation bei Benutzerwechsel eines tragbaren PC).
Ergnzende Kontrollfragen:
- Wissen die Benutzer wie und wo sie Verlustmeldungen abgeben knnen?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1629
Manahmenkatalog Personal M3 Bemerkungen
___________________________________________________________________ ..........................................
M3 Manahmenkatalog Personal
M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter.............. 1
M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung
einschlgiger Gesetze, Vorschriften und Regelungen ............... 2
M 3.3 Vertretungsregelungen............................................................... 3
M 3.4 Schulung vor Programmnutzung ............................................... 4
M 3.5 Schulung zu IT-Sicherheitsmanahmen .................................... 5
M 3.6 Geregelte Verfahrensweise beim Ausscheiden von
Mitarbeitern ............................................................................... 8
M 3.7 Anlaufstelle bei persnlichen Problemen .................................. 9
M 3.8 Vermeidung von Strungen des Betriebsklimas...................... 10
M 3.9 Ergonomischer Arbeitsplatz .................................................... 11
M 3.10 Auswahl eines vertrauenswrdigen Administrators und
Vertreters ................................................................................. 12
M 3.11 Schulung des Wartungs- und Administrationspersonals ......... 13
M 3.12 Information aller Mitarbeiter ber mgliche TK-
Warnanzeigen, -symbole und -tne ........................................ 14
M 3.13 Sensibilisierung der Mitarbeiter fr mgliche TK-
Gefhrdungen........................................................................... 15
M 3.14 Einweisung des Personals in den geregelten Ablauf
eines Datentrgeraustausches................................................... 16
M 3.15 Informationen fr alle Mitarbeiter ber die Faxnutzung ......... 17
M 3.16 Einweisung in die Bedienung des Anrufbeantworters............. 18
M 3.17 Einweisung des Personals in die Modem-Benutzung.............. 19
M 3.18 Verpflichtung der Benutzer zum Abmelden nach
Aufgabenerfllung................................................................... 20
M 3.19 Einweisung in den richtigen Einsatz der
Sicherheitsfunktionen von Peer-to-Peer-Diensten................... 21
M 3.20 Einweisung in die Bedienung von Schutzschrnken ............... 23
M 3.21 Sicherheitstechnische Einweisung und Fortbildung des
Telearbeiters............................................................................. 24
M 3.22 Vertretungsregelung fr Telearbeit.......................................... 25
M 3.23 Einfhrung in kryptographische Grundbegriffe....................... 26
M 3.24 Schulung zur Lotus Notes Systemarchitektur fr
Administratoren ....................................................................... 39
M 3.25 Schulung zu Lotus Notes Sicherheitsmechanismen fr
Benutzer .................................................................................. 43
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1630
Manahmenkatalog Personal M3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1631
Manahmenkatalog Personal M 3.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1632
Manahmenkatalog Personal M 3.2 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1633
Manahmenkatalog Personal M 3.3 Bemerkungen
___________________________________________________________________ ..........................................
M 3.3 Vertretungsregelungen
Verantwortlich fr Initiierung: Leiter Organisation, IT-
Sicherheitsmanagement
Verantwortlich fr Umsetzung: Vorgesetzte
Vertretungsregelungen haben den Sinn, fr vorhersehbare (Urlaub, Dienst-
reise) und auch unvorhersehbare Flle (Krankheit, Unfall, Kndigung) des
Personenausfalls die Fortfhrung der Aufgabenwahrnehmung zu ermglichen.
Daher muss vor Eintritt eines solchen Falles geregelt sein, wer wen in welchen
Angelegenheiten mit welchen Kompetenzen vertritt. Dies ist besonders im
Bereich der Informationsverarbeitung von Bedeutung, da dafr meist
Spezialwissen erforderlich ist und eine zeitgerechte Einarbeitung unkundiger
Mitarbeiter fr den Vertretungsfall nicht mglich ist.
Fr die Vertretungsregelungen sind folgende Randbedingungen einzuhalten:
- Die bernahme von Aufgaben im Vertretungsfall setzt voraus, dass der
Verfahrens- oder Projektstand hinreichend dokumentiert ist.
- Das Benennen eines Vertreters reicht in der Regel nicht aus, es muss ber-
prft werden, wie der Vertreter zu schulen ist, damit er die Aufgaben
inhaltlich bernehmen kann. Stellt sich heraus, dass es Personen gibt, die
aufgrund ihres Spezialwissens nicht kurzfristig ersetzbar sind, so bedeutet
deren Ausfall eine gravierende Gefhrdung des Normalbetriebes. Hier ist
es von besonders groer Bedeutung, einen Vertreter zu schulen.
- Es muss festgelegt sein, welcher Aufgabenumfang im Vertretungsfall von
wem wahrgenommen werden soll.
- Der Vertreter darf die erforderlichen Zugangs- und Zutrittsberechtigungen
nur im Vertretungsfall erhalten.
- Ist es in Ausnahmefllen nicht mglich, fr Personen einen kompetenten
Vertreter zu benennen oder zu schulen, sollte frhzeitig berlegt werden,
welche externen Krfte fr den Vertretungsfall eingesetzt werden knnen.
Ergnzende Kontrollfragen:
- Wie ist der Vertretungsfall in den einzelnen Organisationseinheiten gere-
gelt?
- Stehen ausreichend kompetente Vertreter zu Verfgung?
- Gab es in der letzten Zeit die Notwendigkeit von unvorhergesehenen Ver-
tretungen?
- Gibt es in einer Organisationseinheit einen "Single Point of Knowledge",
eine einzelne Person, die alleine ber Spezialwissen verfgt, das fr den
IT-Einsatz notwendig ist?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1634
Manahmenkatalog Personal M 3.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1635
Manahmenkatalog Personal M 3.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1636
Manahmenkatalog Personal M 3.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1637
Manahmenkatalog Personal M 3.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1638
Manahmenkatalog Personal M 3.6 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1639
Manahmenkatalog Personal M 3.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1640
Manahmenkatalog Personal M 3.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1641
Manahmenkatalog Personal M 3.8 Bemerkungen
___________________________________________________________________ ..........................................
Das Betriebsklima und das Verhalten von Mitarbeitern kann besonders bei Outsourcing
groen Vernderungen, wie etwa bei Outsourcing-Vorhaben, von besonderer
Bedeutung sein: unzufriedene oder verrgerte Mitarbeiter knnen ein solches
Vorhaben zum Scheitern verurteilen (z. B. Kndigung von Know-how-
Trgern in kritischen Phasen der Vernderung oder bewusstes Ignorieren von
Sicherheitsanweisungen), was fr das Unternehmen in Folge existenzbedro-
hend sein kann. Bei greren Umstrukturierungen oder Outsourcing-Vorhaben
ist die Beachtung folgender Aspekte empfehlenswert:
- Die Mitarbeiter sollten frhzeitig in Entscheidungsprozesse wie die Aus- Mitarbeiter einbeziehen
wahl eines Outsourcing-Dienstleisters eingebunden werden. Im weiteren
Projektverlauf sollten sie an der Gestaltung von eventuellen bernahme-
vertrgen beteiligt werden.
- Die Mitarbeiter sollten umfassend und frhzeitig ber Vernderungen
informiert werden und einen Ansprechpartner fr Probleme und Fragen
haben. Information durch die Zeitung statt durch die Firmen- oder Behr-
denleitung schafft Misstrauen, zerstrt Vertrauen und bereitet Spekulatio-
nen und Gerchten den Boden.
- Bei organisatorischen Vernderungen sollten den betroffenen Mitarbeitern
Zukunftsperspektiven aufgezeigt werden. Oftmals sind Outsourcing-
Dienstleister darauf angewiesen, dass ein mglichst hoher Anteil der Mit-
arbeiter des auszulagernden Bereichs zu ihnen wechselt. Nur so kann eine
befriedigende Dienstleistungsqualitt garantiert werden. Mitarbeiter, die
Zukunftsangst haben oder sich unfair behandelt fhlen, lassen in ihrer Ar-
beitsqualitt nach oder verlassen sogar vorzeitig das Unternehmen.
- Anspruchsvolle oder belastende Ttigkeiten, die im Rahmen von
Umstrukturierungen nicht zu vermeiden sind, sollten ausreichend gewr-
digt und anerkannt werden. Die erforderliche Mehrarbeit sollte honoriert
werden.
Ergnzende Kontrollfragen:
- Wie wird das Betriebsklima von den Mitarbeitern beurteilt?
- Wie beurteilen die Vorgesetzten das Betriebsklima?
- Welche Punkte, die das Betriebsklima negativ beeinflussen, werden am
hufigsten genannt?
- Gibt es bei greren Umstrukturierungen einen Verantwortlichen, der fr
die betroffenen Mitarbeiter als Ansprechpartner zur Verfgung steht?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1642
Manahmenkatalog Personal M 3.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1643
Manahmenkatalog Personal M 3.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1644
Manahmenkatalog Personal M 3.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1645
Manahmenkatalog Personal M 3.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1646
Manahmenkatalog Personal M 3.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1647
Manahmenkatalog Personal M 3.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1648
Manahmenkatalog Personal M 3.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1649
Manahmenkatalog Personal M 3.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1650
Manahmenkatalog Personal M 3.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1651
Manahmenkatalog Personal M 3.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1652
Manahmenkatalog Personal M 3.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1653
Manahmenkatalog Personal M 3.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1654
Manahmenkatalog Personal M 3.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1655
Manahmenkatalog Personal M 3.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1656
Manahmenkatalog Personal M 3.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1657
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1658
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
3. Authentizitt:
- Identittsnachweis (Authentisierung von Kommunikationspartnern):
Eine Kommunikationspartei (z. B. Person, Organisation, IT-System)
soll einer anderen ihre Identitt zweifelsfrei beweisen knnen.
- Herkunftsnachweis (Nachrichtenauthentisierung): A soll B beweisen
knnen, dass eine Nachricht von ihr stammt und nicht verndert
wurde.
4. Nichtabstreitbarkeit (Verbindlichkeit, non repudiation): Hier liegt der
Schwerpunkt verglichen mit der Nachrichtenauthentisierung auf der
Nachweisbarkeit gegenber Dritten.
- Nichtabstreitbarkeit der Herkunft: Es soll A unmglich sein, das
Absenden einer bestimmten Nachricht an B nachtrglich zu
bestreiten.
- Nichtabstreitbarkeit des Erhalts: Es soll B unmglich sein, den
Erhalt einer von A gesendeten Nachricht nachtrglich zu bestreiten.
Es ist klar, dass zwischen diesen Zielen Beziehungen bestehen, aber eine
wesentliche Einsicht der modernen Kryptographie ist folgende: Die Gewhr-
leistung von Vertraulichkeit bzw. von Authentizitt sind unabhngige
Grundziele eines kryptographischen Systems: Authentisierung beschrnkt den
Kreis der mglichen Sender einer Nachricht, Geheimhaltung den der mg-
lichen Empfnger.
Die grundlegende kryptographische Methode zur Wahrung von Vertraulich-
keit ist Verschlsselung, die grundlegenden Methoden zur Gewhrleistung
von Integritt, Authentizitt und Nichtabstreitbarkeit sind Hashfunktionen,
Message Authentication Codes (MACs), digitale Signaturen und krypto-
graphische Protokolle. Die einzelnen kryptographischen Konzepte werden
im folgenden kurz vorgestellt.
I. Verschlsselung
Verschlsselung (Chiffrieren) transformiert einen Klartext in Abhngigkeit
von einer Zusatzinformation, die "Schlssel" genannt wird, in einen zuge-
hrigen Geheimtext (Chiffrat), der fr diejenigen, die den Schlssel nicht
kennen, nicht entzifferbar sein soll. Die Umkehrtransformation - die Zurck-
gewinnung des Klartextes aus dem Geheimtext - wird Entschlsselung
genannt. In allen modernen Verschlsselungsalgorithmen sind Klartexte,
Geheimtexte und Schlssel jeweils als Folgen von Bits gegeben.
Um praktisch einsetzbar zu sein, mssen Verschlsselungsalgorithmen
folgende Mindestanforderungen erfllen:
- Sie sollten entzifferungsresistent sein, d. h. ohne Kenntnis des Schlssels
darf das Chiffrat nicht entschlsselt werden knnen, insbesondere muss
hierfr die Menge der mglichen Schlssel "ausreichend gro" sein, da
sonst ein einfaches Ausprobieren aller Schlssel mglich wre,
- sie mssen einfach einzusetzen sein, und
- Ver-/Entschlsselung mssen "schnell genug" sein.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1659
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1660
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
dazu gehren auch DES, IDEA oder RC5. Fr Blockchiffren sind eine Reihe
von Betriebsarten (Modi) definiert (und standardisiert). Es sind dies
- der ECB (Electronic Code Book)-Modus, bei dem jeder Block fr sich
- unabhngig von den anderen Blcken - verschlsselt wird,
- der CBC (Cipher Block Chaining)-Modus und der CFB (Cipher Feed
Back)-Modus, bei diesen Modi wird, nach Wahl eines zustzlichen Initia-
lisierungsvektors, eine Abhngigkeit der Chiffretextblcke von allen vor-
hergehenden Chiffretextblcken hergestellt, sowie
- der OFB (Output Feedback Modus), dieser Modus kann so aufgefasst
werden, dass die verwendete Blockchiffre zur Generierung eines
"Blockstroms" verwendet wird, der auf die Klarblcke bitweise (modulo 2)
aufaddiert wird.
Beim Einsatz symmetrischer Verfahren ist generell zu beachten, dass ein
Schlsselaustausch zwischen den Kommunikationspartnern vorausgegangen
sein muss. Dieser muss ber einen sicheren Kanal (z. B. Kurier, persnliche
bergabe) erfolgen und beide Parteien mssen anschlieend den Schlssel
geheim halten. Es gibt verschiedene Verfahren fr einen sicheren Schlssel-
austausch. In geschlossenen Systemen ist der Schlsselaustausch im allge-
meinen unproblematisch zu realisieren, da hier meist "sichere Kanle" vor-
handen sind. In offenen Systemen mit einer Vielzahl von Kommunikations-
partnern gestaltet sich dies schwieriger. Generell besteht jedoch das Problem,
dass bei einer Vielzahl mglicher Kommunikationspartner entsprechend viele
Schlssel vor der eigentlichen Kommunikation ausgetauscht werden mssen
und dass dabei die potentiellen Kommunikationspartner vorab bekannt sein
mssen.
Asymmetrische (Public Key) -Chiffrierverfahren dagegen benutzen zwei
verschiedene (aber mathematisch verwandte) Schlssel: einen "ffentlichen"
Schlssel (Public Key) fr die Verschlsselung, und einen "privaten" Schls-
sel (Private Key) fr die Entschlsselung. Das Schlsselpaar muss dabei fol-
gende Eigenschaft aufweisen: fr alle, die lediglich den "Public Key" kennen,
muss es praktisch unmglich sein, den zugehrigen "Private Key" zu bestim-
men oder eine mit dem "Public Key" verschlsselte Nachricht zu entschls-
seln.
Asymmetrische Verschlsselung hat also eine "Einbahn"-Eigenschaft: eine
Nachricht kann nicht wiederhergestellt werden, wenn der "Private Key"
vergessen oder gelscht wurde.
Die Bezeichnung "Public Key"-Verschlsselung rhrt daher, dass der "Public
Key" ffentlich bekannt gemacht werden kann, ohne die Sicherheit des Ver-
fahrens zu kompromittieren. Der "Private Key" hingegen muss geheim gehal-
ten werden.
Will nun Alice eine Nachricht verschlsselt an Bob senden, so holt sich Alice
den ffentlichen Schlssel Bobs aus einer frei zugnglichen Datei und ver-
schlsselt damit die Nachricht. Nach Erhalt der Nachricht benutzt Bob seinen
geheimen Schlssel, um die von Alice erhaltene Nachricht zu entschlsseln.
Wenn Alice und Bob ein asymmetrisches Verfahren zum Zweck der Vertrau-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1661
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
lichkeit verwenden, bentigen sie also keinen sicheren Kanal fr den Schls-
selaustausch, aber Alice muss sicher sein, dass sie tatschlich Bobs ffent-
lichen Schlssel benutzt und keinen Schlssel, der ihr als Bobs Schlssel
untergeschoben wurde. Wrde Alice eine Nachricht mit einem unterge-
schobenen Schlssel verschlsseln, so knnte der Tter, dem ja der passende
geheime Schlssel bekannt ist, die Nachricht entschlsseln. Der Sender ben-
tigt in der Regel die Besttigung einer vertrauenswrdigen dritten Partei, dass
der ffentliche Schlssel des Empfngers wirklich zu diesem gehrt. Diese
Besttigung, das "Zertifikat", wird im allgemeinen auch durch ein krypto-
graphisches Verfahren erzeugt und dem ffentlichen Schlssel beigefgt.
Zwei bekannte asymmetrische Verschlsselungsverfahren sind das RSA-
Verfahren (benannt nach den Erfindern Rivest, Shamir, Adleman) und die
Klasse der Elgamal-Verfahren. Zu letzteren gehren auch die auf Elliptischen
Kurven basierenden Verschlsselungsverfahren.
Symmetrische und asymmetrische Chiffrierverfahren haben z. T. sich ergn-
zende Vor- und Nachteile:
Vorteile (guter) symmetrischer Verfahren:
- Sie sind schnell, d. h. sie haben einen hohen Datendurchsatz.
- Die Sicherheit ist im wesentlichen durch die Schlssellnge festgelegt,
d. h. bei guten symmetrischen Verfahren sollte es keine Attacken geben,
die wesentlich besser sind als das Durchprobieren aller Schlssel (Brute-
Force-Attacken).
- Sie bieten hohe Sicherheit bei relativ kurzem Schlssel.
- Die Schlsselerzeugung ist einfach, da gewhnlich als Schlssel jede Bit-
folge einer festen Lnge erlaubt ist und als Schlssel eine Zufallszahl
gewhlt werden kann.
Nachteile symmetrischer Verfahren:
- Jeder Teilnehmer muss smtliche Schlssel seiner Kommunikationspartner
geheim halten.
- Zur Schlsselverteilung sind sie weniger gut geeignet als asymmetrische
Verfahren, insbesondere bei einer groen Anzahl von Kommunikations-
partnern.
- Fr Verbindlichkeitszwecke sind sie weniger praktikabel als asymme-
trische Verfahren, da bei der Verwendung symmetrischer Schlssel nicht
ohne weiteres erkannt werden kann, welcher der beiden Kommunikations-
partner die Nachricht verschlsselt hat. Dies lsst sich nur durch eine
zwischengeschaltete dritte Partei sicherstellen, die ber entsprechende
kryptographische Protokolle in den Nachrichtenfluss eingebunden wird.
Vorteile (guter) asymmetrischer Verfahren:
- Jeder Teilnehmer einer vertraulichen Kommunikation muss nur seinen
eigenen privaten Schlssel geheim halten.
- Sie lassen sich einfach fr digitale Signaturen benutzen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1662
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1663
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1664
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1665
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1666
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1667
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
- Erzeugung/Initialisierung,
- Vereinbarung/Etablierung,
- Verteilung/Transport,
- Wechsel/Update,
- Speicherung,
- Beglaubigung/Zertifizierung,
- Rckruf,
- Wiedergewinnung im Fall von Vernichtung/Verlust,
- Vernichtung/Lschen,
- Archivierung und
- Escrow (treuhnderische Hinterlegung)
whrend des gesamten Lebenszyklus der Schlssel durchfhrt. Das Schls-
selmanagement kann und wird sich gewhnlich auch kryptographischer
Techniken bedienen. Es muss fr die Gesamtheit der Kryptomodule eines
kryptographisch basierten Sicherungssystems durchgefhrt werden. Geheime
Schlssel mssen vor unbefugter Aufdeckung, Modifizierung und Ersetzung
geschtzt werden. ffentliche Schlssel mssen vor unbefugter Modifizierung
und Ersetzung geschtzt werden. Angemessenes Schlsselmanagement ist die
Voraussetzung dafr, dass Information durch kryptographische Methoden
berhaupt geschtzt werden kann. Schlsselmanagement bentigt eigens
dieser Aufgabe gewidmete Ressourcen!
Zertifizierungsstellen
Trust Center bzw. Zertifizierungsstellen werden immer dann bentigt, wenn
man fr eine nicht mehr berschaubare Anzahl von Teilnehmern asymme-
trische Kryptoverfahren fr die digitale Signatur oder fr Verschlsselung
einsetzen will. Solche Verfahren bentigen bei der Signaturbildung bzw. der
Verschlsselung einen anderen Schlssel als bei der Signaturprfung bzw. der
Entschlsselung. Dazu wird benutzerbezogen ein Schlsselpaar korrespon-
dierender Schlssel erzeugt. Ein Schlssel, der so genannte ffentliche Schls-
sel, wird ffentlich bekanntgegeben. Der andere Schlssel, der so genannte
private Schlssel, ist absolut geheim zu halten. Mit dem privaten Schlssel
- und nur mit diesem - kann eine digitale Signatur erzeugt bzw. ein Text
entschlsselt und mit dem zugehrigen ffentlichen Schlssel - und nur mit
diesem - verifiziert bzw. verschlsselt werden. Will man nun die Echtheit der
ffentlichen Schlssel und die sichere Zuordnung der Schlssel zu Personen
sicherstellen, bedarf es der bereits erwhnten Trust Center / Zertifizierungs-
stellen, die die Zuordnung einer Person zu einem ffentlichen Schlssel durch
ein Zertifikat besttigen.
Innerhalb solcher Zertifizierungsstellen werden typischerweise folgende Auf-
gaben wahrgenommen:
- Schlsselgenerierung: Es sind fr die Zertifizierungsstelle und ggf. fr
Teilnehmer Schlsselpaare zu generieren.
- Schlsselzertifizierung: Die Teilnehmerdaten, der korrespondierende
ffentliche Schlssel und weitere Daten werden zu einem Zertifikat
zusammengefasst und von der Zertifizierungsstelle digital signiert.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1668
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1669
Manahmenkatalog Personal M 3.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1670
Manahmenkatalog Personal M 3.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1671
Manahmenkatalog Personal M 3.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1672
Manahmenkatalog Personal M 3.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1673
Manahmenkatalog Personal M 3.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1674
Manahmenkatalog Personal M 3.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1675
Manahmenkatalog Personal M 3.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1676
Manahmenkatalog Personal M 3.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1677
Manahmenkatalog Personal M 3.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1678
Manahmenkatalog Personal M 3.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1679
Manahmenkatalog Personal M 3.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1680
Manahmenkatalog Personal M 3.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1681
Manahmenkatalog Personal M 3.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1682
Manahmenkatalog Personal M 3.27 Bemerkungen
___________________________________________________________________ ..........................................
WFP
- Funktionsweise der WFP
- Konfigurationsmglichkeiten der WFP
DFS (Distributed File Service)
- Funktionsweise des DFS
- Administration des DFS
- Planung der DFS-Struktur
- Schutz der ber DFS zugreifbaren Daten
Die einzelnen Active Directory Themen sollten dabei wie folgt detaillierter
dargestellt werden:
Schema-Verwaltung
Im Normalfall ist eine installationsspezifische Vernderung des AD-Schemas
durch einen Administrator nicht notwendig. Die Schulung kann sich insofern
auf die Problematik und Auswirkungen von Schema-Vernderungen
beschrnken.
Sollen individuelle Anpassungen des Schemas vorgenommen werden, sind
weitergehende Schulungen zu Interna des Active Directory notwendig.
Replikation des Active Directory
- Verwendete Mechanismen zur Replikation des Active Directory (RPC und
SMTP)
- Voreingestellte Parameter zur Replikation von Active Directory Inhalten
- Problematik der dezentralen Administration des AD im Zusammenhang
mit Replikationskonflikten
Backup
- Problematik des Erstellens eines "Backups des Active Directory"
- Wiedereinspielen von Backups eines Domnen-Controllers
- Zu ergreifenden Manahmen bei Ausfall von Domnen-Controllern, die
FSMO-Rollen innehaben
Rechtevergabe im Active Directory
- Vergabe von Zugriffsrechten auf AD-Objekte auf Attributsebene
- Vererbung von Zugriffsrechten und Blockade der Vererbung
- Mgliche Zugriffsrechte
- Delegation von administrativen Aufgaben auf der Ebene einzelner OUs
Authentisierung
- Kerberos
- PKI
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1683
Manahmenkatalog Personal M 3.27 Bemerkungen
___________________________________________________________________ ..........................................
- Smart Cards
Gruppenrichtlinien
- Lokale Gruppenrichtlinien und im Active Directory gespeicherte Gruppen-
richtlinien
- Konfigurationsmglichkeiten mit Hilfe von Gruppenrichtlinien
- Wann werden Gruppenrichtlinien angewandt? Wie lsst sich dies konfi-
gurieren?
- Gruppenrichtlinienobjekte (GPOs) sind Objekte im Active Directory
- Gruppenrichtlinienobjekte knnen an Standorte / Domnen / OUs gebun-
den werden
- Reihenfolge, in der Gruppenrichtlinien abgearbeitet werden
- Mglichkeiten, die Anwendung von Gruppenrichtlinien zu kontrollieren
- Vergabe von Zugriffsrechten auf Gruppenrichtlinien
- No Override Eigenschaft der Bindung eines Gruppenrichtlinien-
objektes an ein AD-Objekt
- Block Policy Inheritance Eigenschaft von AD-Objekten
Ergnzende Kontrollfragen:
- Wurden alle Administratoren fr die Arbeit mit Windows 2000 geschult?
- Ist der Umgang mit allen relevanten Sicherheitsmechanismen dargestellt
worden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1684
Manahmenkatalog Personal M 3.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1685
Manahmenkatalog Personal M 3.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1686
Manahmenkatalog Personal M 3.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1687
Manahmenkatalog Personal M 3.29 Bemerkungen
___________________________________________________________________ ..........................................
Schlielich kommen beim eDirectory-Zugriff dann die effektiven Rechte zum effektive Rechte
tragen, welche die Folge der oben genannten Rechtevergabe darstellen und bei
jedem einzelnen Zugriff dynamisch berechnet werden.
Im Intranet greifen die Benutzer ber geeignete Clientsoftware auf das Authentisierung
eDirectory zu. Der Zugriff der Clients auf das eDirectory erfolgt dabei ber
ein proprietres Protokoll, bei dem der private Schlssel des sich anmeldenden
Benutzers vom eDirectory verschlsselt an den Client geschickt wird. Bei
dieser Verschlsselung ist das Benutzerpasswort involviert. Gibt der Benutzer
nun sein Passwort ein, so kann der Client den privaten Schlssel entschls-
seln, und zwischen dem Client und dem eDirectory-Server findet ein
Challenge-/Response-Verfahren zur Authentisierung statt. Bei erfolgreicher
Authentisierung besitzt der Benutzer nun die fr ihn definierten Zugriffsrechte
auf das eDirectory.
Netzapplikationen und Internet-Benutzer greifen in der Regel ber das LDAP- LDAP-Zugriff
Protokoll auf den eDirectory-Verzeichnisdienst zu. Hierbei gibt es standard-
mig drei verschiedene Anbindungsarten: den anonymous bind, den proxy
user anonymous bind sowie den NDS-user bind. Die Voreinstellung ist, dass
der anonyme Login dabei die Rechte des [Public] Objektes hat, welches stan-
dardmig das uneingeschrnkte Browse-Recht auf den gesamten Verzeich-
nisbaum besitzt. Der anonyme Login setzt keine Authentisierung voraus. Fr
die Passwort-Authentisierung kann konfiguriert werden, ob dabei das Pass-
wort im Klartext bertragen werden darf oder nicht. Fr eine gesicherte
Anbindung ber LDAP steht das SSL-Protokoll zur Verfgung, und zwar
wahlweise mit ein- oder zweiseitiger Authentisierung.
Der eDirectory-Zertifikatsserver spielt eine wichtige Rolle fr die Rechtever- Zertifikatsserver
gabe und damit fr die Systemsicherheit. Ebenso hngen die Authentisierun-
gen im Netz sowie der Aufbau eines verschlsselten Kanals (via SSL) vom
Zertifikatsmanagement ab. Die sorgfltige Administration des eDirectory-
Zertifikatsservers ist daher besonders wichtig.
Der eDirectory-Verzeichnisdienst erlaubt zur Verbesserung der Skalierbarkeit Partitionierung
und Performance eine Partitionierung der Verzeichnisdatenbank auf mehrere
Server. Fr die Partitionierung eines Verzeichnisbaums sind dabei eine Reihe
von Regeln zu beachten, siehe dazu M 2.237 Planung der Partitionierung und
Replikation im Novell eDirectory
Wie die Vorgngerprodukte untersttzt der eDirectory-Verzeichnisdienst Replikation
Repliken zur Erhhung der Fehlertoleranz und des Systemdurchsatzes. Dabei
gibt es mehrere Typen von Repliken, nmlich Master Replica, Read/Write
Replica, Read-Only Replica, Filtered Read/Write Replica, Filtered Read-Only
Replica sowie Subordinate Reference Replica. Detaillierte Hinweise hierzu
finden sich in M 2.237 Planung der Partitionierung und Replikation im Novell
eDirectory
eDirectory untersttzt die rollenbasierte Administration sowie die Delegation rollenbasierte
Administration und
von Administrationsaufgaben. Entsprechend den bei der Planung getroffenen Delegation
Entscheidungen (siehe M 2.236 Planung des Einsatzes von Novell eDirectory
sowie M 2.238 Festlegung einer Sicherheitsrichtlinie fr Novell eDirectory)
mssen die verschiedenen Administratoren fr ihre jeweilige Aufgabe
geschult werden. Dies gilt besonders fr die Gruppe der Schema-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1688
Manahmenkatalog Personal M 3.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1689
Manahmenkatalog Personal M 3.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1690
Manahmenkatalog Personal M 3.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1691
Manahmenkatalog Personal M 3.30 Bemerkungen
___________________________________________________________________ ..........................................
Die Authentisierung umfasst dabei folgende Schritte: Der Benutzer gibt beim Challenge-Response-
Novell Client seinen Benutzernamen ein, welcher direkt an das eDirectory Verfahren
weitergeleitet wird. eDirectory sucht den zugehrigen privaten Schlssel aus
seinem Verzeichnis und verschlsselt diesen. Bei dieser Verschlsselung ist
das Benutzerpasswort sowie ein Geheimnis des Clients involviert. Dieser ver-
schlsselte private key wird an den anfragenden Client bertragen. Der Benut-
zer wird nun nach seinem Passwort gefragt, welches er dem Client mitteilt.
Der Client entschlsselt daraufhin mit Hilfe dieses Passwortes und dem
Client-Credential den privaten Schlssel und hlt ihn im Arbeitsspeicher. Auf
Basis dieses private keys sowie dem Zertifikatsgegenstck findet nun die
eigentliche Authentisierung mit dem eDirectory gem einem Challenge-
/Response-Verfahren statt. Ist dieses erfolgreich, so ist der Benutzer einge-
loggt und der private Schlssel des Benutzers wird aus dem Arbeitsspeicher
des Clients gelscht.
Nach auen erscheint das System somit wie ein Passwort-gesttztes Authen-
tisierungsschema, nach innen werden asymmetrische kryptographische
Mechanismen eingesetzt.
Die Sicherheit der auf eDirectory-Servern gespeicherten Daten hngt zu einem
groen Teil auch vom korrekten Umgang der Benutzer mit den Sicherheits-
mechanismen ab. Um diese effektiv nutzen zu knnen, sollten Benutzer von
eDirectory-Clientsoftware entsprechend geschult werden.
Benutzersicht auf Sicherheitsmechanismen
Beim Umgang mit eDirectory-Clientsoftware kann ein groer Teil der sicher- Zugriffsrechte auf eigene
Dateien und
heitsrelevanten Einstellungen dem Benutzer durch entsprechende Vorarbeiten Verzeichnisse
und Voreinstellungen des Administrators abgenommen werden. Um einheit-
liche und berprfbare Client-Konfigurationen zu erreichen, ist ein solches
Vorgehen unabdingbar. Einige sicherheitsrelevante Einstellungen mssen
allerdings vom Benutzer selbst vorgenommen werden. Dazu gehren in der
Regel auf der Ebene des Betriebssystems die Zugriffsrechte auf die eigenen
Dateien und Verzeichnisse eines Benutzers. Eine Verwaltung der Zugriffs-
rechte auf Dateien mit den Mitteln von eDirectory ist direkt nur fr Datei-
Server auf Basis des Betriebssystems Netware mglich. Indirekt sind Datei-
zugriffsrechte auf anderen Plattformen ber die Organizational Roles admi-
nistrierbar.
Schulungsinhalte
Die folgenden Stichpunkte fassen die relevanten Schulungsinhalte zusammen.
Anhand des Nutzungsszenarios sollte hieraus eine geeignete Auswahl getrof-
fen werden:
- Funktionsweise und Anwendung des verwendeten Login-Mechanismus,
- Umgang mit Passwrtern,
- Umgang mit SSL-Authentisierung ber Benutzer-Zertifikat oder Passwort,
- Informationsmodell von eDirectory,
- effiziente Formulierung von Suchanfragen,
- Grundkenntnisse ber die unterliegenden Betriebssysteme und deren
Sicherheitskonfiguration sowie
- sicheres Lschen von Dateien (siehe z. B. auch M 4.56).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1692
Manahmenkatalog Personal M 3.30 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wurde eine Benutzerschulung zur eDirectory-Sicherheit durchgefhrt?
- Wenn Benutzer Zugriffsrechte auf eigene Verzeichnisobjekte vergeben
knnen, wurden sie in den notwendigen Konzepten und Mechanismen
geschult?
- Wurden die Benutzer auf die Sicherheitsmechanismen der verwendeten
Werkzeuge hingewiesen und in deren Nutzung geschult?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1693
Manahmenkatalog Personal M 3.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1694
Manahmenkatalog Personal M 3.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1695
Manahmenkatalog Personal M 3.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1696
Manahmenkatalog Personal M 3.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1697
Manahmenkatalog Personal M 3.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1698
Manahmenkatalog Personal M 3.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1699
Manahmenkatalog Personal M 3.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1700
Manahmenkatalog Personal M 3.35 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind fr die Benutzer des Archivsystems Schulungen zur Bedienung
vorgesehen?
- Wird die Teilnahme der Benutzer an den Schulungen dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1701
Manahmenkatalog Personal M 3.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1702
Manahmenkatalog Personal M 3.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1703
Manahmenkatalog Personal M 3.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1704
Manahmenkatalog Personal M 3.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1705
Manahmenkatalog Personal M 3.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1706
Manahmenkatalog Personal M 3.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1707
Manahmenkatalog Personal M 3.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1708
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1709
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1710
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1711
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
Kanle
Verfgbar sind 256 bis max. 512 Kanle, wobei unterschiedliche Kanaltypen
zusammen betrieben werden knnen (Escon, Ficon). Je nach Konstellation
gibt es Einschrnkungen.
Logical Partitioning
Ein zSeries-System lsst sich in bis zu 15, bei z990-Servern in bis zu 30,
sogenannte logische Partitionen (Logical Partition, LPAR) aufteilen. Dies
wird durch das interne PR/SM-Feature (teils Hardware, teils Microcode im
Licensed Internal Code) untersttzt. Jede einzelne Partition verhlt sich dabei
wie ein separates System. Auf den LPARs lassen sich unterschiedliche
Betriebssysteme installieren, so dass der Einsatz von Linux (fr zSeries)
parallel mit dem z/OS-Betriebssystem auf dem gleichen Rechner mglich ist.
Komponenten
- Multichip Module (MCM)
Die wesentlichen Komponenten des Rechners sind in sogenannten Multi-
chip Modules zusammengepackt und auf einem Glaskeramiktrger aufge-
bracht. Ein MCM beinhaltet Processor Unit Chips (PUs), Chips fr den
L2-Cache und dessen Ansteuerung sowie die Ein-/Ausgabe-Steuerung. Die
Verbindung aller Komponenten auf dem Trger erfolgt ber waagerechte
und senkrechte Leitungsverbindungen, die ber Kontakte mit der Platine
verbunden sind.
- Thermo Conduction Module (TCM)
Die in einem MCM entstehende Wrme leitet ein auf dem MCM sitzender
Khler (TCM) ab.
- SMP
Das MCM stellt einen in sich symmetrischen Multiprozessor (SMP) dar.
- Logical Channel Subsystem (LCSS)
Das LCSS ist eine Erweiterung des frher schon verfgbaren Channel Sub-
systems (CSS), das es erlaubt, von allen Processor Units aus bis zu 512
Kanle anzusprechen.
- HiperSockets
Die schnelle TCP/IP-basierende Verbindung zwischen LPARs und Virtual
Servers (Linux) stellt eine Art TCP/IP-Netz innerhalb des Servers dar.
- Intelligent Resource Director (IRD)
Der Intelligent Resource Director untersttzt den Workload Manager
(WLM) und besteht aus den wesentlichen Teilen
- LPAR CPU Management,
- Dynamic Channel Path Management (DCM) und
- Channel Subsystem Priority Queueing (CSSPQ).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1712
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1713
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1714
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
zSeries-Mainframe-Konsolen
Die Host Management Konsole (HMC) erlaubt die folgenden Aktionen:
- Setzen von Datum und Zeit,
- Konfigurieren von LPARs und Systemen,
- Reset von Subsystemen,
- Boot Manager (Initial Program Load - IPL - einer LPAR),
- Laden des Microprogramms (Initial Microcode Load - IML - eines zSeries
Systems),
- Eingriff bei Fehlerbedingungen,
- Ersatz-MVS-Konsole und
- Fehlerkorrekturen seitens des Herstellers (Microcode-Patches).
Es knnen zwei Konsolen (Primary und Alternate) angeschlossen werden. Sie
sind fr das komplette System zustndig (alle LPARs) und nicht nur fr ein
spezielles Betriebssystem. Der Zugriff auf diese Konsolen muss aus Sicher-
heitsgrnden gut geschtzt sein.
Die z/OS-System-Konsolen (MVS) sind fr die Steuerung und Kontrolle eines
z/OS-Betriebssystems zustndig und lassen sich fr verschiedene Zwecke
konfigurieren, z. B. als Konsole fr alle Nachrichten aus dem Bandbereich
(Tape-Pool). Es sind mehrere MVS-Konsolen pro z/OS mglich, wovon nur
eine die Master-Konsole sein kann. Im Fehlerfall schaltet diese Konsole auf
die nchste verfgbare um. Der Zugriff auf die MVS-Konsolen (speziell auf
die Master-Konsole) muss aus Sicherheitsgrnden gut geschtzt sein.
Remote Support Facility (RSF)
zSeries-Systeme sind meist durch eine Remote-Konsole mit dem Hersteller
verbunden. Diese Funktion meldet erkannte Hard- und Software-Probleme
automatisch weiter, so dass Fehler oft behoben werden knnen, bevor der
Anwender einen Fehler selbst erkennt. Prinzipiell untersttzt diese Verbin-
dung auch die Installation von Patches durch den Hersteller, dies muss jedoch
vorher vereinbart und die Remote-Access-Verbindung entsprechend geschtzt
werden.
Parallel-Sysplex-Konzept
Sind die Anforderungen von einem System (einer LPAR) nicht mehr zu
bewltigen, knnen mehrere LPARs zu einem logischen Verbund, dem
Parallel Sysplex zusammengefasst werden. Dieser stellt sich nach auen als
eine Einheit dar.
Der Parallel Sysplex ist eine Zusammenarbeit von bis zu 32 z/OS-Systemen,
dies entspricht maximal 512 Prozessoren in einem Rechnerverbund. Innerhalb
dieses Verbundes knnen Lasten auf den Rechnern verteilt werden. Treten an
einer Maschine Probleme auf, lsst sich diese aus dem Verbund lsen. Die
Last wird von den im Sysplex verbleibenden Maschinen bernommen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1715
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1716
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1717
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1718
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
verschiedene Tools zur Verfgung. Auf diese Tools sollte nur autorisiertes
Personal Zugriff haben.
Betriebssystem
Fr die S/390- und der zSeries-Architektur sind verschiedene Betriebssysteme
verfgbar (Stand Januar 2004):
S/390-Architektur (24 und 31 Bit):
- OS/390 Version 2, Release 10
- Linux on S/390
- z/VM Version 3, Release 1
- z/VM Version 4, Release 2 bis 4
- VSE/ESA Version 2, Release 5, 6, 7
- TPF Version 4, Release 1 (nur ESA-Mode)
z/Series-Architektur (64 Bit):
- OS/390 Version 2, Release 10
- z/OS Version 1, Release 2 bis 5
- Linux on zSeries
- z/VM Version 3, Release 1
- z/VM Version 4, Release 2 bis 4
Weitergehende Informationen ber die Betriebssysteme OS/390 und z/OS sind
in der Manahme M 3.40 Einfhrung in das z/OS-Betriebssystem zu finden.
Betrieb
IML
Der Start eines zSeries-Systems beginnt mit dem Initial Microcode Load
(IML). Er wird entweder ber die HMC-Konsole manuell initiiert oder mittels
entsprechender Definitionen automatisch angestoen. Der IML-Vorgang ldt
den Microcode und stellt die Systeminfrastruktur bereit (alle LPARs verfg-
bar, kein Betriebssystem geladen). Whrend des IML-Vorgangs whlt der
Bediener die gewnschte I/O-Konfiguration aus.
IPL
Das z/OS-Betriebssystem wird durch den Initial Program Load (IPL) von der
Host Management Console (HMC) aus aktiviert. Dabei muss mindestens die
IPL-Ladeadresse und der IPL-Parameterstring (Ladeadresse der IOCDS-
Datei) angegeben werden. Nach der NIP-Phase (Nucleus Initialization
Process) kommuniziert das z/OS-System mit dem Bediener ber die MVS-
Master-Konsole. Die weiteren Schritte hngen von den Definitionen des
Betriebssystems ab. Entweder wird das System manuell aktiviert (Ausnahme-
fall) oder automatisch.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1719
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
Operation
Zu den Betriebsaufgaben gehrt das Starten und Stoppen der Tasks und Jobs,
Aktivieren von Ressourcen, Beantworten von Systemanfragen (Replies) und
Bereitstellen von Bandstationen (wenn ntig).
Monitoring
Das System kommuniziert mit dem Operator ber Nachrichten und Replies,
die an der MVS-Konsole ausgegeben bzw. eingegeben werden. Eine laufende
Kontrolle der Nachrichten ist daher notwendig. Dies kann entweder manuell
(relativ aufwendig) oder besser ber Automatismen erfolgen (separate Pro-
gramme). Gleiches gilt fr die Kontrolle der Stapelverarbeitung.
Literaturhinweise
Fr das zSeries-System existiert eine Vielzahl an Literatur und Dokumentatio-
nen. Die folgende Aufstellung beschrnkt sich auf die wichtigsten und fr die
Sicherheit des zSeries-Systems besonders relevanten Quellen der Firma IBM.
Die Aufstellung ist jedoch keineswegs vollstndig.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1720
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
Redbooks
Formnummer Titel
SG24-5975-nn IBM @server zSeries 900 Technical Guide
SG24-6863-nn IBM @server zSeries 990 Technical Introduction
SG24-6851-nn z/OS Version 1 Release 3 and 4 Implementation
SG24-6540-nn Putting the latest z/OS Security Features to work
SG24-7023-nn Linux on IBM eServer zSeries and S/390: Best Practices
SG24-6981-nn ABCs of z/OS System Programming Volume 1
(Introduction to z/OS and storage concepts, TSO/E, ISPF,
JCL, SDSF, MVS delivery and installation)
SG24-6982-nn ABCs of z/OS System Programming Volume 2 (z/OS
implementation and daily maintenance, defining
subsystems, JES2 and JES3, LPA, LNKLST, authorized
libraries, catalogs)
SG24-5653-nn ABCs of System Programming Volume 3
(Introduction to DFSMS, storage management)
SG24-5654-nn ABCs of System Programming Volume 4
(Communication Server, TCP/IP, and VTAM )
SG24-5655-nn ABCs of System Programming Volume 5
(Base and Parallel Sysplex , system logger, global resource
serialization, z/OS system operations, automatic restart
management, hardware management console, performance)
SG24-6989-nn ABCs of z/OS System Programming Volume 9 (z/OS UNIX
System Services)
SG24-6990-nn ABCs of z/OS System Programming Volume 10
(Introduction to z/Architecture , zSeries processor
design, zSeries connectivity, LPAR concepts, and
HCD)
TIPS0382 z/OS V1R3 and V1R5 Technical Guide
SG24-7035-nn Unix System Services z/OS V1R4 Implementation
SG24-6968-nn Implementing PKI Services on z/OS
SG24-5637-nn OS/390 Parallel Sysplex Configuration Volume 1
SG24-5638-nn OS/390 Parallel Sysplex Configuration Volume 2
SG24-5639-nn OS/390 Parallel Sysplex Configuration Volume 3
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1721
Manahmenkatalog Personal M 3.39 Bemerkungen
___________________________________________________________________ ..........................................
IBM Dokumentation
Formnummer Titel
SA22-7832-nn z/Architecture Principles of Operation
SA22-7591-nn z/OS Initialization and Tuning Guide
SA22-7592-nn z/OS Initialization and Tuning Reference
SA22-7683-nn Security Server RACF Security Administrators Guide
SA22-7681-nn Security Server RACF System Programmers Guide
SA22-7682-nn Security Server RACF Macros and Interfaces
SA22-7684-nn Security Server RACF Auditors Guide
SA22-7801-nn z/OS Unix System Services Users Guide
GA22-7800-nn z/OS Unix System Services Planning
SA22-7670-nn z/OS SDSF Operation and Customization
SA22-7532-nn z/OS JES2 Initialization and Tuning Guide
SA22-7533-nn z/OS JES2 Initialization and Tuning Reference
SA22-7549-nn z/OS JES3 Initialization and Tuning Guide
SA22-7550-nn z/OS JES3 Initialization and Tuning Reference
SA22-7783-nn z/OS TSO/E Customization
SA22-7692-nn z/OS MVS Planning: Workload Management
SA22-7597-nn z/OS MVS JCL Reference
SA22-7593-nn z/OS MVS Installation Exits
SC34-4826-nn HTTP Server Planning, Installing and Using
SC31-8775-nn z/OS CS : IP Configuration Guide
SC31-8776-nn z/OS CS : IP Configuration Reference
SA22-7600-nn z/OS MVS Planning : Global Resource Serialization
SA22-7623-nn z/OS MVS Recovery and Reconfiguration Guide
SA22-7625-nn z/OS MVS Setting up a Sysplex
SA22-7630-nn z/OS MVS System Management Facilities (SMF)
SA22-7642-nn z/OS MVS Using the Subsystem Interface
SC26-7402-nn z/OS DFSMSdfp Storage Administration Reference
SC35-0422-nn z/OS DFSMShsm Storage Administration Reference
SC26-7405-nn z/OS DFSMSrmm Implementation and Cust. Guide
SC26-7414-nn z/OS DFSMSdfp Utilities
SC33-7989-nn z/OS HCM Users Guide
GC35-0033-nn Device Support Facilities Users Guide and Reference
SH19-8163-nn MVS/DITTO V2 Users Guide and Reference
SC33-1701-nn CICS RACF Security Guide
SG24-5363-nn IMS V6 Security Guide
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1722
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1723
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1724
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1725
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1726
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1727
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1728
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
Unter USS laufen viele Programme, die auch unter POSIX-konformen Unix-
Betriebssystemen laufen knnen. So sind die Funktionen von TCP/IP fr z/OS
grtenteils unter USS realisiert. Ebenso steht ein HTTP-Webserver zur Ver-
fgung, der als Daemon unter USS oder als Started Task unter MVS laufen
kann.
System Managed Storage (SMS)
SMS vereinfacht das Verwalten von Daten auf Festplatten, indem diese Funk-
tion viele Aufgaben, z. B. das Anlegen von Dateien auf bestimmten Festplat-
ten, die Festlegung von Charakteristiken der Datasets usw., bernimmt.
Hierzu werden sogenannte ACS-Routinen (Automated Control Storage)
definiert, die nach vorgegebenen Regeln den Plattenspeicher verwalten.
Datasets werden dabei anhand ihrer Namensgebung in vorher festgelegte
Plattenpools gespeichert. Da Mainframe-Systeme nicht selten ber eine groe
Anzahl von Platten verfgen, vereinfacht SMS die Verwaltung der Dateien
auerordentlich. Die Verwaltung von SMS kann ber das interaktive Dialog-
System ISMF erfolgen (Interactive Storage Management Facility).
Im Rahmen des SMS-Konzepts gibt es eine Reihe von Software-Produkten,
die die effiziente Verwaltung von Daten in einer Umgebung mit dem z/OS-
Betriebssystem ermglichen (z. B. DFHSM- oder DFxxx-Produkte). Darber
hinaus stehen als Storage Management Funktionen eine Reihe von Dienst-
programmen zur Verfgung, die die Verwaltung der Datenbestnde unter-
sttzen.
Hierarchical Storage Manager (HSM)
HSM ist ein wesentlicher Bestandteil des SMS-Konzeptes von z/OS. Das Pro-
gramm-Produkt untersttzt die Verwaltung der z/OS-Dateien, die Daten-
sicherung sowie die effektive Nutzung von Speichermedien. Gesteuert ber
sogenannte Policies (Regel-Definitionen) werden von HSM zu vorgegebenen
Zeiten Dateien auf andere Medien verschoben (migriert) und dabei kompri-
miert. Es gibt zwei Migrations-Level:
- Migration-Level 1 auf HSM-eigene Platten
- Migration-Level 2 auf Bnder (in Roboterstationen) oder nach VTS
(Virtual Tape System)
Migrierte Dateien knnen erst wieder gelesen werden, wenn sie ber den
HSM wieder erstellt worden sind. Diese Funktion kann entweder manuell
initiiert werden oder erfolgt automatisch, wenn die Datei angesprochen wird
(Recall-Funktion).
Weiterhin knnen logische Dumps (bestimmte Dateien) oder Full Volume
Dumps (der Inhalt einer ganzen Festplatte) zu bestimmten Zeiten gestartet
werden und somit automatisch Datensicherungen durchgefhrt werden.
System Management Facility (SMF)
SMF ist die zentrale Protokollierungsfunktion im z/OS-Betriebssystem.
Nahezu alle Komponenten und auch viele ISV-Produkte (Independent
Software Vendor) schreiben SMF-Stze, in denen die Aktivitten protokolliert
werden. Auch RACF schreibt solche Stze. Hier ist besonders der Satztyp 80
wichtig fr sptere Auswertungen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1729
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1730
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
Middleware
MQSeries (Message Queueing System)
MQSeries stellt eine Verbindung zwischen unterschiedlichen Applikationen
auf der Basis von Nachrichten (Messages) her, beispielsweise zwischen CICS,
IMS oder Batch-Applikationen. ber entsprechende APIs (Application Pro-
gramming Interfaces) werden die Nachrichten an MQSeries weitergegeben
und danach an die vorgegebenen Ziele ausgeliefert. Ist die Lieferung nicht
mglich, werden die Nachrichten zwischengespeichert (Queued) und erst dann
weitergeleitet, wenn der Verbindungsaufbau wieder mglich ist.
MQSeries ist nicht Gegenstand des Bausteins S/390- und zSeries-Mainframe.
Dateisysteme und Zugriffsarten
Dateien werden unter z/OS mit bestimmten Charakteristiken angelegt, z. B.
Gre, Art der Speicherung (innere Struktur), auf welcher Platte sich die Datei
befindet und unter welchem Dateinamen die Datei gespeichert und normaler-
weise zu finden ist. Insbesondere in Bezug auf die innere Struktur der Dateien
bestehen teilweise erhebliche Unterschiede zu anderen, hufig eingesetzten
Betriebssystemen. Nachfolgend die wichtigsten Dateitypen:
HFS (Hierarchical File System)
Das HFS-Filesystem ist mit typischen Unix-Dateisystemen vergleichbar. Es
wird in einem MVS Dataset abgelegt, das MVS-seitig mit den blichen
Werkzeugen verarbeitet werden kann (z. B. Datensicherung ber HSM).
Gegenber USS stellt sich das Filesystem hierarchisch dar. Daten in diesem
Filesystem werden im EBCDIC-Zeichensatz gespeichert.
z/OS File System (zFS)
Das zFS entspricht konzeptionell dem HFS, jedoch knnen hier mehrere File-
systeme in einem z/OS Dataset gespeichert werden und die Daten lassen sich
auch im ASCII-Zeichensatz abspeichern. Laut IBM ist zFS das strategische
Filesystem, in dem nur noch neue Funktionen entwickelt werden. zFS kann
bis jetzt nicht als Root-Filesystem verwendet werden.
MVS Physical Sequential (PS) Datasets
In dieser Art von Dataset knnen Daten nur sequentiell gelesen oder
geschrieben werden. Physical Sequential Datasets dienen im Systemumfeld
oft der Verarbeitung groer Datenmengen.
MVS Partitioned Organized (PO) Datasets
Partitioned Organized Datasets knnen mit einer Bibliothek verglichen
werden. In einem PO Dataset gibt es einen Index (Directory) und die
einzelnen Bcher (Member). Die Member enthalten die Informationen. Bei
hufigem Abspeichern von Membern muss die Datei zeitweise reorganisiert
werden. Dies kann durch die Benutzung einer PDSE-Datei (Partitioned Data-
set Enhanced) umgangen werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1731
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1732
Manahmenkatalog Personal M 3.40 Bemerkungen
___________________________________________________________________ ..........................................
sein sollen. Alle wichtigen System-Jobs - auch Started Tasks genannt - stehen
auf Prozedur-Bibliotheken (Proclibs) bereit, um zum Startzeitpunkt
aktiviertwerden zu knnen (siehe Manahme M 3.39 Einfhrung in die
zSeries-Plattform). Dieser Bereich muss sehr sorgfltig definiert und geschtzt
werden, da hier wesentliche Sicherheitsmechanismen verankert sind.
Kataloge
Dateien werden ber Kataloge gefhrt und dem System bekannt gegeben. Als
oberste Instanz existiert der Master-Katalog, an den ber Alias-Definitionen
verschiedene Benutzerkataloge angebunden sind.
Arbeitsdateien
Zur Minimalkonfiguration eines z/OS-Betriebssystems gehren mehrere
Arbeitsdateien, die bei Produktionsbeginn angelegt sein mssen:
- Syslog
- JES2/3 Spool und Checkpoint
- SMF-Dateien
- Log-Writer-Dateien
- Couple Datasets (bei Sysplex)
- Page Datasets zum Auslagern von Hauptspeicher
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1733
Manahmenkatalog Personal M 3.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1734
Manahmenkatalog Personal M 3.41 Bemerkungen
___________________________________________________________________ ..........................................
z/VM stellt sogenannte virtuelle Maschinen zur Verfgung, unter denen die
einzelnen Linux-Installationen unabhngig von einander betrieben werden
knnen.
Die Betriebsart Linux unter dem Trger-System z/VM kommt zum Beispiel in
Betracht, wenn die z/Series-Hardware im Rahmen eines Server-Konsoli-
dierungsprojektes eingesetzt wird. Hierbei wird die Installation von Linux
durch das System-Cloning erleichtert. Es knnen viele Linux-Systeme parallel
auf einer Maschine betrieben werden. Darber hinaus erleichtert diese
Konstellation eine zentrale Kontrolle und Administration.
Communications Server for Linux on zSeries
Linux fr zSeries untersttzt ohne zustzliche Komponenten TCP/IP. Der
Communications Server for Linux on zSeries als separates Produkt ermglicht
zustzlich eine Kommunikation ber SNA oder TCP/IP mit anderen Systemen
in den folgenden Bereichen:
- Advanced Peer to Peer Networking (APPN)
- High Performance Routing (HPR)
- TN3270E Server
- Telnet Redirector
- SSL data encryption scalability
- Client Authentication
- Application Programming Support
- Advanced Program to Program Communication (APPC)
- Common Programming Interface for Communications (CPI-C)
Das Programm bietet den Administratoren und Bedienern Untersttzung bei
der Installation, Konfiguration und Problemanalyse.
HiperSockets
HiperSockets erlauben eine LPAR-bergreifende Kommunikation. Mit dieser
Funktion lsst sich innerhalb des Systems ohne eine zustzliche physische
Verbindung ein "systeminternes Netz" ber TCP/IP aufbauen.
Ein von Linux abgesetzter TCP/IP-Auftrag wird auf Maschinenebene abge-
fangen und an die adressierte Partition umgeleitet. Dies ist mit bertragungs-
raten von mehreren GByte/s mglich. Gegenber dem Linux-Betriebssystem
verhlt sich diese Kommunikationsschnittstelle wie ein herkmmliches
TCP/IP-Netz. Auch z/OS-Systeme in einer anderen LPAR lassen sich so mit
Linux-Systemen verbinden.
Integrated Facility for Linux (IFL)
Diese Hardware-Funktion gestattet den zustzlichen Einsatz von Linux auf
einem System. Die speziellen IFL-Prozessoren bringen zustzliche Rechen-
kapazitt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1735
Manahmenkatalog Personal M 3.41 Bemerkungen
___________________________________________________________________ ..........................................
IFL wird von PR/SM wie eine separate LPAR verwaltet, die jedoch nur
Linux-Betriebssysteme (oder z/VM mit Linux-Betriebssystemen) untersttzen
kann.
z/VM
Das Betriebssystem z/VM ermglicht eine - Software-basierte - Aufteilung
des Rechners in mehrere parallele Virtual Machines. z/VM verwaltet mit dem
Control Program (CP) die Hardware der Partition und stellt den Gast-
Betriebssystemen die Virtual Machines zur Verfgung.
Die Hardware-Zugriffe erfolgen ber das CP, das dem aufrufenden Betriebs-
system das Ergebnis in seiner gewnschten Form prsentiert.
Darber hinaus stellt z/VM das Conversational Monitoring System (CMS) zur
Verfgung, in dem z. B. Scripts ablaufen knnen, um korrektive Manahmen
durchzufhren oder neue Systeme zu aktivieren.
Linux-Sicherheitsaspekte
Hardware
Die Verbindung zwischen den Linux Betriebssystemen oder zwischen Linux
und z/OS-Systemen kann ber HiperSockets erfolgen. Diese sind integraler
Bestandteil der Hardware und ermglichen eine schnelle und - bei korrekter
Konfiguration - sichere TCP/IP-Verbindung.
Durch den z/VM-Einsatz wird die Bereitstellung und Absicherung der Hard-
ware zu einem Teil durch eine Software-Lsung ersetzt. Die Ressourcen sind
deshalb nicht als reale Hardware verfgbar, sondern werden virtuell in der
Software (z/VM) abgebildet. Dem entsprechend mssen die Ressourcen mit
Software-Mitteln abgesichert werden.
RACF/VM
Die Resource Access Control Facility for z/VM (RACF/VM) erweitert die
Standard-Security des z/VM um eine Zugriffskontrolle fr die Ressourcen des
z/VM-System. Daneben berprft es die Zugriffe auf die Systemressourcen
und die Virtual Machine.
DIRMAINT
Die zentrale Konfigurationsdatei von z/VM ist das z/VM-System-Directory.
Die Verwaltung dieser Datei wird von DIRMAINT untersttzt, wobei die
DIRMAINT-Funktion die folgenden Aufgabenbereiche abdeckt:
- Distributed Virtual Machine Management
- automatische Minidisk-Administration (Allokieren, Lschen, usw.)
- Untersttzung der Benutzer
- Auditing
- Backup/Recovery des Directory
Auch wenn das Directory mit einem herkmmlichen Editor bearbeitet werden
kann, ist DIRMAINT fr alle Installationen mit greren User-Anzahlen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1736
Manahmenkatalog Personal M 3.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1737
Manahmenkatalog Personal M 3.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1738
Manahmenkatalog Personal M 3.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1739
Manahmenkatalog Personal M 3.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1740
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1741
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1742
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1743
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1744
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1745
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1746
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1747
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1748
Manahmenkatalog Hardware/Software M4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1749
Manahmenkatalog Hardware/Software M 4.1 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1750
Manahmenkatalog Hardware/Software M 4.2 Bemerkungen
___________________________________________________________________ ..........................................
M 4.2 Bildschirmsperre
Verantwortlich fr Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: IT-Benutzer
Unter einer Bildschirmsperre versteht man die Mglichkeit, die auf dem Bild-
schirm aktuell vorhandenen Informationen zu verbergen. Eine Bildschirmsper-
re sollte nur durch eine erfolgreiche Benutzerauthentikation, also z. B. eine
Passwortabfrage, deaktiviert werden knnen, damit bei einer krzeren Abwe-
senheit des IT-Benutzers ein Zugriffsschutz fr das IT-System gewhrleistet
wird.
Die Bildschirmsperre sollte sich sowohl manuell vom Benutzer aktivieren
lassen, als auch nach einem vorgegebenen Inaktivitts-Zeitraum automatisch
gestartet werden. Alle Benutzer sollten dafr sensibilisiert sein, dass sie die
Bildschirmsperre aktivieren, wenn sie den Arbeitsplatz fr eine kurze Zeit
verlassen. Bei lngeren Abwesenheiten sollten Benutzer sich abmelden.
Der Zeitraum, nach dem sich eine Bildschirmsperre wegen fehlender automatische Sperre bei
fehlenden Benutzer-
Benutzereingaben aktiviert, sollte gewisse Grenzen weder unter- noch ber- eingaben
schreiten. Der Zeitraum sollte nicht zu knapp gewhlt werden, damit die Bild-
schirmsperre nicht bereits nach kurzen Denkpausen anspringt. Dieser Zeit-
raum darf aber auf keinen Fall zu lang sein, damit die Abwesenheit des
Benutzers nicht von Dritten ausgenutzt werden kann. Eine sinnvolle Vorgabe
ist eine Zeitspanne von 15 Minuten. Das IT-Sicherheitsmanagement-Team
sollte Vorgaben fr die Einstellung der Wartezeit machen, die die Sicherheits-
anforderungen der jeweiligen IT-Systeme und deren Einsatzumgebung
bercksichtigen.
Die meisten Betriebssysteme enthalten bereits Bildschirmsperren. Bei deren Passwortabfrage
einschalten
Nutzung muss darauf geachtet werden, die Passwortabfrage zu aktivieren.
Eine passwortuntersttzte Bildschirmsperre wird von MS-Windows 3.x als
Bildschirmschoner angeboten. Die Dokumentation dazu sagt jedoch: "Ist eine
Non-Windows-Anwendung die aktuelle Anwendung, wird der Bildschirm-
schoner nicht automatisch aktiviert, unabhngig davon, ob die Anwendung in
einem Fenster, von der MS-DOS-Befehlszeile oder als Symbol ausgefhrt
wird." Unter Windows 95 aktiviert sich der Bildschirmschoner jedoch auch
bei DOS-Anwendungen. Neben MS-Windows gibt es weitere Produkte, die
einen passwortuntersttzenden Bildschirmschoner anbieten. Vor dem Einsatz
solcher Produkte ist zu berprfen, ob die Bildschirmsperre unter allen Appli-
kationen funktioniert.
Unter Unix kann eine Bildschirmsperre mit Programmen wie lock oder - unter
X-Windows - lockscreen erfolgen.
Ergnzende Kontrollfragen:
- Ist auf den betreffenden Rechnern eine Bildschirmsperre installiert?
- Wird die Bildschirmsperre konsequent eingesetzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1751
Manahmenkatalog Hardware/Software M 4.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1752
Manahmenkatalog Hardware/Software M 4.3 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1753
Manahmenkatalog Hardware/Software M 4.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1754
Manahmenkatalog Hardware/Software M 4.4 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1755
Manahmenkatalog Hardware/Software M 4.4 Bemerkungen
___________________________________________________________________ ..........................................
Diese rein organisatorische Lsung sollte nur dann gewhlt werden, wenn
die Benutzer hin und wieder oder regelmig auf die Laufwerke zugreifen
mssen. Anderenfalls sollte der Zugriff - wie oben beschrieben - durch
technische Manahmen unterbunden werden.
Bei der Auswahl einer geeigneten Vorgehensweise mssen immer alle Lauf-
werke fr Wechselmedien bercksichtigt werden, aber ebenso auch alle
Mglichkeiten, ber Vernetzung Daten auszutauschen, also insbesondere auch
E-Mail und Internet-Anbindungen. Wenn der PC ber eine Verbindung zum
Internet verfgt, ist es nicht allein ausreichend, alle Laufwerke fr Wechsel-
medien zu deaktivieren oder auszubauen. Besonderes Augenmerk ist auf den
Schutz vor Schadprogrammen, z. B. Computer-Viren oder Trojanische Pferde,
zu richten (siehe auch M 4.3 Regelmiger Einsatz eines Viren-
Suchprogramms).
Damit die Sicherheitsmanahmen akzeptiert und beachtet werden, mssen die
Benutzer ber die Gefhrdung durch Laufwerke fr Wechselmedien infor-
miert und sensibilisiert werden.
Ergnzende Kontrollfragen:
- Ist der Zugriff auf Wechselmedien unterbunden oder reglementiert?
- Sind die Benutzer ber alle Regelungen zum Umgang mit Laufwerken fr
Wechselmedien und externen Datenspeichern informiert?
- Ist sichergestellt, dass PCs nicht unkontrolliert von Wechselmedien
gebootet werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1756
Manahmenkatalog Hardware/Software M 4.5 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1757
Manahmenkatalog Hardware/Software M 4.6 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1758
Manahmenkatalog Hardware/Software M 4.7 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1759
Manahmenkatalog Hardware/Software M 4.8 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1760
Manahmenkatalog Hardware/Software M 4.9 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1761
Manahmenkatalog Hardware/Software M 4.10 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1762
Manahmenkatalog Hardware/Software M 4.11 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1763
Manahmenkatalog Hardware/Software M 4.12 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1764
Manahmenkatalog Hardware/Software M 4.13 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1765
Manahmenkatalog Hardware/Software M 4.14 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1766
Manahmenkatalog Hardware/Software M 4.14 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wird die Benutzung von Passwrtern regelmig kontrolliert?
- Werden die Benutzer an der Wahl von schwachen Passwrtern gehindert
(z. B. mit anlpasswd)?
- Wie lange sind die Passwrter gltig?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1767
Manahmenkatalog Hardware/Software M 4.15 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1769
Manahmenkatalog Hardware/Software M 4.16 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1770
Manahmenkatalog Hardware/Software M 4.17 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1771
Manahmenkatalog Hardware/Software M 4.18 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1772
Manahmenkatalog Hardware/Software M 4.19 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1773
Manahmenkatalog Hardware/Software M 4.20 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1774
Manahmenkatalog Hardware/Software M 4.20 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind die Benutzer ber die Bedeutung einer minimalen Rechtevergabe
informiert?
- Werden die gesetzten umask-Werte regelmig vom Administrator ber-
prft?
- Ist das s-Bit nur dort gesetzt, wo es unbedingt erforderlich ist?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1775
Manahmenkatalog Hardware/Software M 4.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1776
Manahmenkatalog Hardware/Software M 4.21 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1777
Manahmenkatalog Hardware/Software M 4.22 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1778
Manahmenkatalog Hardware/Software M 4.23 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1779
Manahmenkatalog Hardware/Software M 4.24 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1780
Manahmenkatalog Hardware/Software M 4.24 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wie ist sichergestellt, dass Eingriffe des Administrators nicht zu Inkon-
sistenzen fhren?
- Werden vor greren Eingriffen Backups gefahren?
- Haben die Administratoren zustzliche Benutzer-Kennungen mit einge-
schrnkten Rechten?
- Werden standardmig die zustzlichen Benutzer-Kennungen benutzt?
- Wird ein Administrations-Journal gefhrt? Werden dort alle nderungen
dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1781
Manahmenkatalog Hardware/Software M 4.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1782
Manahmenkatalog Hardware/Software M 4.25 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1783
Manahmenkatalog Hardware/Software M 4.26 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1784
Manahmenkatalog Hardware/Software M 4.26 Bemerkungen
___________________________________________________________________ ..........................................
- tiger
Mit diesem Public-Domain-Programm knnen Unix-Systeme hnlich wie
mit cops auf Sicherheitslcken berprft werden.
- SATAN
Mit diesem Public-Domain-Programm kann die Netz-Sicherheit analysiert
werden. Es berprft vernetzte Unix-Systeme auf bekannte, aber oftmals
nicht beseitigte Schwachstellen.
- BSI-Tool Sichere Unix-Administration (USEIT)
USEIT hat das BSI entwickeln lassen, um es Systemverwaltern zu
ermglichen, mit einem Tool die Sicherheitseinstellungen eines Unix-
Systems automatisiert zu berprfen. Es werden Prfungen der Konsistenz
von Systemdateien und des Systems selbst vorgenommen, die
Passwortstrke wird geprft und unsichere Prozesse festgestellt. Es werden
Prfsummen von Dateien und Dateiattributen erzeugt und geprft. Die
Netzsicherheit wird berprft und Penetrationstests knnen durchgefhrt
werden. Unsichere Ports und Dienste werden geprft. Die Protokollierung
wird berwacht. Kontrollen der eingespielten Hersteller-Patches und der
zutreffenden CERT-Verffentlichungen werden durchgefhrt. Weitere
Details zu USEIT knnen der IT-Grundschutz-CD entnommen werden.
- crack
Mit diesem Public-Domain-Programm berprft man, ob zu einfache,
leicht erratbare Passwrter vorhanden sind.
Ergnzende Kontrollfragen:
- Werden die Durchfhrung und die Ergebnisse des Sicherheitschecks doku-
mentiert?
- Welche Schwachstellen werden durch die eingesetzten Programme und
Shellskripts berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1785
Manahmenkatalog Hardware/Software M 4.27 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1786
Manahmenkatalog Hardware/Software M 4.28 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1787
Manahmenkatalog Hardware/Software M 4.29 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1788
Manahmenkatalog Hardware/Software M 4.29 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden die Benutzer im Umgang mit dem Verschlsselungsprogramm
geschult?
- Werden Daten und Schlssel getrennt aufbewahrt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1789
Manahmenkatalog Hardware/Software M 4.30 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1790
Manahmenkatalog Hardware/Software M 4.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1791
Manahmenkatalog Hardware/Software M 4.31 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1792
Manahmenkatalog Hardware/Software M 4.32 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1793
Manahmenkatalog Hardware/Software M 4.33 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1794
Manahmenkatalog Hardware/Software M 4.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1795
Manahmenkatalog Hardware/Software M 4.34 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1796
Manahmenkatalog Hardware/Software M 4.35 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1797
Manahmenkatalog Hardware/Software M 4.36 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1798
Manahmenkatalog Hardware/Software M 4.37 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1799
Manahmenkatalog Hardware/Software M 4.38 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1800
Manahmenkatalog Hardware/Software M 4.39 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1801
Manahmenkatalog Hardware/Software M 4.40 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1802
Manahmenkatalog Hardware/Software M 4.40 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Kann das Rechnermikrofon ausgeschaltet oder physikalisch vom Rechner
getrennt werden?
- Wer hat Zugriff auf die Mikrofon-Gertedatei bzw. auf die Teile der
Registrierung, die die Manipulation von Hardware-Einstellungen erlauben?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1803
Manahmenkatalog Hardware/Software M 4.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1805
Manahmenkatalog Hardware/Software M 4.41 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1806
Manahmenkatalog Hardware/Software M 4.42 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1807
Manahmenkatalog Hardware/Software M 4.43 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1808
Manahmenkatalog Hardware/Software M 4.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1809
Manahmenkatalog Hardware/Software M 4.44 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1810
Manahmenkatalog Hardware/Software M 4.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1811
Manahmenkatalog Hardware/Software M 4.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1812
Manahmenkatalog Hardware/Software M 4.45 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1813
Manahmenkatalog Hardware/Software M 4.46 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1814
Manahmenkatalog Hardware/Software M 4.46 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wird den WfW- bzw. Windows 95 Benutzern mitgeteilt, dass neben dem
Passwortschutz am PC (z. B. BIOS-Passwort) zustzlich das
Anmeldepasswort fr den Schutz der individuellen Kennwortliste unter
WfW bzw. Windows 95 notwendig ist?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1815
Manahmenkatalog Hardware/Software M 4.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1816
Manahmenkatalog Hardware/Software M 4.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1817
Manahmenkatalog Hardware/Software M 4.47 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1818
Manahmenkatalog Hardware/Software M 4.47 Bemerkungen
___________________________________________________________________ ..........................................
SMTP
- E-Mail-Adresse des Absenders und des Empfngers der E-Mail
- Menge der bertragenen Daten
- Hinweis auf angewandte Filterkriterien
- Statusnachricht ber Erfolg oder Misserfolg der Weiterleitung
Bei folgenden Modulen braucht keine gesonderte Protokollierung erfolgen:
Modul Begrndung fr Wegfall der Protokollierung
HTTPS Wird "in Reihe" mit einem HTTP-Proxy geschaltet, der
bereits protokolliert.
Wartungsmodul Relevante Protokolldaten fallen nicht an.
IDS Protokolldaten werden auf dem IDS gesondert
geliefert. Diese sollten nicht zentral gespeichert
werden, um eine Umgehung von Modulen des
Sicherheitsgateways zu unterbinden.
Tabelle 1: Module ohne gesonderte Protokollierung
Die Protokollierung wird stark vereinfacht, wenn die Software die freie
Konfigurierbarkeit der "logging facility" (d.h. eine Kennzeichnung der
einzelnen Log-Eintrge) ermglicht. Dadurch ist es mglich, jedem Dienst
eine eindeutige Kennung zuzuordnen, anhand derer der Loghost die
Protokolldaten auf verschiedene Dateien verteilen kann.
Werden die Protokolldaten ber das Netz zu einem zentralen Loghost
geschickt, so muss darauf geachtet werden, dass die Log-Eintrge
verschiedener Rechner und Dienste so gekennzeichnet werden, dass sie
eindeutig zugeordnet werden knnen. Zustzlich ist es sinnvoll, wenn alle
Dienste ihre Protokolldaten fortlaufend nummerieren. Dadurch kann der
Verlust bzw. die Manipulation von Protokolldaten erkannt werden.
Auswertung der Protokolldaten
Die Auswertung von Protokolldaten kann mit speziellen Tools untersttzt
werden ("logfile analyzer"). Diese stellen die Protokolldateien auf
unterschiedliche Weise dar, wobei sich die meisten Tools regulrer Ausdrcke
bedienen, um relevante Daten aus den Protokolldateien zu extrahieren.
Obwohl Listen mit sinnvollen regulren Ausdrcken zum Zwecke der
Protokolldatenauswertung existieren, sind im Einzelfall meist Anpassungen
notwendig.
Beispiele fr verschiedene Ausgaben der Protokolldateien sind:
- Gruppierung und Markierung zusammengehrender Protokolldaten (z. B.
LogSurfer)
- Anzeige relevanter Protokolldaten, wobei irrelevante Daten mittels
regulrer Ausdrcke ausgeblendet werden knnen. Auf diese Weise
knnten beispielsweise diejenigen Protokolldaten ausgeblendet werden, die
eine erfolgreiche Operation (z. B. GET bei HTTP) dokumentieren (z. B.
checksyslog).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1819
Manahmenkatalog Hardware/Software M 4.47 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Informationen werden an den Paketfiltern protokolliert?
- Falls ein ALG eingesetzt wird: Welche Informationen werden vom ALG
fr die verschiedenen Dienste protokolliert?
- In welchen Abstnden und nach welchen Kriterien werden die Protokolle
ausgewertet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1820
Manahmenkatalog Hardware/Software M 4.48 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1821
Manahmenkatalog Hardware/Software M 4.48 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1822
Manahmenkatalog Hardware/Software M 4.48 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind die Vorgaben fr die Benutzerkonten-Richtlinien dokumentiert?
- Werden die Einstellungen im Benutzer-Manager regelmig kontrolliert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1823
Manahmenkatalog Hardware/Software M 4.49 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1824
Manahmenkatalog Hardware/Software M 4.49 Bemerkungen
___________________________________________________________________ ..........................................
Einstellung des BIOS so abzusichern, dass das System nicht von einem
eventuell vorhandenen Diskettenlaufwerk oder von einem CD-ROM-
Laufwerk aus gestartet werden kann (siehe M 4.1 Passwortschutz fr IT-
Systeme).
- Im Rahmen einer Neuinstallation von Windows NT/2000 hat man die BOOT.INI schtzen
Mglichkeit, die bestehende Installation des Betriebssystems zu
aktualisieren oder eine neue Version parallel zu installieren. Bei der
parallelen Installation wird die bestehende Dateistruktur nicht verndert,
doch wird das vordefinierte Administratorkonto mit einem neuen Passwort
neu angelegt. Dieser "neue" Administrator hat dann vollen Zugriff auf alle
Ressourcen des Rechners und damit auch auf alle Daten und Programme.
Um diese Mglichkeit der Neuinstallation zu verhindern, drfen Benutzer
nicht in der Lage sein, die Datei BOOT.INI im Wurzelverzeichnis der
ersten Platte zu verndern (siehe M 4.53 Restriktive Vergabe von
Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT,
M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000).
- Mit Hilfe der Installationsprogramme kann auch eine Notfalldiskette (siehe
M 6.42 Erstellung von Rettungsdisketten fr Windows NT,
M 6.77 Erstellung von Rettungsdisketten fr Windows 2000) erzeugt und
mit dieser dann eine Systemrekonstruktion durchgefhrt werden. Dabei
wird der Zugriffsschutz der NTFS-Partition des Betriebssystems
aufgehoben. Es ist aus diesem Grund unbedingt erforderlich, die
Installationsprogramme, eine eventuell schon vorhandene Notfalldiskette
und die Setup-Disketten so zu verwahren, dass sie gegen unbefugten
Zugriff geschtzt sind. Schutz gegen diese spezifische Bedrohung bietet
auch die Sicherung der Diskettenlaufwerke (siehe M 4.4 Geeigneter
Umgang mit Laufwerken fr Wechselmedien) und die Absicherung des
Boot-Vorgangs durch die entsprechende Einstellung des BIOS (s. o.).
Unter Windows NT/2000 ist das lokale Anmelden auf dem Server nur fr
Benutzer mglich, denen das Benutzerrecht Lokale Anmeldung gegeben
wurde. Diese Benutzer sind auf die ihnen zugewiesenen Rechte und
Berechtigungen eingeschrnkt. Um einen Missbrauch der Mglichkeiten zum
Anmelden auf dem Server zu vermeiden, sind die Benutzerrechte und die
Zuordnungen zu Benutzergruppen entsprechend restriktiv vorzusehen (siehe
Manahmen M 2.93 Planung des Windows NT Netzes und M 4.50
Strukturierte Systemverwaltung unter Windows NT). Unter Windows 2000
erfolgt die Verwaltung der Benutzerrechte ber die lokalen
Sicherheitseinstellungen bzw. ber Gruppenrichtlinien (siehe
M 2.231 Planung der Gruppenrichtlinien unter Windows 2000).
Ergnzende Kontrollfragen:
- Ist sichergestellt, dass Benutzer den Computer nicht von Disketten- oder
CD-ROM-Laufwerken booten knnen?
- Ist die Datei BOOT.INI im Wurzelverzeichnis der ersten Platte vor
Vernderungen geschtzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1825
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1826
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
nen Rechner und Benutzerkonten und globale Gruppen aus der eigenen
Domne und aus vertrauten Domnen beinhalten.
Lokale Gruppen knnen keine Berechtigungen auf Ressourcen anderer
Domnen erhalten. Es ist nicht mglich, eine lokale Gruppe zum Mitglied
einer anderen lokalen Gruppe zu machen. Lokale Gruppen werden im
Benutzermanager durch ein Gruppensymbol mit einem Computer dargestellt.
Globale Gruppen
Wenn ein Rechner, auf dem Windows NT ausgefhrt wird, einer Domne
angehrt, gibt es einen weiteren Gruppentyp, dem der Zugriff auf die
Arbeitsstation ermglicht werden kann. Es handelt sich um die "Globale
Gruppe", die an mehreren Orten verwendet werden kann: in der eigenen
Domne, auf Servern, auf Arbeitsstationen der Domne und in vertrauten
Domnen. Wenn eine Arbeitsstation einer Domne angehrt, bedeutet dies,
dass den globalen Gruppen der Domne und der vertrauten Domnen Berech-
tigungen und Rechte fr die Arbeitsstation sowie die Zugehrigkeit zu lokalen
Gruppen der Arbeitsstation erteilt werden knnen. Eine globale Gruppe kann
nur Benutzerkonten der eigenen Domne enthalten.
Globale Gruppen knnen nur auf dem primren Domnencontroller definiert
werden. Es ist nicht mglich, dass andere Gruppen Mitglied einer globalen
Gruppe werden. Globale Gruppen werden im Benutzermanager durch ein
Gruppensymbol mit einem Globus dargestellt.
Zusammenfassend empfiehlt sich folgendes Vorgehen zur strukturierten
Systemverwaltung:
Rechte und Berechtigungen werden lokalen Gruppen zugewiesen. Benutzer
werden Mitglied in globalen Gruppen, und die globalen Gruppen werden
Mitglied in lokalen Gruppen.
Neben der Unterscheidung in lokale und globale Gruppen gibt es auch noch
die Unterscheidung zwischen vordefinierten Benutzergruppen, besonderen
Gruppen und frei definierten Benutzergruppen:
Vordefinierte Benutzergruppen
Welche Aktionen ein Benutzer durchfhren kann, hngt von den Gruppen-
mitgliedschaften seines Benutzerkontos ab. Es sind mehrere Gruppen in
Windows NT vordefiniert, und standardmig wird jeder Gruppe ein
bestimmter Satz von Benutzerrechten erteilt. Bei Bedarf knnen mit dem
Benutzermanager zustzliche Gruppen erstellt und definiert werden, mit denen
den ihnen zugewiesenen Benutzern der Zugriff auf individuell zusam-
mengestellte Ressourcen ermglicht wird.
Zustzlich zu den Rechten werden einigen der vordefinierten lokalen Gruppen
vordefinierte Funktionen zugeteilt. Rechte und Zugriffsberechtigungen
knnen den Gruppen und Benutzerkonten direkt erteilt und ihnen entzogen
werden. Dagegen sind die vordefinierten Funktionen nicht direkt verwaltungs-
fhig. Vordefinierte Funktionen knnen fr einen Benutzer nur bereitgestellt
werden, wenn der Benutzer zum Mitglied einer geeigneten lokalen Gruppe
ernannt wird.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1827
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1828
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1829
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
- Benutzer
- Gste
Auerdem werden in dieser Konfiguration folgende globale Gruppen bei der
Installation angelegt:
- Domnen-Admins
- Domnen-Benutzer
- Domnen-Gste
Die Rechte und Funktionen, die unter Windows NT auf Domnencontrollern
bestimmten vordefinierten lokalen Gruppen erteilt werden, sind in der folgen-
den Tabelle angegeben:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1830
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1831
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1832
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1833
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1834
Manahmenkatalog Hardware/Software M 4.50 Bemerkungen
___________________________________________________________________ ..........................................
- NETZWERK - Alle Benutzer, die ber das Netz mit diesem Computer ver-
bunden sind.
- SYSTEM - Das Betriebssystem.
- ERSTELLER-BESITZER - Der Benutzer, der folgendes erstellt hat oder
besitzt: ein Verzeichnis, eine Datei in einem Verzeichnis, einen Drucker
oder ein Dokument, das zu einem Drucker gesendet wurde.
Frei definierte Benutzergruppen:
Mit Hilfe von frei definierten Benutzergruppen ist es mglich, die Organisati-
onsstruktur einer Institution auf die Rechtestruktur abzubilden. So kann fr
jede Organisationseinheit, also z. B. fr jedes Referat bzw. fr jede Abteilung,
eine Gruppe gebildet werden, in der die Benutzer der jeweiligen Organisati-
onseinheit zusammengefasst sind. Den Gruppen werden dann die notwendigen
Berechtigungen auf Ressourcen zugewiesen. Werden innerhalb der Institution
fr vorbergehende Aufgaben Projektgruppen gebildet, so knnen auch diese
durch Zusammenfassung der Projektgruppenmitglieder in einer entsprechen-
den frei definierten Gruppe abgebildet werden.
Bei der Erstellung von frei definierten Benutzergruppen auf dem primren
Domnencontroller ist festzulegen, ob diese vom Typ lokal oder global sind.
Ergnzende Kontrollfragen:
- Wurde eine Strategie zur Verteilung der Benutzer auf die vordefinierten
Gruppen entsprechend den von diesen Benutzern bentigten Rechten fest-
gelegt?
- Ist diese Strategie dokumentiert?
- Wird regelmig kontrolliert, ob die Zuordnung der Benutzer zu den
Gruppen noch mit den aktuellen Aufgaben dieser Benutzer bereinstimmt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Neu 1835
Manahmenkatalog Hardware/Software M 4.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1836
Manahmenkatalog Hardware/Software M 4.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1837
Manahmenkatalog Hardware/Software M 4.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1838
Manahmenkatalog Hardware/Software M 4.51 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1839
Manahmenkatalog Hardware/Software M 4.51 Bemerkungen
___________________________________________________________________ ..........................................
niemand angemeldet ist. Das User Default Profil wird unter den folgenden
Bedingungen geladen:
- wenn der aktuelle Benutzer ber kein eigenes (vorgeschriebenes oder per-
snliches) Profil verfgt und sich noch nie auf dem aktuellen Rechner
angemeldet hat;
- wenn ein Benutzer sich auf dem Gastkonto anmeldet.
Im ersten Fall werden die aktuellen Werte der Benutzerumgebung beim
Abmelden in ein neu erstelltes lokales persnliches Profil abgespeichert, im
zweiten Fall gehen sie beim Abmelden verloren.
Wenn niemand angemeldet ist, werden die aktuellen Werte fr den Bild-
schirmhintergrund und andere Umgebungsvariablen durch das System Default
Profil bestimmt.
Ergnzende Kontrollfragen:
- Ist das Gastkonto, sofern es nicht gesperrt ist, durch ein Profil auf die
minimal erforderliche Funktionalitt eingeschrnkt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1840
Manahmenkatalog Hardware/Software M 4.52 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1841
Manahmenkatalog Hardware/Software M 4.52 Bemerkungen
___________________________________________________________________ ..........................................
wird. Dies kann zu Strungen des Betriebes fhren. Server mssen in einer
gesicherten Umgebung aufgestellt werden.
Weiterhin erlaubt Windows NT/2000 allen Benutzern den Zugriff auf Band-
laufwerke, so dass jeder Benutzer den Inhalt jedes Bandes lesen und schreiben
kann. Normalerweise bringt dies keine Probleme mit sich, da zu einem gege-
benen Zeitpunkt jeweils nur ein Benutzer interaktiv angemeldet ist. Sofern
dieser jedoch ein Programm laufen lsst, das auch nach dem Ausloggen noch
auf das Bandlaufwerk zugreift, so kann dieses Programm mglicherweise auf
ein Band zugreifen, das der nchste Benutzer auflegt, der sich anmeldet. Aus
diesem Grund sollten Rechner, die sich nicht in einer kontrollierten Umge-
bung befinden und auf denen vertrauliche Daten verarbeitet werden, neu
gestartet werden, ehe das Bandlaufwerk genutzt wird.
Hinweis: Der Einsatz von selbstladenden Bandgerten, die mehrere Bnder
aus einem Reservoir laden knnen, darf nur unter sehr genau kontrollierten
Randbedingungen zugelassen werden. In der Regel sollten derartige Gerte
nur zur Datensicherung an einem Server installiert werden. Der interaktive
Zugriff normaler Benutzer auf diesen Server ist nicht zulssig (siehe auch
M 6.32 Regelmige Datensicherung).
Weitere Empfehlungen zum geeigneten Umgang mit Laufwerken fr Wech-
selmedien finden sich in der Manahme M 4.4.
Ergnzende Kontrollfragen:
- Wird die Einstellung der Schlssel AllocateFloppies und AllocateCdRoms
in der Registrierung regelmig kontrolliert?
- Wird die Einstellung der Parameter Zugriff auf CD-ROM-Laufwerke auf
lokal angemeldete Benutzer beschrnken und Zugriff auf Diskettenlauf-
werke auf lokal angemeldete Benutzer beschrnken in den Sicherheits-
einstellungen bzw. Gruppenrichtlinien regelmig kontrolliert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1842
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1843
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1844
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
Der Besitzer einer Datei bzw. eines Verzeichnisses hat in jedem Fall das
Recht, Berechtigungen fr die Datei bzw. das Verzeichnis zu vergeben und zu
entziehen. Jeder, der ein Verzeichnis oder eine Datei erstellt, wird automatisch
Besitzer dieser Ressource. Der Besitz an einem Verzeichnis bzw. an einer
Datei kann durch "Besitz bernehmen" (P) an andere Benutzer bertragen
werden. Der Besitz an einem Verzeichnis oder einer Datei geht allerdings erst
durch die Besitzbernahme durch den Empfnger auf diesen ber. Es ist im
Gegensatz zu anderen Betriebssystemen nicht mglich, Dateien und Ver-
zeichnisse zu verschenken. Unabhngig von den Eintragungen in der
Zugriffskontrolliste knnen Administratoren in jedem Fall den Besitz an
Dateien und Verzeichnissen bernehmen.
Hinweis:
Benutzer sollten mglichst nie die Berechtigung "Vollzugriff" vergeben,
sondern hchstens die Berechtigung "ndern", damit ihnen nicht der Besitz
entzogen werden kann und sie immer die Hoheit ber die Rechtevergabe
behalten.
Alle Benutzer mssen darauf aufmerksam gemacht werden, regelmig mit
dem Dateimanager oder dem Explorer zu berprfen, ob sie noch Besitzer
ihrer Verzeichnisse und Dateien sind. Dies ist der einzige Weg, mit dem
Benutzer erkennen knne, ob von Ihnen gesetzte Zugriffsrechte umgangen
worden sind.
Die in den folgenden Abschnitten genannten Manahmen gelten hauptschlich
fr Dateien und Verzeichnisse, fr die der Administrator zustndig ist, das
heit fr solche, die entweder fr alle Benutzer von Bedeutung sind oder die
Administrationszwecken dienen. Es reicht nicht aus, die Rechte eines
Programms zu berprfen, es muss auch die Rechtevergabe aller Programme
berprft werden, die von diesem Programm aus aufgerufen werden
(insbesondere zur Vermeidung Trojanischer Pferde).
Die Attribute aller Systemdateien sollten mglichst so gesetzt sein, dass nur
der Systemadministrator Zugriff darauf hat. Verzeichnisse drfen nur die
notwendigen Privilegien fr die Benutzer zur Verfgung stellen.
Verzeichnisse des Betriebssystems und der Anwendungsprogramme
Die Dateien und Verzeichnisse des Betriebssystems selbst mssen gegen
unzulssige Zugriffe hinreichend geschtzt werden. Die standardmig
vorgesehenen Zugriffsrechte sollten unmittelbar nach der Installation des
Systems auf schrfere Formen der Zugriffskontrolle auf die betreffenden
Dateien und Verzeichnisse (das Windows-Verzeichnis, %SystemRoot%, z. B.
\WINNT, das Windows-Systemverzeichnis %SystemRoot%\SYSTEM32 und
eventuelle weitere Programmverzeichnisse, z. B. \MsOffice und \Programme,
und alle Unterverzeichnisse) eingestellt werden.
Dabei ist jedoch zu beachten, dass manche Programme, insbesondere 16-Bit
Programme, aber auch z. B. MS Winword 7.0, im Windows-Verzeichnis
und/oder im Programmverzeichnis Initialisierungs- und Konfigurationsdateien
anlegen. Sollen solche Programme genutzt werden, so kann es erforderlich
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1845
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
Administratoren Vollzugriff
Benutzer Lesen
Tabelle: Zugriffsrechte auf das Betriebssystem und die Anwenderprogramme
Ggf. kann der Zugriff auf ausfhrbare Dateien (.EXE-, COM- und BAT-
Dateien) noch weiter eingeschrnkt werden, so dass nur ausfhrender Zugriff
(X) auf diese Dateien mglich ist. In hnlicher Weise sind die fr den
Systemstart kritischen Dateien \BOOT.INI, \NTDETECT.COM, \NTLDR,
\AUTOEXEC.BAT und \CONFIG.SYS gegen unbefugte Vernderung durch
unprivilegierte Benutzer zu schtzen.
Dabei sollte allerdings - am besten in einer Testumgebung - berprft werden,
ob alle Anwendungsprogramme bei dieser restriktiven Einstellung noch lauf-
fhig sind, oder ob einzelne Zugriffskontrollen doch um weitere Zugriffs-
mglichkeiten ergnzt werden mssen, um beispielsweise die Abspeicherung
temporrer Dateien oder von Konfigurationsinformationen in einem
Programmverzeichnis zu erlauben. Generell sollte jedoch der Zugriff auf die
Programmdateien selbst (.EXE-Dateien) und auf dynamische Bibliotheken
(.DLL-Dateien) fr die Gruppe "Jeder" auf lesenden Zugriff beschrnkt
werden, zumal diese Manahme auch einen gewissen Schutz gegen die
Verbreitung von Viren bietet.
Temporre Dateien
Temporre Dateien, die von verschiedenen Anwendungsprogramme zum
Auslagern und Zwischenspeichern von Daten verwendet werden, werden unter
Windows NT im Verzeichnis %TEMP% (in der Regel C:\TEMP) abgelegt.
Alle Anwender bentigen fr dieses Verzeichnis auch das Recht, hier Dateien
abzulegen, doch muss gleichzeitig verhindert werden, dass Benutzer auf
temporre Dateien anderer Benutzer Zugriff erhalten. Die Zugriffsrechte fr
das Verzeichnis sollten daher auf folgenden Wert gendert werden
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1846
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
Administratoren Vollzugriff
Ersteller/Besitzer ndern
Benutzer Hinzufgen
Tabelle: Zugriffsrechte bei temporren Dateien
Registrierung
Die Registrierung von Windows NT befindet sich im Unterverzeichnis
CONFIG des Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32,
d. h. im allgemeinen im Verzeichnis C:\WINNT\SYSTEM32\CONFIG. Auf
dieses Verzeichnis muss der Anwender Zugriff haben, da die Registrierung
automatisch durch Einstellungen des Benutzers in Anwendungsprogrammen
gendert wird. Kann der Benutzer nicht auf dieses Verzeichnis zugreifen, fhrt
das zu Systemfehlern oder zu einem Absturz des Systems. Die auf dieses
Verzeichnis gesetzten Standardrechte, die mglichst nicht verndert werden
sollten, sind unter Version 3.51:
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
Administratoren Vollzugriff
Ersteller/Besitzer ndern
Benutzer Anzeigen
Tabelle: Zugriffsrechte bei der Registrierung bei Windows NT, Version 3.51
Ab Version 4.0 sind die Standardrechte:
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
Administratoren Vollzugriff
Ersteller/Besitzer Vollzugriff
Jeder Anzeigen
Tabelle: Zugriffsrechte bei der Registrierung ab Version 4.0
Die Gruppe "Jeder" sollte allerdings durch die Gruppe "Benutzer" ersetzt
werden. Nur wenn Gste auf dieses Verzeichnis Zugriff haben, muss die
Gruppe "Jeder" das Recht "Anzeigen" haben.
Bei der Installation legt Windows NT das Verzeichnis
%SystemRoot%\REPAIR an, um dort Konfigurationsinformationen abzu-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1847
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
Benutzer(gruppe) Zugriffsrecht
System Vollzugriff
Administratoren Vollzugriff
Tabelle: Zugriffsrechte auf Verzeichnisse
Profile
Zum Abspeichern der Daten, die die Benutzeroberflche und Eintrge im
Men START ab der Version 4.0 beschreiben, legt Windows NT fr jeden
Benutzer vom System ein eigenes Profilverzeichnis im Unterverzeichnis
Profiles des Windows-Verzeichnisses %SystemRoot% (in der Regel
C:\WINNT\PROFILE) an. Unter der Version 3.51 werden Profile in Unterver-
zeichnissen des Systemverzeichnisses %SystemRoot%\SYSTEM32\CONFIG
bzw. in fr die einzelnen Benutzer explizit angegebenen Verzeichnissen
abgespeichert.
Auf diese Verzeichnisse muss der Benutzer vollen Zugriff haben, sofern er
seine Benutzeroberflche selbst verndern knnen soll. Dies ist jedoch nicht
immer gewnscht (vgl. M 4.51 Benutzerprofile zur Einschrnkung der
Nutzungsmglichkeiten von Windows NT). Beim ersten Anmelden des Be-
nutzers wird sein Benutzerprofil automatisch vom System erzeugt. Die Stan-
dard-Zugriffsrechte fr das Verzeichnis sehen wie folgt aus:
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
Administratoren Vollzugriff
betreffender Benutzer Vollzugriff
Tabelle: Zugriffsrechte bei Profilverzeichnissen
Neben dem Profilverzeichnis fr den einzelnen Benutzer gibt es noch ein
Verzeichnis fr alle Benutzer (All Users) und ein Verzeichnis als Vorlage fr
neue Benutzer (Default User). Schreibenden Zugriff auf diese Verzeichnisse
sollte nur Systemverwalter haben. Die Zugriffsrechte sollten wie folgt gesetzt
werden:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1848
Manahmenkatalog Hardware/Software M 4.53 Bemerkungen
___________________________________________________________________ ..........................................
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
Administratoren Vollzugriff
Benutzer Lesen
Tabelle: Zugriffsrechte in den Verzeichnissen All Users und Default User
Diese Einstellungen sollten nur verndert werden, wenn man dem Anwender
das Recht nehmen mchte, seine Benutzeroberflche zu verndern.
Benutzer-Verzeichnisse
Die Verzeichnisse fr die Daten der einzelnen Benutzer sollten in der Regel so
geschtzt werden, dass nur die betreffenden Benutzer auf ihre Dateien
zugreifen knnen. Andere Benutzer, auch Administratoren bentigen in der
Regel keinen Zugriff auf die Daten eines Benutzers, es sei denn, dass dieser
selbst explizit zustzliche Zugriffsrechte vergibt. Damit ist in den meisten
Fllen die folgende Voreinstellung fr die Zugriffsrechte auf Benutzerver-
zeichnisse ausreichend:
Benutzer(gruppe) Zugriffsrecht
SYSTEM Vollzugriff
betreffender Benutzer Vollzugriff
Tabelle: Benutzer-Verzeichniss-Zugriffsrechte
Benutzer, die einzelne Dateien oder Verzeichnisse anderen Benutzern
zugnglich machen wollen, sollten hierfr Verzeichnisse auerhalb ihres
Basis-Verzeichnisses einrichten. Ebenso sollten fr Projektgruppen, die
gemeinsam an bestimmten Dateien arbeiten, spezielle Verzeichnisse einge-
richtet werden. Die Zugriffsrechte auf solche Verzeichnisse sollten auch
wiederum explizit auf die Benutzer in diesen Gruppen beschrnkt werden.
Sperren der Zugriffsrechte fr Gste
Bei den oben beschriebenen Zugriffskontrolllisten ist davon ausgegangen
worden, dass keine Benutzer der Gruppe "Gste" zugelassen sind. Deswegen
ist die Gruppe "Jeder" durch die Gruppe "Benutzer" zu ersetzen. Mit dieser
Ma?nahme wird Gsten effektiv jede Mglichkeit zur Arbeit mit dem System
und zum Zugriff auf Daten entzogen. Da dies jedoch unter Umstnden dazu
fhren kann, dass bestimmte Anwendungssoftware nicht mehr korrekt luft,
sollte eine derartige nderung zuerst an einem Testsystem vorgenommen und
hinsichtlich ihrer Auswirkungen berprft werden, ehe sie allgemein umge-
setzt wird.
Ergnzende Kontrollfragen:
- Wird die Attributvergabe bei Systemdateien und der Registrierung regel-
mig berprft?
- Werden die Einstellungen der Benutzerprofile regelmig berprft?
- Gibt es Listen, anhand derer diese berprfungen durchgefhrt werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1849
Manahmenkatalog Hardware/Software M 4.54 Bemerkungen
___________________________________________________________________ ..........................................
Abb.: berwachungsrichtlinien
Sofern auf einem Rechner Daten mit hheren Schutzanforderungen gespei-
chert und/oder verarbeitet werden, sollten zustzlich noch erfolgreiche und
abgewiesene Datei- und Objektzugriffe aufgezeichnet werden. Dabei sollte
sich diese Aufzeichnung auf die Dateien, die besonders schutzwrdige Infor-
mationen enthalten, sowie auf die zur Verarbeitung dieser Dateien bentigten
Programme beschrnken, damit die Protokolldatei nicht so umfangreich wird,
dass sie nicht mehr mit tragbarem Aufwand auswertbar ist.
Bei hheren Sicherheitsanforderungen sollten auch Zugriffe und Zugriffs-
versuche auf die Registrierung, zumindest fr die Schlssel
HKEY_LOCAL_MACHINE und HKEY_USERS, aufgezeichnet werden. Dabei
empfiehlt es sich, alle abgewiesenen Versuche aufzuzeichnen und von den
erfolgreichen zumindest die folgenden, die zu Vernderungen der Registrie-
rung fhren knnen:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1850
Manahmenkatalog Hardware/Software M 4.54 Bemerkungen
___________________________________________________________________ ..........................................
Abb.: Registrierungsschlsselberwachung
Dabei ist zu beachten, dass Zugriffe auf die Registrierung nur dann aufge-
zeichnet werden, wenn bei den allgemeinen berwachungsrichtlinien die
berwachung der Datei- und Objektzugriffe aktiviert ist.
Bei der berwachung der Zugriffe auf die Registrierung fallen erhebliche
Mengen an Protokolldaten an, die auch ausgewertet werden mssen. Zudem
wirkt sich die Protokollierung dieser Ereignisse u. U. negativ auf die System-
performance aus. Es bietet sich unter Bercksichtigung der Sicherheits-
anforderungen ggf. das folgende alternative Vorgehen an: Abgewiesene
Zugriffsversuche auf die Schlssel HKEY_LOCAL_MACHINE und
HKEY_USERS werden so protokolliert, wie zuvor beschrieben. Die erfolg-
reichen Zugriffe auf diese Schlssel werden nicht protokolliert. Vielmehr wird
ein geeignetes Integrittssicherungsprogramm eingesetzt. So knnen
Vernderungen an diesen Schlsseln leicht erkannt werden. Der Nachteil
dieser Methode ist aber, dass der Urheber von Vernderungen nicht erkannt
werden kann.
Die Protokolldatei sollte durch Festlegung entsprechender Vorgaben mit dem
Dienstprogramm Ereignisanzeige so gro angelegt werden, dass alle innerhalb
eines vorgegebenen Zeitraums (beispielsweise in einer Woche) anfallenden
Eintrge mit Sicherheit abgespeichert werden knnen. Dabei sollte ein
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1851
Manahmenkatalog Hardware/Software M 4.54 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1852
Manahmenkatalog Hardware/Software M 4.54 Bemerkungen
___________________________________________________________________ ..........................................
Abb.: Filter
Die Auswertung des Sicherheitsprotokolls sollte einer geeigneten, allgemein
verbindlichen Vorgabe folgen (siehe M 2.64 Kontrolle der Protokolldateien
und M 2.92 Durchfhrung von Sicherheitskontrollen im Windows NT Client-
Server-Netz).
Ergnzende Kontrollfragen:
- Werden die aufgezeichneten Protokolle regelmig geprft?
- Werden die mglichen Konsequenzen sicherheitskritischer Protokoll-
eintrge analysiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1853
Manahmenkatalog Hardware/Software M 4.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1854
Manahmenkatalog Hardware/Software M 4.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1855
Manahmenkatalog Hardware/Software M 4.55 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1856
Manahmenkatalog Hardware/Software M 4.55 Bemerkungen
___________________________________________________________________ ..........................................
Installation im Netz
Weiterhin ist zu beachten, dass alle Clients bei der Konfiguration ihrer Netz-
software als Mitglieder einer der vorher definierten Domnen (und nicht als
Mitglieder von Arbeitsgruppen) konfiguriert werden. Falls auf ihnen
Benutzerkonten bentigt werden, mssen diese immer als domnenweite
Konten und nicht als lokale Konten definiert werden, um die Entstehung
unberschaubarer Rechtestrukturen zu vermeiden.
Zur Vereinfachung der Installation einer greren Anzahl von Clients sollten
vorher Skripten definiert werden, die eine automatische Installation und
Konfiguration dieser Clients ermglichen. Software aller Art sollte zentral auf
einem Server bereitgestellt und von dort aus auf dem entsprechenden Rechner
installiert werden.
Ergnzende Kontrollfragen:
- Welchen Benutzern wurde die Zugangskontrollinformation (Benutzer-
name, Passwort) zu den vordefinierten Benutzerkonten mitgeteilt?
- Wird regelmig kontrolliert, ob das Gastkonto noch gesperrt ist, bzw.
wenn es genutzt werden muss, werden die der Gruppe "Gste" erteilten
Zugriffsrechte und die Gruppenzuordnung des Gastkontos regelmig
berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1857
Manahmenkatalog Hardware/Software M 4.56 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1858
Manahmenkatalog Hardware/Software M 4.56 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Ist die Gre des Papierkorbs unter Windows NT Version 4.0 bzw. unter
Windows 95 auf einen sinnvollen Wert eingestellt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1859
Manahmenkatalog Hardware/Software M 4.57 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1860
Manahmenkatalog Hardware/Software M 4.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1861
Manahmenkatalog Hardware/Software M 4.58 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1862
Manahmenkatalog Hardware/Software M 4.59 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1863
Manahmenkatalog Hardware/Software M 4.60 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1864
Manahmenkatalog Hardware/Software M 4.61 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1865
Manahmenkatalog Hardware/Software M 4.62 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1866
Manahmenkatalog Hardware/Software M 4.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1867
Manahmenkatalog Hardware/Software M 4.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1868
Manahmenkatalog Hardware/Software M 4.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1869
Manahmenkatalog Hardware/Software M 4.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1870
Manahmenkatalog Hardware/Software M 4.63 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1871
Manahmenkatalog Hardware/Software M 4.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1872
Manahmenkatalog Hardware/Software M 4.64 Bemerkungen
___________________________________________________________________ ..........................................
Die letzte Zuordnungseinheit wird dabei nicht vollstndig benutzt, wenn die
Dateigre der zu speichernden Datei nicht zufllig ein Vielfaches der
Clustergre ist.
Dies verbraucht zum einen Speicherplatz. Der durchschnittliche Speicher-
platzverbrauch hierdurch steigt mit der Clustergre. Da diese wiederum mit
der Partitionsgre steigt, sollten Partitionen nicht zu gro sein. Hierzu ein
Beispiel: Bei einer Partitionsgre zwischen 1024 und 2047 MB hat ein ein-
zelner Cluster 32 KB. Damit gehen durchschnittlich bei jeder Datei 16 KB
Speicherplatz verloren.
Ein anderes Problem hierbei ist, dass (bei DOS-basierten Betriebssystemen)
die restlichen Bytes des letzten Clusters bzw. Blocks mit zufllig im Haupt-
speicher stehenden Bytes aufgefllt werden, sogenannten Slack-Bytes. Diese
knnen sinnlose Eintrge, Informationen ber die Dateistruktur, aber auch
Passwrter enthalten. Auch bei einem Kopiervorgang von einem Datentrger
auf den anderen kann die Datei je nach Clustergre mit Slack-Bytes aufge-
fllt werden.
Vor der Weitergabe von Dateien sollte sichergestellt werden, dass diese keine
Slack-Bytes mehr enthalten. Dies kann mit Hilfe eines geeigneten Editors
(z. B. Hex-Editor) berprft werden. Fr das berschreiben der Slack-Bytes
steht z. B. das Public-Domain-Programm PRUNE zur Verfgung, dass von
den Webseiten des BSI heruntergeladen werden kann.
Daneben haben viele Windows-Applikationen das Problem, dass das jeweilige
Programm bei der Bearbeitung einer Datei den in Anspruch genommenen
Speicherplatz nicht durchgehend mit Applikationsdaten berschreibt, sondern
dass Lcken entstehen knnen, die ebenfalls alte Datenbestnde des IT-
Systems enthalten.
Verborgener Text / Kommentare
Eine Datei kann Textpassagen enthalten, die als "versteckt" oder "verborgen"
formatiert sind. Einige Programme bieten auch die Mglichkeit an, Kommen-
tare hinzuzufgen, die auf dem Ausdruck und oft auch am Bildschirm ausge-
blendet sind. Solche Textpassagen knnen Bemerkungen enthalten, die nicht
fr den Empfnger bestimmt sind. Daher mssen in Dateien, bevor sie an
Externe weitergegeben werden, solche Zusatzinformationen gelscht werden.
nderungsmarkierungen
Bei der Bearbeitung von Dateien kann es sinnvoll sein, hierbei nderungs-
markierungen zu verwenden. Da diese auf dem Ausdruck und am Bildschirm
ausgeblendet werden knnen, muss vor der Weitergabe von Dateien ebenfalls
berprft werden, ob diese nderungsmarkierungen enthalten.
Versionsfhrung
In praktisch allen aktuellen Office-Suites gibt es die Mglichkeit, verschie-
dene Versionen eines Dokumentes in einer Datei zu speichern. Dies dient da-
zu, um bei Bedarf auf frhere berarbeitungsstnde zurckgreifen zu knnen.
Dies kann aber sehr schnell zu riesigen Dateien fhren, z. B. wenn Graphiken
mitgefhrt werden. Auf keinen Fall sollte die Option "Version beim Schlieen
automatisch speichern" gewhlt werden, da hier bei jedem Schlieen einer
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1873
Manahmenkatalog Hardware/Software M 4.64 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1874
Manahmenkatalog Hardware/Software M 4.65 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1875
Manahmenkatalog Hardware/Software M 4.66 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1876
Manahmenkatalog Hardware/Software M 4.67 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1877
Manahmenkatalog Hardware/Software M 4.68 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1878
Manahmenkatalog Hardware/Software M 4.68 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1879
Manahmenkatalog Hardware/Software M 4.69 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1880
Manahmenkatalog Hardware/Software M 4.69 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wann wurde der letzte Sicherheitscheck durchgefhrt?
- Werden die Durchfhrung und die Ergebnisse der Sicherheitschecks doku-
mentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1881
Manahmenkatalog Hardware/Software M 4.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1882
Manahmenkatalog Hardware/Software M 4.70 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1883
Manahmenkatalog Hardware/Software M 4.71 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1884
Manahmenkatalog Hardware/Software M 4.72 Bemerkungen
___________________________________________________________________ ..........................................
M 4.72 Datenbank-Verschlsselung
Verantwortlich fr Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: Administrator, Anwendungsentwickler
In Abhngigkeit von der Art der in einer Datenbank gespeicherten Informatio-
nen und den sich daraus ergebenden Anforderungen an deren Vertraulichkeit
und Integritt kann es notwendig werden, diese Daten zu verschlsseln. Dabei
kann zwischen einer Online- und einer Offline-Verschlsselung unterschieden
werden:
- Bei einer Online-Verschlsselung werden die Daten whrend des
laufenden Betriebs ver- und entschlsselt, ohne dass die betroffenen
Benutzer davon etwas merken. Dafr knnen Tools eingesetzt werden, mit
denen entweder auf Betriebssystemebene die gesamte Festplatte
verschlsselt wird, oder solche, mit denen nur die Anwendungsdaten der
Datenbank verschlsselt werden.
- Bei einer Offline-Verschlsselung werden die Daten erst nach ihrer
Bearbeitung verschlsselt und vor ihrer Weiterverarbeitung wieder
entschlsselt. Dies wird im allgemeinen mit Tools durchgefhrt, die nicht
in das Datenbanksystem integriert sind, und kann insbesondere fr
Datensicherungen oder Datenbertragungen sinnvoll sein. Dabei ist zu
beachten, dass gengend Platz auf der Festplatte vorhanden ist, da die Ver-
bzw. Entschlsselung nur dann erfolgreich ausgefhrt werden kann, wenn
auf der Festplatte gengend Platz fr das Original und die verschlsselte
Version der Datenbank verfgbar ist.
Darber hinaus besteht die Mglichkeit, Daten weiterhin im Klartext in der
Datenbank abzuspeichern, beim Zugriff ber ein Netz jedoch eine
verschlsselte Datenbertragung zu realisieren. Dies kann z. B. durch die
Secure Network Services der Oracle SQL*Net Produktfamilie durchgefhrt
werden.
Welche Daten mit welchem Verfahren zu verschlsseln sind, ist am besten
bereits bei der Auswahl der Datenbank-Standardsoftware festzustellen (siehe
M 2.124 Geeignete Auswahl einer Datenbank-Software). Dabei sollten die
Anforderungen hinsichtlich der Verschlsselung von Datenbestnden mit den
entsprechenden Leistungsmerkmalen der Datenbank-Software verglichen
werden. Als Mindestanforderung sollte sie in jedem Fall sicherstellen, dass die
Passwrter der Benutzer-Kennungen der Datenbank verschlsselt abgelegt
sind.
Falls die Anforderungen durch keine der am Markt verfgbaren Datenbank-
Standardsoftware abgedeckt werden knnen, sollte man den Einsatz von
Zusatzprodukten prfen, um die entsprechende Sicherheitslcke zu schlieen.
Falls auch keine Zusatzprodukte erhltlich sind, muss ein Konzept fr die
Umsetzung einer Verschlsselungsstrategie erstellt werden, das im Unterneh-
men bzw. in der Behrde umgesetzt wird.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1885
Manahmenkatalog Hardware/Software M 4.72 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden von der Datenbank oder durch Zusatzprodukte geeignete
Techniken zur Verschlsselung bereitgestellt?
- Sind die Verantwortlichen ber ein ordnungsgemes Schlssel-
management informiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1886
Manahmenkatalog Hardware/Software M 4.73 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1887
Manahmenkatalog Hardware/Software M 4.73 Bemerkungen
___________________________________________________________________ ..........................................
CPU_PER_SESSION 6000,
IDLE_TIME 30,
CONNECT_TIME 500;
Eine Ingres-Datenbank erlaubt beispielsweise fr Benutzer und Gruppen das
Setzen von Grenzen fr die maximale Ein- und Ausgabe je Abfrage oder fr
die Anzahl von Stzen pro Abfrage.
Weiterhin kann auch die Anzahl der Benutzer beschrnkt werden, die
gleichzeitig auf die Datenbank zugreifen drfen. Durch deren Begrenzung
mittels Parametereinstellungen im DBMS kann gewhrleistet werden, dass die
maximal zur Verfgung stehende Zahl an Lizenzen fr die Datenbank-
Software nicht berschritten wird. Auerdem verursachen viele parallel
zugreifende Benutzer eine hohe Arbeitslast, dem der Datenbank-Server
eventuell nicht gewachsen ist, wodurch sich die durchschnittliche Dauer einer
Transaktion verlngert. Ist in diesem Fall aus bestimmten Grnden eine
Erweiterung der Ressourcen des Datenbanksystems nicht mglich oder nicht
gewnscht, schafft hier eine Begrenzung der maximal mglichen parallelen
Benutzerzugriffe ebenfalls Abhilfe.
Die diesbezglichen Anforderungen sollten bereits whrend der Auswahl
einer Datenbank-Standardsoftware geklrt werden, um gegebenenfalls ein
Konzept zur Umsetzung der Ressourcenbeschrnkungen zu erstellen (siehe
M 2.124 Geeignete Auswahl einer Datenbank-Software).
Ergnzende Kontrollfragen:
- Wird die Einhaltung von Obergrenzen in den Anwendungen kontrolliert
und umgesetzt?
- Wird eine uneingeschrnkte Suche in den Anwendungen prinzipiell unter-
bunden?
- Wurden die Anforderungen an eine Ressourcenbeschrnkung der
Datenbank formuliert und dokumentiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1888
Manahmenkatalog Hardware/Software M 4.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1889
Manahmenkatalog Hardware/Software M 4.74 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1890
Manahmenkatalog Hardware/Software M 4.75 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1891
Manahmenkatalog Hardware/Software M 4.75 Bemerkungen
___________________________________________________________________ ..........................................
Dabei ist sorgfltig vorzugehen, da fehlerhafte Einstellungen in der Registrie- Einstellungen testen
rung dazu fhren knnen, dass das System nicht mehr lauffhig ist und nach
dem nchsten Starten eventuell nicht mehr bootet. Die hier genannten
Einstellungen sollten daher zunchst auf ein Testsystem angewendet und auf
ihre Lauffhigkeit in der aktuellen Umgebung kritisch geprft werden, ehe sie
allgemein eingesetzt werden.
Netzzugriff auf die Registrierung
Sofern diese Funktionalitt nicht unbedingt gebraucht wird, sollte auch der
Zugriff ber das Netz auf die Registrierung gesperrt werden. Dies ist ab der
Version 4.0 mglich, indem der Eintrag winreg im Schlssel
\System\CurrentControlSet\Control\SecurePipeServers im Bereich
HKEY_LOCAL_MACHINE auf den Wert REG_DWORD = 1 gesetzt wird.
In der Version 3.x besteht die Mglichkeit der expliziten Sperrung von Netz-
zugriffen auf die Registrierung nicht. Hier kann man sich damit behelfen, dass
die Zugriffsberechtigung fr Jeder auf die Wurzel des Bereiches
HKEY_LOCAL_MACHINE (nicht jedoch auf die darunter liegenden Schls-
sel!) entfernt wird, so dass nur noch Administratoren auf diesen Bereich
Zugriff haben. Diese nderung ist unbedingt auf einem Testsystem zu ber-
prfen, da sie zur Folge haben kann, dass einige Anwendungen nicht mehr
lauffhig sind. Es ist zu beachten, dass diese nderung nur bis zum nchsten
Systemstart bestehen bleibt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 1892
Manahmenkatalog Hardware/Software M 4.76 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1893
Manahmenkatalog Hardware/Software M 4.76 Bemerkungen
___________________________________________________________________ ..........................................
Version ersetzt werden, was im schlimmsten Fall dazu fhren kann, dass ein
Windows NT System nicht mehr in Betrieb genommen werden kann.
Nach der Installation eines Service Packs oder eines Hot Fixes sollten die
Notfalldisketten aktualisiert werden (siehe M 6.42 Erstellung von Rettungs-
disketten fr Windows NT). Auerdem sollte die Sicherheitskonfiguration des
betroffenen Rechners berprft werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1894
Manahmenkatalog Hardware/Software M 4.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1895
Manahmenkatalog Hardware/Software M 4.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1896
Manahmenkatalog Hardware/Software M 4.77 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1897
Manahmenkatalog Hardware/Software M 4.78 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1898
Manahmenkatalog Hardware/Software M 4.79 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1899
Manahmenkatalog Hardware/Software M 4.80 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1900
Manahmenkatalog Hardware/Software M 4.81 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1901
Manahmenkatalog Hardware/Software M 4.81 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1902
Manahmenkatalog Hardware/Software M 4.81 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden die aufgezeichneten Protokoll- und Auditdaten regelmig
kontrolliert?
- Werden die mglichen Konsequenzen sicherheitskritischer Ereignisse
analysiert?
- Werden die Benutzer-Passwrter protokolliert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1903
Manahmenkatalog Hardware/Software M 4.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1904
Manahmenkatalog Hardware/Software M 4.82 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1905
Manahmenkatalog Hardware/Software M 4.83 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1906
Manahmenkatalog Hardware/Software M 4.84 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1907
Manahmenkatalog Hardware/Software M 4.84 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1908
Manahmenkatalog Hardware/Software M 4.85 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1909
Manahmenkatalog Hardware/Software M 4.85 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1910
Manahmenkatalog Hardware/Software M 4.86 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1911
Manahmenkatalog Hardware/Software M 4.87 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1912
Manahmenkatalog Hardware/Software M 4.88 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1913
Manahmenkatalog Hardware/Software M 4.89 Bemerkungen
___________________________________________________________________ ..........................................
M 4.89 Abstrahlsicherheit
Verantwortlich fr Initiierung: IT-Sicherheitsmanagement
Verantwortlich fr Umsetzung: IT-Sicherheitsmanagement
Jedes elektronische Gert strahlt mehr oder weniger starke elektromagnetische
Wellen ab. Diese Abstrahlung ist als Strstrahlung bekannt und ihre maximal
zulssige Strke ist im Allgemeinen gesetzlich geregelt, in Deutschland ist
dies das Gesetz ber die elektromagnetische Vertrglichkeit von Gerten
(EMVG). Bei Gerten, die Informationen verarbeiten (PC, Drucker, Faxgert,
Modem, usw.) kann diese Strstrahlung auch die gerade verarbeiteten
Informationen mit sich fhren. Derartige informationstragende Abstrahlung
wird blostellende Abstrahlung genannt. Wird die blostellende Abstrahlung
in einiger Entfernung, z. B. in einem Nachbarhaus oder auch in einem in der
Nhe abgestellten Fahrzeug empfangen, kann daraus die Information
rekonstruiert werden. Die Vertraulichkeit der Daten ist damit in Frage gestellt.
Die Grenzwerte des EMVG reichen im allgemeinen nicht aus, um das
Abhren der blostellenden Abstrahlung zu verhindern. Hierzu mssen in
aller Regel zustzliche Manahmen getroffen werden.
Blostellende Abstrahlung kann einen Raum auf unterschiedliche Weise ver-
lassen:
- In Form von elektromagnetischen Wellen, die sich wie Rundfunkwellen
durch den freien Raum ausbreiten.
- Als leitungsgebundene Abstrahlung entlang metallischer Leiter (Kabel,
Klimakanle, Heizungsrohre).
- Durch berkoppeln von einem Datenkabel in parallel hierzu verlegte
Kabel. Auf dem Parallelkabel breitet sich die Abstrahlung aus und kann
von diesem noch in groer Entfernung abgegriffen werden.
- Als akustische Abstrahlung, z. B. bei Druckern. Die Detailinformationen
des Druckvorgangs breiten sich ber Schall beziehungsweise Ultraschall
aus und knnen mit Mikrofonen aufgenommen werden.
- In Form von akustischer berkopplung auf andere Gerte. Die
Schallwandlung in elektrische Signale erfolgt dabei durch schall-
empfindliche Gerteteile, die unter bestimmten Voraussetzungen hnlich
wie ein "Mikrofon" arbeiten knnen. Die weitere Ausbreitung erfolgt dann
entlang metallischer Leiter oder auch in Form elektromagnetischer Raum-
strahlung.
- Blostellende Abstrahlung kann auch durch eine uere Manipulation von
Gerten verursacht werden. Wird z. B. ein Gert mit Hochfrequenzenergie
bestrahlt, knnen die im Gert ablaufenden elektrischen Vorgnge die ein-
gestrahlten Wellen so beeinflussen, dass diese nun die verarbeitete Infor-
mation mit sich tragen.
In allen Fllen hat die Installation, also die Verkabelung der Gerte unter-
einander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluss auf
die Ausbreitung und damit auch auf die Reichweite der Abstrahlung.
Vom BSI werden Schutzmanahmen entwickelt, welche die Gefhrdung ohne
wesentliche Kostensteigerung wirksam reduzieren. Dazu gehren:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1914
Manahmenkatalog Hardware/Software M 4.89 Bemerkungen
___________________________________________________________________ ..........................................
- Zonenmodell
Das Zonenmodell bercksichtigt die Ausbreitungsbedingungen fr blo-
stellende Abstrahlung bei den jeweiligen Gebude- und Gelndever-
hltnissen. Dabei wird die Abschwchung der Abstrahlung auf ihrem Weg
vom verursachenden IT-Gert zum potentiellen Empfnger messtechnisch
erfasst. Abhngig von den Gegebenheiten am Einsatzort knnen gege-
benenfalls Gerte eingesetzt werden, an denen nur geringfgige oder gar
keine Sonderentstrmanahmen durchgefhrt wurden.
- Quellenentstrung
Die Quellenentstrung bewhrt sich besonders bei der Neuentwicklung von
IT-Produkten. Hier wird die blostellende Abstrahlung bereits am Ent-
stehungsort innerhalb des Gertes unterdrckt oder so verndert, dass sie
nicht mehr auswertbar ist. Durch diese Methode kann z. B. auch der Ein-
satz kostengnstiger Kunststoffgehuse mglich werden, mit vernach-
lssigbar geringen Auswirkungen auf den Serienpreis.
- Kurzmessverfahren
Die Erarbeitung von Kurzmessverfahren und Manipulationsprfverfahren
erlaubt, auch nach Wartung, Reparatur oder mglichen unberechtigten
Zugriffen die Abstrahlsicherheit mit geringem Aufwand sicherzustellen.
- Einsatz abstrahlarmer bzw. abstrahlgeschtzter Gerte
Hersteller von PC-Bildschirmen werben hufig mit dem Begriff "abstrahl-
arm" nach MPR II, TCO oder SSI. Diese Richtlinien bercksichtigen
jedoch ausschlielich mgliche gesundheitsschdliche Auswirkungen der
Gertestrahlung. Die Messverfahren und Grenzwerte fr die Strahlung sind
daher fr den Nachweis blostellender Abstrahlung ungeeignet und
ermglichen wie auch Messungen zur elektromagnetischen Vertrglichkeit
(EMV) keine Bewertung der Sicherheit gegen unberechtigtes Mitlesen der
Daten.
Daneben werden aber auch speziell abstrahlgeschtzte IT-Systeme ange-
boten. Ein detailliertes Prfkonzept des BSI dient zur abgestuften Prfung
von IT-Gerten bzw. -Systemen. Grundgedanke dieses Konzeptes ist es,
den Umfang der Schutzmanahmen so gut wie mglich an die vom
Anwender angenommene Bedrohungslage anzupassen, um so bei mini-
miertem Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen.
Ursprnglich wurde das Prfkonzept des BSI zum Schutz staatlicher Ver-
schlusssachen entwickelt, der Einsatz kann aber auch in der Privatwirt-
schaft sinnvoll sein, wenn Daten mit hohem Schutzbedarf bezglich Ver-
traulichkeit geschtzt werden sollen. So kann z. B. in vielen Fllen ein
nach dem Zonenmodell geprftes und fr den Einsatz in den Zonen 1-3
zugelassenes Gert (sog. "Zone 1-Gert") bereits einen hinreichenden
Schutz gegen unberechtigtes Abhren vertraulicher Daten infolge blo-
stellender Abstrahlung bieten. Ein Einsatz von kostengnstigen Zone 1-
Gerten wird daher vom BSI bei dem genannten Schutzbedarf empfohlen.
Ob ein Hersteller abstrahlgeschtzte Gerte gem dieser sog.
"TEMPEST"-Kriterien in seinem Lieferprogramm anbietet, sollte durch
eine Rckfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offi-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1915
Manahmenkatalog Hardware/Software M 4.89 Bemerkungen
___________________________________________________________________ ..........................................
zielle Produktbersicht BSI 7206, welche auf der Internetseite des BSI
unter dem Stichwort Publikationen verfgbar ist, geklrt werden. Dabei
gehrt zu der Aussage, dass fr ein Gert eine TEMPEST-Zulassung vor-
liegt, immer auch die Aussage des Zulassungsgrades (z. B. zugelassen fr
den Einsatz in den Zonen 1-3 gem Zonenmodell).
Weitere Informationen erhalten Sie unter:
Tel.: +49 (0) 1888 9582-502
E-Mail: ReferatIII12@bsi.bund.de
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1916
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1917
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1918
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1919
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1920
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1921
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1922
Manahmenkatalog Hardware/Software M 4.90 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1923
Manahmenkatalog Hardware/Software M 4.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1924
Manahmenkatalog Hardware/Software M 4.91 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1925
Manahmenkatalog Hardware/Software M 4.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1926
Manahmenkatalog Hardware/Software M 4.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1927
Manahmenkatalog Hardware/Software M 4.92 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1928
Manahmenkatalog Hardware/Software M 4.93 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Welche Integrittschecker werden eingesetzt?
- Wie hufig werden die Ergebnisse der Integrittschecker geprft?
- Wie sind die Prfsummendatei und das Programm selbst vor
Manipulationen gesichert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1929
Manahmenkatalog Hardware/Software M 4.94 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1930
Manahmenkatalog Hardware/Software M 4.94 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1931
Manahmenkatalog Hardware/Software M 4.94 Bemerkungen
___________________________________________________________________ ..........................................
Dateiverschlsselung
Eine weitere Mglichkeit zum Schutz von WWW-Dateien ist es, Dateien ver-
schlsselt auf einem Webserver abzulegen, so dass nur diejenigen die Daten
lesen knnen, die im Besitz des richtigen kryptographischen Schlssels sind.
Dieses Vorgehen bietet zustzlich den Schutz vor unbefugtem lokalem
Zugriff, verlangt allerdings ein entsprechendes, unter Umstnden aufwendi-
ges, Schlsselmanagement.
Kontrollfragen:
- Wie werden die WWW-Dateien gegen unbefugten lokalen Zugriff ge-
schtzt?
- Sind CGI-Skripte und Konfigurationsdateien besonders geschtzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1932
Manahmenkatalog Hardware/Software M 4.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1933
Manahmenkatalog Hardware/Software M 4.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1934
Manahmenkatalog Hardware/Software M 4.95 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1935
Manahmenkatalog Hardware/Software M 4.96 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1936
Manahmenkatalog Hardware/Software M 4.97 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1937
Manahmenkatalog Hardware/Software M 4.98 Bemerkungen
___________________________________________________________________ ..........................................
2. News-Server:
Newsfeed-Server drfen auf Port 119 des News-Servers TCP
News-Server darf von Port 119 auf Newsfeed-Server TCP/ack
News-Server darf auf Port 119 der Newsfeed-Server TCP
Newsfeed-Server drfen von Port 119 auf den News-Server TCP/ack
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1938
Manahmenkatalog Hardware/Software M 4.98 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1939
Manahmenkatalog Hardware/Software M 4.99 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1940
Manahmenkatalog Hardware/Software M 4.99 Bemerkungen
___________________________________________________________________ ..........................................
im Extremfall sogar das Ausdrucken verhindert wird, kann die Datei nur
online gelesen werden.
Leider bietet dies nur einen rudimentren Schutz, da PDF-Dateien nmlich
auch mit Programmen geffnet werden knnen, die diese
Sicherheitsattribute ignorieren. Solange z. B. Drucken erlaubt wird, kann
das Dokument sogar jederzeit wieder in eine PDF-Datei ohne jegliche
Einschrnkungen verwandelt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1941
Manahmenkatalog Hardware/Software M 4.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1942
Manahmenkatalog Hardware/Software M 4.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1943
Manahmenkatalog Hardware/Software M 4.100 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1944
Manahmenkatalog Hardware/Software M 4.100 Bemerkungen
___________________________________________________________________ ..........................................
Schutzbedarf Empfehlung
der Clients
Normal Allgemein: Deaktivierung aktiver Inhalte im Browser und
Freischaltung nur fr vertrauenswrdige Websites.
Virenscanner auf dem Client (siehe auch Kapitel 3.6
Computer-Virenschutzkonzept).
Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway
mit Freischaltung fr vertrauenswrdige Websites
(Whitelist) ist empfehlenswert.
Hoch Deaktivierung aktiver Inhalte im Browser und
Freischaltung nur fr vertrauenswrdige Websites.
Virenscanner auf dem Client (siehe auch Kapitel 3.6
Computer-Virenschutzkonzept).
Filterung aktiver Inhalte auf dem Sicherheitsgateway mit
Freischaltung fr vertrauenswrdige Websites (Whitelist).
Zustzlich Filterung von Cookies (Whitelist).
Die Kriterien, fr welche Websites aktive Inhalte
freigeschaltet werden, sollten deutlich restriktiver sein als
bei normalem Schutzbedarf.
Eine ergnzende Sicherheitsanalyse wird empfohlen, um
sicher zu stellen, dass ein angemessenes Sicherheitsniveau
erreicht wurde.
Bei zustzlichen Einsatz einer Personal Firewall auf dem Client.
oder speziellen
Anforderungen
Tabelle: Empfehlungen fr den Umgang mit aktiven Inhalten in Webseiten
Die Entscheidung fr eine bestimmte Vorgehensweise und die Grnde, die
dafr ausschlaggebend waren, sollten nachvollziehbar dokumentiert werden.
Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte Vorsicht ist besser als
Nachsicht
ist auch bei normalem Schutzbedarf nicht zu empfehlen. Die mglichen
Schden, die durch bsartige aktive Inhalte in Verbindung mit Schwachstellen
in Webbrowsern oder im unterliegenden Betriebssystem entstehen knnen,
sind dafr zu gravierend. Falls fr bestimmte, Anwendungen aktive Inhalte
zwingend ntig sind, sollten sie nur fr die betreffenden Server freigegeben
werden.
Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Notwendigkeit aktiver
Inhalte hinterfragen
Weiterentwicklung einer bestehenden Anwendung, die aktive Inhalte im
Browser bentigt, sollte kritisch hinterfragt werden, ob die Verwendung der
aktiven Inhalte wirklich notwendig ist. Oft lassen sich aktive Inhalte bei
gleichwertiger Funktionalitt durch serverseitig dynamisch erzeugte
Webseiten ersetzen.
Ergnzende Kontrollfragen
- Wie werden aktive Inhalte behandelt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1945
Manahmenkatalog Hardware/Software M 4.101 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1946
Manahmenkatalog Hardware/Software M 4.101 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 6. EL Stand 2004 1947
Manahmenkatalog Hardware/Software M 4.102 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1948
Manahmenkatalog Hardware/Software M 4.102 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1949
Manahmenkatalog Hardware/Software M 4.102 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1950
Manahmenkatalog Hardware/Software M 4.102 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1951
Manahmenkatalog Hardware/Software M 4.102 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1952
Manahmenkatalog Hardware/Software M 4.103 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1953
Manahmenkatalog Hardware/Software M 4.103 Bemerkungen
___________________________________________________________________ ..........................................
erkennbar ist, zu welchem Typ ein Netzknoten gehrt, wenn Probleme im IP-
Bereich auftreten.
Statische Zuordnung von IP-Adressen
Fr bestimmte Komponenten im Netz ist es empfehlenswert, mittels einer
statischen Adresszuordnung die erforderliche IP-Adresse permanent auf die
MAC-Adresse (Medium Access Control) des Netzknotens zu binden. Hierzu
gehren z. B. Netzdrucker und Router. Der Vorteil einer statischen Zuordnung
durch einen DHCP-Server im Vergleich zu einer manuellen Konfiguration vor
Ort am Netzknoten ist die zentrale Verwaltung der Zuordnungen ber das
Konfigurationstool des DHCP-Servers. Obwohl Server ebenfalls zwingend
ihre IP-Adresse statisch zugeordnet bekommen mssen, werden diese nicht
ber den DHCP-Server vergeben. Bei Netware Servern erfolgt die Zuteilung
ihrer IP-Adresse immer manuell.
Die Konfiguration der statischen Adresszuordnung geschieht ber die Option
IP ADDRESS ASSIGNMENT. Der Knoten wird ber einen beliebigen
Namen dem Men hinzugefgt und die IP-Adresse direkt auf die Netzkarte
(MAC-Adresse) des Knotens gebunden. Fr die Auswahl des Namens
empfiehlt Novell, den Login-Namen des Benutzers zu verwenden, der an
diesem Arbeitsplatzrechner arbeitet.
Lease Time
Anhand der Lease Time wird festgelegt, wie lange ein Netzknoten, der seine
TCP/IP-Adresse vom DHCP-Server dynamisch erhlt, diese behalten kann.
Die Zuteilung der IP-Adressen wird dabei beim Booten des Netzknotens rea-
lisiert. Fr die Lease Time sollte ein Zeitraum von mindestens 24 Stunden
gewhlt werden, da sonst folgende Probleme auftreten knnen:
- Programme, deren Zugriffsberechtigungen anhand von TCP/IP-Adressen
erteilt werden, knnen nach einem Reboot des Rechners unter Umstnden
nicht mehr ausgefhrt werden, da sich die IP-Adresse des darauf zugrei-
fenden Rechners gendert hat. Die neue Adresse ist evtl. nicht berechtigt,
das Programm auszufhren.
- Wenn Arbeitsplatzrechner instabil laufen und pro Tag mehrfach erneut
gestartet werden, entsteht nach jedem Neustart eine unntige Netzlast
durch die Zuweisung einer neuen IP-Adresse.
- Beim Zugriff auf das Internet protokollieren zwischengeschaltete Proxy
Server die Internet-Seiten, die von den Arbeitsplatzrechnern aus aufgerufen
wurden. In den entsprechenden Protokolldateien werden meist die DNS
Namen der aufgerufenen Internet-Seiten den IP-Adressen der Rechner
zugeordnet, von denen aus diese Seiten angefordert wurden. Wenn sich
diese IP-Adressen stndig ndern, dann ist im Problemfall nur sehr schwer
nachvollziehbar, welcher Arbeitsplatzrechner zu welchem Zeitpunkt die
entsprechende IP-Adresse zugewiesen bekommen hat.
Die Vergabe einer Lease Time wird beim Einsatz von DHCP-Servern ben-
tigt, wenn sich in einem Netz mehr Knoten befinden, als IP-Adressen zur
Verfgung stehen. Mittels einer geeignet gewhlten Lease Time kann so eine
IP-Adresse, die frei geworden ist, weil der Knoten sie nicht mehr braucht (PC
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1954
Manahmenkatalog Hardware/Software M 4.103 Bemerkungen
___________________________________________________________________ ..........................................
wurde ausgeschaltet), einem anderen Knoten, der eine Adresse vom DHCP-
Server anfordert, zugewiesen werden. In Netzen, die ber mindestens genauso
viele IP-Adressen verfgen wie Knoten installiert sind, kann auf die Konfigu-
ration der Lease Time verzichtet werden. Seit geraumer Zeit kann in LANs
mit sogenannten privaten IP-Adressen (siehe RFC 1597) gearbeitet werden.
Das Problem, mehr Knoten als IP-Adressen zu haben, kann somit umgangen
werden. Die Vergabe von privaten IP-Adressen nach diesen Vorgaben ist z. B.
aus Revisionsgrnden fr Netze, die einen Internet-Zugang realisieren,
empfehlenswert. Datenschutzrechtliche und mitbestimmungsrechtliche
Aspekte sind zu beachten.
Im DHCP-Server von Netware 4.x kann die Lease Time derzeit noch nicht
abgeschaltet werden. Es ist daher empfehlenswert, diese auf den maximalen
Wert von 10000 Tagen und 23 Stunden einzustellen.
Ausschluss bestimmter Netzknoten von der Adresszuordnung
Fr bestimmte Netzknoten kann die Zuweisung einer IP-Adresse unterbunden
werden. Unter dem Menpunkt EXCLUDED NODES sind hierzu dieselben
Schritte auszufhren, wie bei der statischen Zuordnung von IP-Adressen.
Hiermit wird erreicht, dass bestimmte Programme, die auf TCP/IP aufsetzen,
von diesen Arbeitspltzen aus nicht aufgerufen werden knnen. Diese
"Sperre" ist allerdings leicht zu unterwandern, indem dem "gesperrten" Netz-
knoten manuell eine IP-Adresse zugeordnet wird (sofern auf diesem Knoten
der TCP/IP-Protokollstack geladen wurde). Sobald bei der manuellen Zuord-
nung eine freie IP-Adresse gefunden wird, kann mit diesem Rechner genauso
ber TCP/IP kommuniziert werden, wie mit Knoten, die ihre IP-Adresse vom
DHCP-Server erhalten haben. Der Weg, Netzknoten ber EXCLUDED
NODES von der Vergabe einer IP-Adresse auszuschlieen, bietet daher nur
eine relative Sicherheit.
Das Sperren von MAC-Adressen fr die Vergabe durch den DHCP-Server
kann zudem dazu dienen, in Netzen mit mehreren DHCP-Servern die Lastver-
teilung zu steuern. Auerdem kann verhindert werden, dass Knoten, in deren
Segment sich ein eigener DHCP-Server befindet, die IP-Adresse von einem
DHCP-Server anfordern, der sich in einem anderen Segment befindet. Hierbei
sollte beachtet werden, dass in diesem Fall bei Ausfall des lokalen DHCP-
Servers lokalen Clients keine IP-Adresse zugeordnet werden kann. Der Ein-
satz der Option EXCLUDED NODES bedarf daher sorgfltiger Planung.
DHCP-Dienst in gerouteten Netzen
Ein zwischengeschalteter Router, der sich zwischen dem Segment des DHCP-
Clients und dem Segment des DHCP-Servers befindet, unterbindet u. U. die
DHCP-Anfrage. Router, die RFC 1542 kompatibel sind, besitzen einen soge-
nannten DHCP/BOOTP Relay Agenten. Dieser Agent sorgt dafr, dass DHCP
Relay Pakete weitergeroutet werden. Bei Routern, die nicht RFC 1542 kom-
patibel sind, mssen in jedem Netzsegment jeweils eigene DHCP-Server
definiert sein. Die Zuteilung einer IP-Adresse durch den DHCP-Server
geschieht dann auf dieselbe Art und Weise wie in nicht gerouteten Netzen.
Durch die Weiterleitung der DHCP Relay Pakete werden aber nicht automa-
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1955
Manahmenkatalog Hardware/Software M 4.103 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1956
Manahmenkatalog Hardware/Software M 4.104 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1957
Manahmenkatalog Hardware/Software M 4.104 Bemerkungen
___________________________________________________________________ ..........................................
NDS in eine NDS Anfrage umgewandelt. Die NDS wertet die Anfrage aus
und liefert die angeforderten Informationen an die LDAP Services for NDS
zurck. Diese wiederum generieren aus der NDS Antwort eine LDAP Antwort
und leiten diese an den Client weiter.
Novell selbst bietet keinen LDAP Client an. Die gebruchlichsten Clients sind
derzeit Browser, wie z. B. der Netscape Communicator, die eine
entsprechende LDAP Schnittstelle haben. Es gibt aber auch andere, frei
verfgbare LDAP Clients im Internet. Dabei sind jedoch vor dem Einsatz
dieser Clients einige Dinge zu beachten. So ist zum Beispiel der Netscape
Communicator nicht in der Lage, Zugriffe auf LDAP Server zu gewhren, die
einen Benutzernamen und ein Passwort erfordern. Daher erkennen die LDAP
Services for NDS einen Benutzer, der diesen Browser als Client verwendet,
als Anonymous User und machen ihn standardmig zum Trustee von
[Public], was typischerweise nur ein Browse-Recht auf die NDS beinhaltet.
Wenn zustzliche Rechte bentigt werden, so ist ein Proxy User einzurichten,
der ber die entsprechenden NDS Rechte verfgt. Zustzlich muss im LDAP
Group Objekt noch das Proxy User Feature freigegeben werden.
Da die LDAP Services for NDS vollstndig in die NDS integriert sind, muss
bei der Installation eine Erweiterung des NDS Schemas vorgenommen
werden. Dies kann nur ber einen Account mit Supervisor Berechtigung auf
das [Root] Objekt erfolgen. Bei der Installation des ersten LDAP Servers in
einem NDS Baum wird das Datenbankschema der NDS erweitert, so dass die
zwei neuen NDS Objekte LDAP Server und LDAP Group zur Verfgung
stehen. ber diese beiden Objekte werden die LDAP Services for NDS
konfiguriert. Werden weitere LDAP Server in diesem NDS Baum installiert,
so ist es nicht notwendig, die Schemaerweiterung noch einmal zu installieren,
da die NDS bereits das aktuelle Datenbankschema besitzt.
Die Konfiguration der LDAP Services for NDS wird ber die Eigenschaften
("Properties") der beiden Objekte LDAP Server und LDAP Group festgelegt.
Die Einstellung ist anhand der erarbeiteten Sicherheitsstrategie vorzunehmen.
Im folgenden wird auf einige Properties eingegangen, die im Hinblick auf die
Sicherheit des Systems besonders relevant sind.
Log file size limit (LDAP Server Objekt)
Mit dieser Property kann die maximale Gre der in der Property Log
filename angegebenen Log-Datei eingerichtet werden. Erreicht die Log-Datei
die festgelegte Dateigre, so werden die Informationen der Log filename
Datei in die unter Backup log file angegebene Datei kopiert. Alle neuen Log-
Daten werden in die Log filename Datei geschrieben.
Default: 1.000.000
Minimum: 0 (unbegrenzte Dateigre)
Maximum: 4.294.967.295
Wird der Wert auf Null gesetzt, so besteht keine Grenlimitation fr die Log-
Datei. In diesem Fall sollte man die Datei nicht auf dem Volume SYS
ablegen, da die Datei so stark anwachsen kann, dass der verfgbare
Speicherplatz auf dem Volume komplett belegt wird. Als Folge knnen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1958
Manahmenkatalog Hardware/Software M 4.104 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1959
Manahmenkatalog Hardware/Software M 4.104 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: Stand Juli 1999 1960
Manahmenkatalog Hardware/Software M 4.105 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1961
Manahmenkatalog Hardware/Software M 4.105 Bemerkungen
___________________________________________________________________ ..........................................
- Wenn tftp verfgbar sein muss, dann sollte es mit der Option -s gestartet
werden, damit nicht jede Datei vom System kopiert werden kann (siehe
auch M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec und M 5.72
Deaktivieren nicht bentigter Netzdienste).
- Die Protokollierungsfunktion des inetd sollte mit -t aktiviert werden, damit
jeder Verbindungsaufbauversuch protokolliert wird (vgl. M 5.72
Deaktivieren nicht bentigter Netzdienste). Hilfreich ist die Installation der
Public-Domain-Tools xinetd oder TCP-Wrapper. Mit diesen Tools knnen
u. a. alle Verbindungsversuche frhzeitig protokolliert werden, noch bevor
der angesprochene Daemon via inetd gestartet wird.
- Protokolldateien sollten tglich bzw. wchentlich untersucht werden. Zur
halb-automatischen Auswertung sollten Analyseprogramme wie swatch,
logdaemon oder logsurfer installiert werden (vgl. M 2.64 Kontrolle der
Protokolldateien).
- Regelmig sollten Sicherheitschecks mit USEIT, COPS, Tripwire oder
Tiger durchgefhrt werden.
- Neben allen anderen nicht bentigten Diensten sollten rshd, rlogind,
rexecd unbedingt deaktiviert werden (vgl. M 5.72 Deaktivieren nicht
bentigter Netzdienste). Zur Konvertierung von RPC-Programmnummern
in Portadressen wird von den meisten Herstellern das Programm rpcbind
mit ausgeliefert. Als Ergnzung bzw. als Ersatz sollte der Daemon
portmapper eingesetzt werden, wenn er fr die vorliegende Plattform
verfgbar ist.
Alle Clients, die diese Dienste benutzen, sollten fr normale Anwender
nicht ausfhrbar gemacht werden. Weitere Authentisierungsverfahren, die
auf Hostnamen beruhen, sollten vollkommen abgelst werden.
- Telnet sollte durch ssh ersetzt werden. ssh ermglicht eine stark verschls-
selte und authentisierte interaktive Verbindung zwischen zwei Systemen.
ssh ist als Ersatz fr telnet, rsh, rlogin und rcp zu verstehen. X-Windows
kann dadurch auch abgesichert bertragen werden (siehe auch M 5.64
Secure Shell).
- Xauth ist xhost vorzuziehen - es sollte niemals "xhost +" verwendet werden
(siehe auch M 4.9 Einsatz der Sicherheitsmechanismen von X-Windows).
- Aus der Konfigurationsdatei /etc/inetd.conf sollten alle nicht bentigten
Eintrge entfernt werden (siehe M 5.72 Deaktivieren nicht bentigter
Netzdienste).
- Die Konfigurationsdatei /etc/syslog.conf ist fr die Aktivierung der
Protokollfunktionen zu modifizieren (siehe M 4.106 Aktivieren der
Systemprotokollierung).
- Eine Liste aller world-writable Dateien und Verzeichnisse kann mit
folgenden Befehlen erstellt werden:
find / -type f -perm -22 -exec ls -l {} \;
find / -type d -perm -22 -exec ls -ld {} \;
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1962
Manahmenkatalog Hardware/Software M 4.105 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1963
Manahmenkatalog Hardware/Software M 4.106 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1964
Manahmenkatalog Hardware/Software M 4.106 Bemerkungen
___________________________________________________________________ ..........................................
#
kern.info ifdef(`LOGHOST, /var/log/kernlog, @loghost)
user.info ifdef(`LOGHOST, /var/log/userlog, @loghost)
mail.info ifdef(`LOGHOST, /var/log/maillog, @loghost)
daemon.info ifdef(`LOGHOST, /var/log/daemonlog, @loghost)
auth.info ifdef(`LOGHOST, /var/log/authlog, @loghost)
lpr.info ifdef(`LOGHOST, /var/log/lprlog, @loghost)
news,uucp.info ifdef(`LOGHOST, /var/log/newslog, @loghost)
cron.info ifdef(`LOGHOST, /var/log/cronlog, @loghost)
#
#
# alle Alarme und hher werden in eine separate Datei geschrieben:
*.err ifdef(`LOGHOST, /var/log/alertlog, @loghost)
#
# Beispiel Log levels:
# ------------------------------------
# su root failed for .. auth.err
# ROOT LOGIN REFUSED ON ... auth.err
# su root succeeded for.. auth.notice
Ergnzende Kontrollfragen:
- Sind die nderungen in /etc/syslog.conf dokumentiert worden?
- Ist sichergestellt, dass nur der Systemadministrator die Konfiguration
ndern darf?
- Ist sichergestellt, dass die Protokolldateien in /var/log bzw. /var/adm nur
fr den Systemadministrator lesbar sind?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 5. EL Stand Oktober 2003 1965
Manahmenkatalog Hardware/Software M 4.107 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1966
Manahmenkatalog Hardware/Software M 4.107 Bemerkungen
___________________________________________________________________ ..........................................
Debian Linux
U http://cgi.debian.org/www-master/debian.org/security/ (deutsch)
http://cgi.debian.org/www-master/debian.org/
security/index.en.html (englisch)
I http://www.debian.org/security
http://www.debian.org/security/index.en.html
Digital Equipment Corporation - DEC
U http://www.service.digital.com/patches/
I http://www.unix.digital.com/
The FreeBSD Project -- FreeBSD
U ftp://ftp.FreeBSD.org/pub/FreeBSD/
I http://www.freebsd.org/security/security.html
Hewlett Packard -- HP
U http://europe-support.external.hp.com/
http://us-support.external.hp.com/
ftp://ftp.hp.com/pub/security/patches/
I http://europe-support.external.hp.com/
http://us-support.external.hp.com/
IBM
U http://service.software.ibm.com/aixsupport/
I http://www.ers.ibm.com/tech-info/index.html
The Open BSD Project -- OpenBSD
U http://www.openbsd.org/errata.html
I http://www.openbsd.org/security.html
RedHat Linux
U ftp://www.redhat.com/pub/updates/
http://www.redhat.com/download/mirror.html
http://www.redhat.com/corp/support/errata/index.html
I http://www.redhat.com/LinuxIndex/Administration/Security/
S.u.S.E. Linux
U ftp://ftp.suse.de/pub/suse_update/
I http://www.suse.de/de/support/security/index.html (auch englisch)
Santa Cruz Operation -- SCO
U ftp://ftp.sco.com/SSE/
I http://www.sco.com/security/
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1967
Manahmenkatalog Hardware/Software M 4.107 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1968
Manahmenkatalog Hardware/Software M 4.108 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1969
Manahmenkatalog Hardware/Software M 4.108 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1970
Manahmenkatalog Hardware/Software M 4.108 Bemerkungen
___________________________________________________________________ ..........................................
ber Manage Services - DNS - Administer DNS - Manage Master Database alle sekundren Name-
werden die DNS-Datenbankeintrge eingegeben. Bei einer Standard server in die Datenbank
Implementation von DNS mssen der Start of Authority (SOA), der den eintragen
Beginn fr die Autoritt einer Zone innerhalb der DNS-Hierarchie kennzeich-
net, und der Record Typ Name Server (NS) eingetragen werden. Der primre
Nameserver muss Eintrge fr alle sekundren Nameserver der Zone enthal-
ten. Die Verbindung dieser Zone zur DNS-Hierarchie wird durch Nameserver
Eintrge fr primre Nameserver, die Autoritt fr bergeordnete oder unter-
geordnete Zonen besitzen, sichergestellt. Damit die Namensauflsung fr die
Hosts in der Zone gewhrleistet ist, muss fr jedes zu adressierende Endgert
der Record Typ Address (A) eingetragen werden.
Innerhalb des Record Typ SOA werden unter anderem der Name und die
Adresse des Zonen-Verantwortlichen (Zone Supervisor) eingetragen.
Standardmig ist diese Adresse auf root.<domain_name> gesetzt. Weiterhin
werden im Record Typ SOA die Einstellungen fr das Synchronisations-
verhalten der sekundren Nameserver getroffen.
Refresh Validity Period bestimmt die Zeit, innerhalb der ein sekundrer
Nameserver noch Anfragen von Hosts beantwortet, nachdem er vergeblich
versucht hat, den primren Nameserver zu kontaktieren. Je krzer diese Zeit
eingestellt ist, desto geringer ist die Wahrscheinlichkeit, dass der sekundre
Nameserver ungltige DNS-Eintrge verschickt und so keine Namensauf-
lsung mglich ist. Aus Grnden der Ausfallsicherheit sollte diese Zeit nicht
zu kurz eingestellt werden, da bei einem Ausfall des primren Nameservers
das Domain Name System fr diese Zone dann nicht mehr funktioniert. Fr
diesen Parameter muss ein Kompromiss gefunden werden zwischen der
Wahrscheinlichkeit, einzelne Hostnamen nicht auflsen zu knnen, oder - bei
zu kurzer Periode - keine Endgerte ber individuelle Hostnamen ansprechen
zu knnen.
Das Minimum Caching Interval bestimmt die Zeit, in der Informationen aus
Anfragen im Cache des primren Nameserver gehalten werden. Wird diese
Einstellung zu kurz gewhlt, kann dies die Netzlast bei hufigen Anfragen
nach denselben Hosts erhhen und die Auflsung der Hostnamen in IP-
Adressen verzgern. Auf der anderen Seite kann ein zu groer Wert fr das
Minimum Caching Interval dazu fhren, dass veraltete Informationen weiter-
gegeben werden.
Verbindung zur externen DNS-Hierarchie
Anfragen ber Hostadressen auerhalb der eigenen Domne werden auto- Querverbindungen zur
Beschleunigung der
matisch durchgefhrt, sobald der DNS-Server luft. Informationen ber die Namensauflsung
DNS-Hierarchie erhlt der DNS-Server aus der Datei
SYS:ETC\DNS\ROOT.DB, die eine Liste ber Nameserver der US Top Level
Domnen enthlt. Unter dem Menpunkt Manage Services - DNS - Administer
DNS - Link to existing DNS Hierarchy kann ber zwei verschiedene
Methoden, nmlich Link Direct und Link Indirect via Forwarder, eine
Querverbindung zu anderen Domnen aufgebaut werden. Wird hufig auf
bestimmte Domnen zugegriffen, kann ber diese Verfahren die Auflsung
der Hostnamen beschleunigt werden.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1971
Manahmenkatalog Hardware/Software M 4.108 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1972
Manahmenkatalog Hardware/Software M 4.109 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 1. EL Stand Januar 2000 1973
Manahmenkatalog Hardware/Software M 4.110 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1974
Manahmenkatalog Hardware/Software M 4.110 Bemerkungen
___________________________________________________________________ ..........................................
- Das korrekte Funktionieren des Gesamtsystems ist nach Abschluss der Systemtest vor Freigabe
Installationsarbeiten zu berprfen (Abnahme und Freigabe der Installa-
tion). In der Regel muss dies durch vorgegebene Abnahmekonfigurationen
und nachgestellte Nutzungsszenarien erfolgen. Bei den Tests ist darauf zu
achten, dass nur die zum Test befugten Personen Zugriff zum RAS-System
erhalten.
Die Installation eines RAS-Systems sollte mit einer sicheren Anfangskonfigu-
ration abgeschlossen werden, die zunchst nur den berechtigten Administra-
toren Zugriffe erlaubt (siehe auch M 4.111 Sichere Konfiguration des RAS-
Systems). Diese berfhren das RAS-System dann in einen sicheren Betriebs-
zustand. Ist dieser erreicht, kann der laufende Betrieb aufgenommen werden.
Beispiel:
Unter Windows NT gestaltet sich die Installation von RAS-Server und RAS-
Client sehr einfach und weist kaum Unterschiede auf, da der RAS-Dienst von
Windows NT sowohl Client- als auch Server-Funktionen enthlt.
Fr einen RAS-Client unter Windows NT gilt:
- Die Server-Funktionen des RAS-Dienstes mssen deaktiviert werden. Dies
erfolgt dadurch, dass auf allen Gerten, die fr Remote Access verwendet
werden knnen (z. B. Modem, ISDN-Karte, VPN-Adapter), nur ausgehen-
de Anrufe erlaubt werden. Zu den entsprechenden Dialogfeldern gelangt
man ber die Optionen Systemsteuerung, Netzwerk, Dienste, RAS-Dienst,
Gert, Konfigurieren.
- Fr den RAS-Client sind nur die ber Remote Access zugelassenen Proto-
kolle freizugeben. Dies geschieht ber Systemsteuerung, Netzwerk,
Dienste, RAS-Dienst, Gert, Netzwerk.
- Die Eigenschaften einer RAS-Verbindung werden ber das DF-Netzwerk
von Windows NT festgelegt. Hier sind die gem RAS-Sicherheitskonzept
notwendigen Parameter einzustellen (z. B. Datenverschlsselung erforder-
lich).
Fr einen RAS-Server unter Windows NT gilt:
- Die Client-Funktionen des RAS-Dienstes mssen deaktiviert werden. Dies
erfolgt dadurch, dass auf allen Gerten, die fr Remote Access verwendet
werden knnen, nur eingehende Anrufe erlaubt werden.
- Fr den RAS-Server sind nur die ber Remote Access zugelassenen Proto-
kolle freizugeben.
- Die gem RAS-Sicherheitskonzept notwendigen Parameter fr einge-
hende RAS-Verbindungen sind einzustellen. Dies geschieht ber System-
steuerung, Netzwerk, Dienste, RAS-Dienst, Gert, Netzwerk.
- Die Einwahl sollte nur berechtigten Benutzern gestattet werden. Dies kann
mit dem RAS-Manager oder dem Benutzermanager von Windows NT
erfolgen.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1975
Manahmenkatalog Hardware/Software M 4.110 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind alle Abweichungen von den Planungsvorgaben fr das RAS-System
in den Planungsunterlagen vermerkt?
- Wurde ein Funktionstest der Sicherheitsmechanismen durchgefhrt (z. B.
berprfen der Kommunikationsverschlsselung mittels eines Netzana-
lysators)?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1976
Manahmenkatalog Hardware/Software M 4.111 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1977
Manahmenkatalog Hardware/Software M 4.111 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1978
Manahmenkatalog Hardware/Software M 4.111 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1979
Manahmenkatalog Hardware/Software M 4.111 Bemerkungen
___________________________________________________________________ ..........................................
- Bei Verwendung von RAS-Diensten sollten nur die Protokolle ber den
RAS-Zugang erlaubt werden, die auch tatschlich notwendig sind. Nicht
bentigte Protokolle sind entsprechend zu deaktivieren. Dies geschieht
unter Windows NT ber Systemsteuerung, Netzwerk, Dienste, RAS-Dienst,
Netzwerk, Servereinstellungen. Die Konfiguration der bentigten
Protokolle muss den Sicherheitsrichtlinien entsprechen, beispielsweise in
Bezug auf Authentisierung, Verschlsselung, IP-Adressbereich, lokaler
oder netzweiter Zugriff.
Ergnzende Kontrollfragen:
- Ist die RAS-Client-Software so konfiguriert, dass zum Zugang benutzte
Passwrter nicht gespeichert werden?
- Ist eine konsistente Konfiguration aller RAS-Komponenten sichergestellt?
- Wird die RAS-Konfiguration regelmig berprft?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1980
Manahmenkatalog Hardware/Software M 4.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1981
Manahmenkatalog Hardware/Software M 4.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1982
Manahmenkatalog Hardware/Software M 4.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1983
Manahmenkatalog Hardware/Software M 4.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1984
Manahmenkatalog Hardware/Software M 4.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1985
Manahmenkatalog Hardware/Software M 4.112 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1986
Manahmenkatalog Hardware/Software M 4.113 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1987
Manahmenkatalog Hardware/Software M 4.113 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1988
Manahmenkatalog Hardware/Software M 4.114 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1989
Manahmenkatalog Hardware/Software M 4.114 Bemerkungen
___________________________________________________________________ ..........................................
Wert gesetzt werden. Er sollte notiert und vor unbefugtem Zugriff geschtzt
aufbewahrt werden. Die Gerte-PIN muss nicht bei jedem Einschalten des
Mobiltelefons eingegeben werden. Mit ihr kann z. B. verhindert werden, dass
das Mobiltelefon mit einer anderen SIM-Karte benutzt wird (Diebstahlschutz).
Zugriff auf Mailbox
Beim Netzbetreiber kann fr jeden Teilnehmer eine Mailbox eingerichtet
werden, die unter anderem als Anrufbeantworter dient. Da die Mailbox von
berall und auch von beliebigen Endgerten aus abgefragt werden kann, muss
sie mit einer PIN vor unbefugtem Zugriff geschtzt werden. Bei der Neuein-
richtung vergibt der Netzbetreiber hierzu eine voreingestellte PIN. Diese sollte
unbedingt sofort gendert werden.
Weitere Kennwrter
Neben den diversen oben aufgefhrten Geheimnummern kann es fr
verschiedene Nutzungsarten noch weitere Kennwrter geben. Dies ist z. B. der
Fall beim Zugriff auf Benutzerdaten beim Netzbetreiber. So muss bei Fragen
an die Hotline wegen der Abrechnung u. U. ein Kennwort genannt werden.
Auch kostenpflichtige Dienstleistungen wie z. B. der Abruf von Informationen
oder die Durchfhrung bestimmter Konfigurationen seitens des Netzbetreibers
werden hufig durch zustzliche Kennwrter geschtzt. Diese sollten, wie alle
anderen Passwrter auch, sorgfltig ausgewhlt und sicher aufbewahrt
werden.
Generell sollte mit allen PINs und Passwrtern sorgfltig umgegangen werden
(siehe auch M 2.11 Regelung des Passwortgebrauchs).
Hinweis: Angreifer haben in jngster Zeit wiederholt versucht, telefonisch
die PIN oder PUK von Mobilfunknutzern zu erfragen, indem sie sich als
Mitarbeiter eines Netzbetreibers ausgegeben und einen technischen Defekt
vorgetuscht haben. ber Geheimnummern sollte nie telefonisch Auskunft
gegeben werden!
Es gibt viele verschiedene Sicherheitsmechanismen bei Mobiltelefonen.
Welche hiervon vorhanden sind bzw. wie diese aktiviert werden knnen, ist
abhngig vom eingesetzten Mobiltelefon, von der SIM-Karte und vom
gewhlten Netzbetreiber. Daher sollten die Bedienungsanleitung und die
Sicherheitshinweise vom Netzbetreiber sorgfltig daraufhin ausgewertet
werden. Beim Einsatz von Firmentelefonen empfiehlt es sich, die wichtigsten
Sicherheitsmechanismen sowohl vorzukonfigurieren als auch auf einem
bersichtlichen Handzettel zu dokumentieren.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 2. EL Stand Oktober 2000 1990
Manahmenkatalog Hardware/Software M 4.115 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1991
Manahmenkatalog Hardware/Software M 4.116 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1992
Manahmenkatalog Hardware/Software M 4.116 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1993
Manahmenkatalog Hardware/Software M 4.117 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1994
Manahmenkatalog Hardware/Software M 4.117 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1995
Manahmenkatalog Hardware/Software M 4.117 Bemerkungen
___________________________________________________________________ ..........................................
Da ein System in der Regel permanenten Vernderungen durch den laufenden kontinuierliche
Betrieb unterworfen ist, muss auch die Sicherheit stndig berprft und ggf. Anpassung
neu konfiguriert werden. Hinweise dazu finden sich in M 4.128 Sicherer
Betrieb von Lotus Notes.
Falls ein Netz- und Systemmanagementsystem im Einsatz ist oder zuknftig Managementsysteme in
die berlegungen
eingesetzt werden soll, ist dies in die berlegungen zur Konfiguration einzu- einbeziehen
beziehen. Beispielsweise ist zu klren, ob ber dieses System auch Notes-
spezifische Einstellungen auf den beteiligten IT-Systemen vornehmen soll und
ob das verwendete bzw. vorgesehene Produkt dies untersttzt. Gegebenenfalls
sind hier zustzliche Anpassungen oder Erweiterungen erforderlich.
Ergnzende Kontrollfragen:
- Besteht eine Sicherheitskonzeption fr den Einsatz der verschiedenen
Funktionsmodule von Lotus Notes?
- Ist dokumentiert, welche Module in welcher Konfiguration eingesetzt
werden sollen?
- Existiert ein Replikationskonzept?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1996
Manahmenkatalog Hardware/Software M 4.118 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1997
Manahmenkatalog Hardware/Software M 4.118 Bemerkungen
___________________________________________________________________ ..........................................
- Der Server sollte in einem Serverraum (siehe Kapitel 4.3.2) bzw. in einem sichere Aufstellung
Serverschrank (siehe Kapitel 4.4) untergebracht werden. Die Serverkonsole
muss auerdem gegen unbefugtes Benutzen gesichert sein. Dazu ist
vorzugsweise der Sperrmechanismus des Betriebssystems (z. B.
Arbeitsstation sperren unter Windows NT) oder ein passwortgeschtzter
Bildschirmschoner (z. B. unter Unix) einzusetzen. Das Konsolenpasswort
von Lotus Notes zu aktivieren, bietet hier wenig Schutz, da es bei der
Eingabe im Klartext angezeigt wird und die Eingabezeile in der Regel ber
die Bildlaufleiste des Konsolenfensters wieder sichtbar gemacht werden
kann.
Befindet sich ein Server im Verbund mit weiteren Servern, so mssen zustz- Datenaustausch
zwischen Servern und
lich die Berechtigungen der Server untereinander konfiguriert werden. Dies Datenbankreplikation
betrifft auch den Datenaustausch zwischen Servern durch die Datenbankrepli-
kation. Die fr die Kommunikation erforderlichen Verbindungswege mssen
dabei durch Anlegen sogenannter Connection-Dokumente konfiguriert
werden. Hinweise zur u. U. notwendigen Verschlsselung von Kommunikati-
onsverbindungen sind in M 5.84 Einsatz von Verschlsselungsverfahren fr
die Lotus Notes Kommunikation beschrieben.
Die Sicherheit des Servers hngt auch von der Sicherheit der Benutzerauthen- Qualitt der Notes-ID-
Passwrter
tisierung ab. Diese wird wesentlich auch von der Sicherheit des Notes-ID-
Passwortes eines jeden Benutzers bestimmt. Fr die Passwrter knnen Quali-
ttsanforderungen eingestellt werden, die beim Erzeugen einer neuen Benut-
zer-ID festgelegt und dann auch bei jedem Passwortwechsel beachtet werden.
Es steht eine numerische Qualittsskala von 0 (kein Passwort) bis 16 zur
Verfgung. Die minimale Passwortqualitt fr Benutzer sollte auf den Wert
"8" oder hher eingestellt sein (siehe auch M 4.129 Sicherer Umgang mit
Notes-ID-Dateien).
Ergnzende Kontrollfragen:
- Ist die Konfiguration der Lotus Notes Server dokumentiert?
- Sind alle Kommunikationspartner eines Servers bekannt?
- Ist die physikalische Sicherheit der Server-Rechner gewhrleistet?
- Ist der Schutz der Notes-Server-Konsole gewhrleistet?
- Sind Zugriffsbeschrnkungen auf der Ebene der Betriebssysteme umge-
setzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1998
Manahmenkatalog Hardware/Software M 4.119 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 1999
Manahmenkatalog Hardware/Software M 4.119 Bemerkungen
___________________________________________________________________ ..........................................
gaben zum Einsatz, wenn keine explizite Liste angegeben wird. Beispiels-
weise drfen standardmig alle Benutzer neue Datenbanken anlegen.
- Notes erlaubt es, Server als Vermittlungs-Server, z. B. bei der Einwahl, Einsatz von
Vermittlungs-Servern
einzusetzen oder Server ber Vermittlungs-Server anzusprechen. Im planen
Rahmen des Notes-Sicherheitskonzeptes ist zu planen, ob dies notwendig
ist und welchen Benutzergruppen die Berechtigung zum sogenannten
"Pass-through"-Zugriff erteilt werden soll.
Es ist fr jede Server-Installation im Rahmen der vorhergehenden Planung zu
entscheiden, welche dieser Mechanismen genutzt werden sollen.
Ergnzende Kontrollfragen:
- Sind adquate Zugriffskontroll-Mechanismen auf den Notes Servern ein-
gerichtet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2000
Manahmenkatalog Hardware/Software M 4.120 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2001
Manahmenkatalog Hardware/Software M 4.120 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2002
Manahmenkatalog Hardware/Software M 4.121 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2003
Manahmenkatalog Hardware/Software M 4.121 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2004
Manahmenkatalog Hardware/Software M 4.122 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2005
Manahmenkatalog Hardware/Software M 4.122 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2006
Manahmenkatalog Hardware/Software M 4.123 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2007
Manahmenkatalog Hardware/Software M 4.123 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2008
Manahmenkatalog Hardware/Software M 4.123 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2009
Manahmenkatalog Hardware/Software M 4.124 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2010
Manahmenkatalog Hardware/Software M 4.124 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2011
Manahmenkatalog Hardware/Software M 4.124 Bemerkungen
___________________________________________________________________ ..........................................
Beispiel:
Folgende Tabelle zeigt die Einstellungen im Serverdokument, die eine SSL-
Authentisierung mittels Client-Zertifikat ("Client Certificate" = Enabled)
und/oder die SSL-gesicherte Authentisierung ber Benutzername und Pass-
wort ("Name & Password" = Enabled) erzwingen. Damit keine unge-
sichertenVerbindungen angenommen werden, werden alle Verbindungs-
wnsche entweder an den SSL-Port weitergeleitet ("TCP/IP port status" =
Redirect to SSL) oder verweigert ("TCP/IP port status" = Disable). Der SSL-
Port wird so konfiguriert, dass auch keine anonymen Verbindungen ber eine
SSL-Verbindung angenommen werden ("Anonymous" = No).
Serverdokument/Ports/Internet Ports:
HTTP-Einstellungen TCP/IP port status: Redirect to SS
L oder
Disable
Name & Password: No
Anonymous: No
HTTPS(SSL)-Einstellungen SSL port status: Enabled
Client certificate: Enabled oder
Disabled*
Name & Password: Enabled oder
Disabled*
Anonymous: No
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2012
Manahmenkatalog Hardware/Software M 4.125 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2013
Manahmenkatalog Hardware/Software M 4.126 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2014
Manahmenkatalog Hardware/Software M 4.126 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2015
Manahmenkatalog Hardware/Software M 4.126 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wird eine aktuelle Notes-Client Version eingesetzt?
- Wurden die Benutzer ber die Sicherheitsmechanismen des Notes-Clients
informiert?
- Wird die Notes-ID gesichert aufbewahrt, so dass das unbefugte Kopieren
nicht mglich ist?
- Wird ein Passwort-geschtzter Bildschirmschoner eingesetzt?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2016
Manahmenkatalog Hardware/Software M 4.127 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2017
Manahmenkatalog Hardware/Software M 4.127 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2018
Manahmenkatalog Hardware/Software M 4.127 Bemerkungen
___________________________________________________________________ ..........................................
Benutzer selbst, so kann durch die gemischte Nutzung leicht das Abschalten
aktiver Inhalte fr den Internetzugriff vergessen werden. Dies bedeutet dann
eine erhhte Gefahr fr das lokale Rechnernetz, da nun u. U. schdliche aktive
Inhalte durch den Browser ausgefhrt werden. Eine gemischte Nutzung des
Browsers sollte daher nach Mglichkeit vermieden werden.
Bei der Nutzung von Browsern knnen durch falsche Handhabung durch die Benutzer einweisen
Benutzer verschiedene Sicherheitsprobleme auftreten. Daher mssen die
Benutzer in deren sichere Bedienung eingewiesen und verpflichtet werden, die
aufgefhrten Sicherheitsrichtlinien zu beachten.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2019
Manahmenkatalog Hardware/Software M 4.128 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2020
Manahmenkatalog Hardware/Software M 4.128 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2021
Manahmenkatalog Hardware/Software M 4.128 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2022
Manahmenkatalog Hardware/Software M 4.129 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2023
Manahmenkatalog Hardware/Software M 4.129 Bemerkungen
___________________________________________________________________ ..........................................
- Passwortqualitt,
- Verteilung und Aufbewahrungsort sowie
- Wiederherstellung.
Fr die Passwrter knnen Qualittsanforderungen beim Erzeugen einer neuen Qualittsskala fr
Passwrter
Benutzer-ID festgelegt werden. Dafr steht eine numerische Qualittsskala
von 0 (kein Passwort) bis 16 zur Verfgung. Generell stimmt zwar die
akzeptierte Passwortlnge mit dem numerischen Qualittswert berein, ist
jedoch nicht das einzige Bewertungskriterium. Leider ist aber zur Zeit keine
Liste von Lotus verfgbar, in der beschrieben wird, welche genauen Voraus-
setzungen ein Passwort zum Erreichen eines speziellen Qualittsniveaus erfl-
len muss.
Fr die verschiedenen Kategorien von Notes-IDs enthlt die folgende Liste
entsprechende Empfehlungen, die je nach Anforderungen adaptiert und erwei-
tert werden knnen.
- Certifier/Root-Certifier-ID:
- Erzeugung: Die ID wird automatisch beim Einrichten des ersten
Notes-Servers erzeugt. Erzeugung in sicherer Umgebung, unter
Vier-Augen-Prinzip.
- Gltigkeit: Lange Gltigkeit (mehrere Jahrzehnte, Default = 100
Jahre), wird nie gewechselt (Ausnahme: Kompromittierung der
Certifier-ID).
- Passwort: Mehrfachpasswort notwendig (mindestens zwei Perso-
nen, Vier-Augen-Prinzip). Erfordert sichere Passwrter (Notes-
Qualitt mindestens 10). Zur Realisierung des Vier-Augen-Prinzips
bietet Notes die Mglichkeit an, eine Notes-ID-Datei mit mehreren
Passwrtern zu schtzen. Die Notes-ID-Datei kann nur nach Eingabe
aller Passwrter verwendet werden. Es sind Intervalle fr den
erzwungenen Passwortwechsel anzugeben (empfohlen werden
hchstens 30 bis 40 Tage).
- Speicherung: Wird beim Anlegen neuer Benutzer oder Server
bentigt. Eine Speicherung im Namens- und Adressbuch (NAB) ist
nicht zulssig. Speicherung nur auf mobile Datentrger, z. B. Dis-
kette oder CD-ROM, zwei Sicherheitskopien mit hinterlegten Pass-
wrtern, an verschiedenen Orten vor fremden Zugriffen geschtzt
aufzubewahren.
- Wiederherstellung: Muss Wiederherstellungsinformationen enthal-
ten, damit damit zertifizierte Benutzer-IDs wiederhergestellt werden
knnen. Fr die Wiederherstellung sind weitere Schritte notwendig
(z. B. das Anlegen einer Datenbank), die in der Notes-Hilfe
beschrieben sind.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2024
Manahmenkatalog Hardware/Software M 4.129 Bemerkungen
___________________________________________________________________ ..........................................
- Server-ID:
- Erzeugung: Die ID wird automatisch bei der Serverinstallation
erzeugt. Erzeugung in sicherer Umgebung. Nutzung des Vier-
Augen-Prinzips.
- Gltigkeit: Lange Gltigkeit (mehrere Jahrzehnte, Default = 100
Jahre), wird nie gewechselt (Ausnahme: Kompromittierung).
- Passwort: Die Verwendung eines Passwortes erfordert die Pass-
worteingabe bei jedem Serverstart. Falls keine organisatorischen
Grnde dagegen sprechen (z. B. wenn der Remote-boot von Servern
an verschiedenen Standorten regelmig und ohne Vor-Ort-Unter-
sttzung erfolgen muss), wird die Nutzung von Server-ID-Pass-
wrtern empfohlen. Sicherheitskopien mssen immer mit einem
Passwort versehen sein. Es sind Intervalle fr den erzwungenen
Passwortwechsel anzugeben (empfohlen werden hchstens 60 Tage).
- Speicherung: Wird bei jedem Serverstart bentigt. Speicherung im
"Data"-Verzeichnis des Notes-Servers. Darf nicht auf einem Netz-
Share liegen. Eine Speicherung im Namens- und Adressbuch (NAB)
ist nicht zulssig. Wird kein Passwort verwendet (automatischer
Server-Restart), mssen restriktive Dateiberechtigungen eingerichtet
werden. Achtung: Kann eine nicht passwortgeschtzte Server-ID
von einem Unbefugten zugegriffen werden, so kann dieser (unter
den meist privilegierten Berechtigungen) auf andere Server zugrei-
fen. Sicherheitskopien analog zur Certifier-ID.
- Wiederherstellung: Enthlt die Wiederherstellungsinformationen
der Certifier-ID, mit der die Server-ID zertifiziert wurde.
- Administrator-ID:
- Erzeugung: Wird automatisch bei der Serverinstallation erzeugt
(Datei: "User.id"). Erzeugung in sicherer Umgebung. Nutzung des
Vier-Augen-Prinzips.
- Gltigkeit: Die Gltigkeit muss den lokalen Gegebenheiten ange-
passt werden. Hier mssen Sicherheit und administrativer Aufwand
beim Wechsel der Adminstrator-ID gegeneinander abgewogen
werden.
- Passwort: Die Administrator-ID muss mit einem Passwort versehen
sein. Aufgrund der privilegierten Stellung ist ein sehr sicheres
Passwort zu whlen (mindestens Notes-Qualitt 9-10). Es sind
Intervalle fr den erzwungenen Passwortwechsel anzugeben
(empfohlen werden hchstens 90 Tage).
- Speicherung: Die Administrator-ID ist dem Administrator auf
sicherem Weg zuzustellen. Eine Speicherung im Namens- und
Adressbuch (NAB) ist nicht zulssig. Die Notes-ID-Datei ist vor
fremdem Zugriff geschtzt aufzubewahren. Das Anlegen einer
Sicherheitskopie empfiehlt sich.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2025
Manahmenkatalog Hardware/Software M 4.129 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2026
Manahmenkatalog Hardware/Software M 4.130 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2027
Manahmenkatalog Hardware/Software M 4.130 Bemerkungen
___________________________________________________________________ ..........................................
- Als abschlieende Manahme ist die Datenbank und deren Inhalte (Skripte, Datenbank signieren
Agenten, Ansichten usw.) zu signieren. Dazu sollte eine spezielle Notes-ID
verwendet werden. Dies dokumentiert, dass die Datenbank geprft und fr
die unbedenkliche (bestimmungsgeme) Verwendung freigegeben ist.
Enthalten Datenbanken Skripte oder Agenten, die zur Ausfhrung bestimmter
Aktionen Notes-Rollen benutzen, so muss eine Planung der Rollenverteilung
durchgefhrt werden. Dies setzt eine detaillierte Dokumentation des Designs
(bei Drittherstellern) oder eine enge Kooperation mit den Datenbankent-
wicklern (bei Eigenentwicklung) voraus. In der Regel muss das Datenbank-
design von Eigenentwicklungen die lokalen Sicherheitsvorschriften und das
benutzte administrative Konzept bercksichtigen und darauf aufbauen.
Ergnzende Kontrollfragen:
- Wurden nach dem Anlegen einer neuen Datenbank alle Einstellungen
berprft?
- Ist jede Datenbank und deren Inhalte signiert worden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2028
Manahmenkatalog Hardware/Software M 4.131 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2029
Manahmenkatalog Hardware/Software M 4.131 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2030
Manahmenkatalog Hardware/Software M 4.131 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2031
Manahmenkatalog Hardware/Software M 4.132 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2032
Manahmenkatalog Hardware/Software M 4.132 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2033
Manahmenkatalog Hardware/Software M 4.133 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2034
Manahmenkatalog Hardware/Software M 4.133 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2035
Manahmenkatalog Hardware/Software M 4.133 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2036
Manahmenkatalog Hardware/Software M 4.134 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2037
Manahmenkatalog Hardware/Software M 4.135 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 3. EL Stand Juli 2001 2038
Manahmenkatalog Hardware/Software M 4.136 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2039
Manahmenkatalog Hardware/Software M 4.136 Bemerkungen
___________________________________________________________________ ..........................................
- Nach Aufspielen der reinen Betriebssystemsoftware mssen auf Servern Dienste konfigurieren
weitere Dienste konfiguriert werden. Dabei ist zu beachten, dass auf Server
in der Regel sofort nach Einstellen der Netzparameter vom Netz aus zuge-
griffen werden kann. Daher muss der Netzzugriff entsprechend einge-
schrnkt werden.
- Soll ein neuer Rechner in eine existierende Windows 2000 Domne aufge- Konfiguration durch
Gruppenrichtlinien
nommen werden, so erlaubt es der Mechanismus der Gruppenrichtlinien,
die initiale Konfiguration deutlich abzukrzen. Beim Beitritt zu einer
Domne werden die fr den Rechner relevanten Gruppenrichtlinienobjekte
ausgewertet und der Rechner wird entsprechend konfiguriert. Dazu muss
entweder ein entsprechendes Computerkonto in der Domne vorbereitet
werden, oder das Computerkonto wird beim Beitritt erzeugt. Dazu sind
dann entsprechende administrative Berechtigungen notwendig. Wird das
Computerkonto erst beim Beitritt erzeugt, so muss das Computerkonto
anschlieend in die gewnschte Organisationseinheit (OU) im Active
Directory verschoben werden, da solche Computerkonten standardmig
im AD-Container Computer erzeugt werden. Damit solche Computer eine
Standardsicherheitseinstellung erhalten, bis sie in die gewnschte OU
verschoben sind, sollten diese Einstellungen ber die Gruppenrichtlinien-
einstellungen der Domne erfolgen, da an AD-Container keine Gruppen-
richtlinienobjekte angehngt werden knnen.
- Wird ein Rechner als Stand-alone Rechner betrieben, ist also dieser in Stand-alone-Rechner
keine Domne aufgenommen worden, muss die Konfiguration der
Gruppenrichtlinien, die auch die Sicherheitseinstellungen enthalten, lokal
erfolgen.
Fr die Installation von Domnen-Controllern gilt auerdem:
- Bei der Installation von Domnen-Controllern ist besondere Sorgfalt gefor-
dert, da diese im spteren Betrieb sensitive Daten speichern, beispielsweise
Passwrter oder Kerberos-Schlssel in nicht gehashter Form.
- Domnen-Controller drfen nur auf Rechnern installiert werden, die sich in
einer physikalisch sicheren Umgebung befinden (siehe auch M 1.29
Geeignete Aufstellung eines IT-Systems).
- Wird ein Windows 2000 Server zu einem Domnen-Controller herauf- starkes Passwort fr
Recovery Modus
gestuft, so muss ein Passwort angegeben werden, welches im so genannten
Active Directory Recovery Modus abgefragt wird. In diesem Modus, der
fr Notfallreparaturen am Active Directory gedacht ist, knnen u. a.
aktuelle Active Directory Daten mit Backup-Daten berschrieben werden.
Da dies eine sehr sicherheitskritische Operation darstellt, darf dieser
Zugang nicht ungeschtzt sein. Im Rahmen der Heraufstufung wird ein
Domnen-Administratorkonto erzeugt und das rechnerlokale Administra-
torkonto als Anmeldekonto fr den Active Directory Recovery Modus
genutzt. Dieses muss mit einem starken Passwort gesichert sein.
- Die Installationsreihenfolge der jeweils ersten Domnen-Controller einer Installationsreihenfolge
einhalten
Domne muss eingehalten werden. Die erste in einem Netz durch die
Installation eines zugehrigen Windows 2000 Domnen-Controllers
erzeugte Domne bernimmt die Rolle der Forest-Root-Domne (FRD),
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2040
Manahmenkatalog Hardware/Software M 4.136 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2041
Manahmenkatalog Hardware/Software M 4.137 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2042
Manahmenkatalog Hardware/Software M 4.137 Bemerkungen
___________________________________________________________________ ..........................................
- Das Gast-Konto sollte nicht genutzt und daher mglichst auch nicht akti-
viert werden. Das Umbenennen des Gast-Kontos ist mglich, bietet jedoch
keinen wirklichen Schutz, da das Gast-Konto beispielsweise ber die
Security-ID (SID) des Kontos identifiziert werden kann.
- Konten sollten nach einer vorgegebenen Anzahl von Passwortfehleingaben
automatisch gesperrt werden. Die dann notwendige Freischaltung sollte nur
durch einen befugten Administrator erfolgen (siehe auch M 2.231 Planung
der Gruppenrichtlinien unter Windows 2000).
- Smtliche Verwaltungsaktivitten an Benutzerkonten sollten protokolliert
werden (siehe auch M 4.148 berwachung eines Windows 2000 Systems).
- Die im Rahmen der Windows 2000 Planung festgelegten Gruppen, die sich
an einem Rechner lokal oder ber das Netz anmelden drfen, mssen
konfiguriert werden.
- Fr alle Rechner muss ein passwortgeschtzter Bildschirmschoner aktiviert
sein, der nach einem vorgegebenen Zeitintervall automatisch startet.
- Ist die abgesicherte Kommunikation zwischen Windows 2000 Rechnern
gewnscht oder notwendig, so kann die Verschlsselung mittels IPSec
erfolgen (siehe M 5.90 Einsatz von IPSec unter Windows 2000).
In Abhngigkeit vom Verwendungszweck sind auerdem folgende Aspekte
jeweils zu bercksichtigen:
- Arbeitsplatzrechner: Die Sicherheit eines Arbeitsplatzrechners hngt im
Wesentlichen davon ab, ob ein Benutzer administrativ auf den Rechner
einwirken kann, welche Funktionen dem Benutzer verfgbar gemacht
werden und ob der Benutzer die ihm zur Verfgung gestellten Sicherheits-
mechanismen korrekt nutzt. Detaillierte Manahmen sind im Baustein 5.7
Windows 2000 Client, sowie in M 4.150 Konfiguration von Windows 2000
als Workstation und M 3.28 Schulung zu Windows 2000 Sicherheits-
mechanismen fr Benutzer beschrieben. Fr die Verwendung als Laptop ist
auerdem die Manahme M 4.147 Sichere Nutzung von EFS unter
Windows 2000 relevant.
- Server: Die Sicherheit eines Servers hngt im Wesentlichen davon ab, ob
die von ihm angebotenen Dienste sicher konfiguriert wurden. Dies muss
durch eine sichere Grundkonfiguration des Betriebssystems untersttzt
werden. Detaillierte Empfehlungen dazu finden sich in
M 4.139 Konfiguration von Windows 2000 als Server, sowie in der
Manahme M 4.140 Sichere Konfiguration wichtiger Windows 2000
Dienste und den dort referenzierten Manahmen.
- Domnen-Controller: Auf Domnen-Controllern werden im Active
Directory wichtige Systemdaten gehalten. Diese mssen besonders
geschtzt werden. Die fr Domnen-Controller spezifischen Manahmen
sind in M 4.138 Konfiguration von Windows 2000 als Domnen-Controller
zusammengefasst. Da einige wichtige Windows Dienste auch auf
Domnen-Controllern ablaufen knnen oder mssen, findet auch die
Manahme M 4.140 Sichere Konfiguration wichtiger Windows 2000
Dienste Anwendung.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2043
Manahmenkatalog Hardware/Software M 4.137 Bemerkungen
___________________________________________________________________ ..........................................
Windows 2000 erlaubt es, Netzfreigaben fr jeden Rechner, d. h. fr Arbeits- Freigaben auf
platzrechner, Server oder Domnen Controller, zu konfigurieren. Netzfrei- Arbeitsplatzrechnern
gaben knnen unter Sicherheitsgesichtspunkten problematisch sein. Freigaben und Domnencontrollern
vermeiden
auf Arbeitsplatzrechnern sollten mglichst vermieden werden, da ein Netz-
zugriff auf diese in der Regel nicht sinnvoll ist (siehe auch
M 5.37 Einschrnken der Peer-to-Peer-Funktionalitten in einem server-
gesttzten Netz). Ausnahmen sollten daher begrndet und dokumentiert
werden. Fr Netzfreigaben auf Servern (z. B. Dateiserver, Druckserver) gilt,
dass die Freigaben durch Zugriffsrechte zu schtzen sind, so dass diese nur
den autorisierten Benutzergruppen zur Verfgung stehen. Die Zugriffsrechte
auf die durch die Freigaben zur Verfgung gestellten Ressourcen (z. B.
Dateien und Verzeichnisse) sind durch restriktive Zugriffsrechte zu schtzen.
Netzfreigaben auf Domnen-Controller stellen u. U. eine besondere Gefahr
dar, da die Daten auf Domnen-Controllern besonders geschtzt werden
mssen. Auch hier sind Freigaben zu begrnden und zu dokumentieren.
Generell sollte fr jede Freigabe eine Risikoabschtzung erfolgen. Die Sicher- restriktive Zugriffsrechte
vergeben
heit der durch eine Netzfreigabe angebotenen Ressourcen hngt vor allem von
den eingestellten Zugriffsrechten ab. Diese knnen unter Windows 2000
feingranular vergeben werden. Welche Zugriffsrechte zu verwenden sind,
kann nur im Einzelfall bestimmt werden. Generell gilt jedoch, dass die
Zugriffsrechte so restriktiv wie mglich vergeben werden sollten. Spezielle
Hinweise zum Umgang mit Dateizugriffsrechten finden sich auch in
M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000.
Unter Windows 2000 wird standardmig Kerberos als Authentisierungs-
mechanismus eingesetzt. Da die Systemsicherheit auch von der korrekten und
zuverlssigen Authentisierung abhngt, kommt den Komponenten von
Kerberos eine wichtige Rolle zu. Die Windows 2000 Komponenten von
Kerberos bentigen keine umfangreiche Konfiguration und stellen nur wenige
Konfigurationsparameter bereit. Diese knnen ber Gruppenrichtlinien ange-
passt werden. Es existieren folgende Konfigurationsmglichkeiten:
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2044
Manahmenkatalog Hardware/Software M 4.137 Bemerkungen
___________________________________________________________________ ..........................................
Bei der Konfiguration der Parameter ber eine Gruppenrichtlinie (GPO) ist
Folgendes zustzlich zu beachten:
- Die Parameter sollten im Probebetrieb an die lokalen Gegebenheiten ange-
passt werden.
- Die GPO-Einstellungen werden nur wirksam, wenn sie zu einem GPO-
Objekt gehren, das mit einem Domnen-Objekt verbunden ist.
- Fr Stand-alone-Rechner wird Kerberos als Authentisierungsverfahren zur
Anmeldung an lokale Benutzerkonten nicht genutzt.
Neben den hier angesprochenen Windows 2000 spezifischen Manahmen
muss generell fr jeden Rechner bzw. fr jede Gruppe von Rechnern eine
Schutzbedarfsfeststellung erfolgen (siehe Kapitel 2.2), die die speziellen
Risiken, z. B. durch installierte Software oder Einsatzszenarien, bercksich-
tigt. Zustzlich sollten auch die generellen Manahmen Anwendung finden,
wie sie in den brigen relevanten Bausteinen des IT-Grundschutzhandbuchs
beschrieben sind.
Ergnzende Kontrollfragen:
- Sind alle Rechner gem der ihnen zugedachten Rolle konfiguriert?
- Werden die geplanten Protokolleinstellungen umgesetzt?
- Sind eventuell notwendige nderungen in den Kerberos-Parametern umge-
setzt und getestet?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2045
Manahmenkatalog Hardware/Software M 4.138 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2046
Manahmenkatalog Hardware/Software M 4.138 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2047
Manahmenkatalog Hardware/Software M 4.138 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Sind fr alle Domnen-Controller restriktive Zugriffsrechte auf Betriebs-
systemebene vergeben?
- Wurden die AD-Berechtigungen restriktiv vergeben?
- Ist die physikalische Sicherheit aller Domnen-Controller gewhrleistet?
- Sind nur die gem Planung bentigten Dienste fr jeden Domnen-
Controller installiert?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2048
Manahmenkatalog Hardware/Software M 4.139 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2049
Manahmenkatalog Hardware/Software M 4.139 Bemerkungen
___________________________________________________________________ ..........................................
wnschte Konto ist nach dem Anlegen unter dem Punkt Dieses Konto auf
der Registerkarte Anmelden im Eigenschaftsdialog des Dienstes in der
Diensteverwaltung (Systemsteuerung/Computerverwaltung/Dienste) einzu-
tragen. Hier muss auch das Passwort des jeweiligen Kontos angegeben
werden. Auf diese Weise lsst sich auch die Zugriffskontrolle auf lokale
oder entfernte Ressourcen implementieren, so dass einem Dienst nur die
Zugriffsberechtigungen erteilt werden, die fr den geregelten Ablauf ntig
sind. Insbesondere verhindert dies, dass bei einer Kompromittierung des
Dienstes der Angreifer Betriebssystemberechtigungen erhlt.
Problematisch ist dabei jedoch, dass neue Dienste meistens standardmig
unter den Berechtigungen Local System ablaufen. Dies gilt auch fr die
Windows Standarddienste. Auerdem ist es oft unklar, ob diese Dienste
auch unter einem dedizierten Dienstkonto ablauffhig sind und welche
Berechtigungen diesem Konto eingerumt werden mssen. Dies kann im
Regelfall nur durch Tests herausgefunden werden.
- Werden fr Dienste dedizierte Dienstkonten genutzt, so sollten diese
Konten fr den interaktiven Zugang zum System gesperrt werden. Das
Anmelden als Dienst muss hingegen erlaubt werden. Auerdem ist ein
sicheres Passwort fr das Dienstkonto zu vergeben. Zur Verwaltung von
Dienstkonten existieren Produkte von Drittherstellern, die auch ein Pass-
wortmanagement erlauben.
- Fr komplexe Dienste, die meist ber eine lokale Datenhaltung verfgen, komplexe Dienste auf
dedizierten Rechnern
empfiehlt sich die Nutzung dedizierter Rechner. Beispiele hierfr sind u. a. betreiben
der RAS-Dienst und die Internet Information Services (IIS). Je nach Funk-
tion empfiehlt es sich auch, eine eigene Windows Domne fr gleichartige
Dienstrechner, wie z. B. fr Internetserver zu erzeugen, so dass auch auf
Domnenebene eine Trennung erfolgen kann. Je nach Einsatzszenario
knnen dann Zugriffsbeschrnkungen fr diese Domnenmitglieder einge-
richtet werden, wie beispielsweise der Entzug der Vertrauensstellung.
- Werden durch einen Server Netzfreigaben angeboten, wie beispielsweise Zugriffsrechte auf
Netzfreigaben
durch einen Dateiserver, so ist auf die Vergabe geeigneter Zugriffsrechte
zu achten. Dies betrifft sowohl die Netzfreigabe, als auch die durch die
Freigabe angebotenen Verzeichnisse und Dateien (siehe dazu auch
M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000).
- Generell empfiehlt es sich, die Zugriffe auf die Ressourcen eines Servers Angriffe protokollieren
zu protokollieren. Daher sollten fr Server Protokolleinstellungen entwor-
fen und umgesetzt werden, die fr die berwachung im Rahmen der
jeweiligen Nutzungsszenarien geeignet sind. Diese mssen in das ber-
wachungskonzept (siehe M 4.148 berwachung eines Windows 2000
Systems) integriert sein. Da hier meist auch benutzerbezogene Daten erfasst
werden, sollte sowohl der Datenschutzbeauftragte als auch der Personal-
bzw. Betriebsrat rechtzeitig in die Planung einbezogen werden.
Die aufgezeigten Empfehlungen sind als Anregung fr weitere Manahmen zu
verstehen, die in Abhngigkeit spezieller Dienste und deren Funktion durch-
gefhrt werden mssen. Vor Einfhrung eines neuen Dienstes sollte daher
eine geeignete Analyse der Auswirkungen auf die Systemsicherheit sowie eine
Schutzbedarfsfeststellung erfolgen (siehe dazu auch Kapitel 2.2).
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2050
Manahmenkatalog Hardware/Software M 4.139 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Werden nur die bentigten Dienste auf einem Server ausgefhrt?
- Sind bei Nutzung mehrerer Dienste auf einem Server Abhngigkeiten und
Seiteneffekte bercksichtigt worden?
- Ist der lokale Benutzerbetrieb fr Server unterbunden worden?
- Werden Dienste - wenn mglich - unter eigenen Konten ausgefhrt?
- Werden Zugriffe auf die Server-Ressourcen gem des berwachungs-
konzeptes protokolliert?
- Sind fr Dateiserver bedarfsgerechte und minimale Zugriffsrechte auf die
Netzfreigaben und die freigegebenen Ressourcen vergeben?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2051
Manahmenkatalog Hardware/Software M 4.140 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2052
Manahmenkatalog Hardware/Software M 4.140 Bemerkungen
___________________________________________________________________ ..........................................
sich zustzlich das Problem der Konsistenz der jeweils gehaltenen Daten.
Hinweise zur sicheren Konfiguration von WINS finden sich in
M 4.142 Sichere Konfiguration des WINS unter Windows 2000.
- DHCP (Dynamic Host Configuration Protocol) bietet die Mglichkeit, Konsistenz von DHCP
und DDNS
Rechner dynamisch mit IP-Adressen zu versehen. Einem so genannten
DHCP-Server wird eine Menge von IP-Adressen bergeben, die er auf
Anfrage von DHCP-Clients dem anfragenden Rechner zuteilen kann. Die
IP-Adressen werden dabei nur fr eine bestimmte Zeit, die so genannte
Lease-Zeit, zugeteilt. Ist diese abgelaufen, muss eine erneute Anfrage an
den DHCP-Server gestellt werden. Hierbei kann eine neue IP-Adresse
angefragt oder die Lease-Zeit der alten Adresse verlngert werden. Ein
Rechner kann die IP-Adresse auch vor Ablauf der Lease-Zeit wieder frei-
geben. Aufgrund der dynamischen Zuordnung von IP-Adresse zu Rechner
und demzufolge auch zum Rechnernamen, muss bei nderungen der
Zuordnung auch eine nderung im Namensdienst (DDNS) erfolgen. Aus
Sicherheitssicht ergibt sich dabei das Problem, die Konsistenz der Namen
zur IP-Adressen-Zuordnung innerhalb des DDNS angesichts stndig
wechselnder Zuordnungen zu gewhrleisten. Hinweise zur sicheren Konfi-
guration und Nutzung von DHCP finden sich in M 4.143 Sichere Konfi-
guration des DHCP unter Windows 2000. Wenn es organisatorisch
mglich ist, sollte eine feste Bindung von IP-Adressen an die MAC-Adres-
sen der Netzwerkkarten in den einzelnen Rechnern angestrebt werden und
keine voll dynamische Vergabe erfolgen. Dies erleichtert zudem die
Auswertung von Protokollen auf anderen Systemen, wie z. B. Firewalls.
- Neben den Windows 2000 Systemmechanismen zur Authentisierung und PKI-Einsatz erfordert
Sorgfalt und Zeit
Absicherung von Kommunikationskanlen erlaubt Windows 2000 zustz-
lich die Verwendung PKI-basierter (Public Key Infrastructure) Verfahren.
Zur Verwaltung der dabei eingesetzten Schlssel und Zertifikate stellt
Windows 2000 PKI-Komponenten zur Verfgung. Die Kernkomponente
einer PKI-Architektur ist die Ausgabestelle fr Zertifikate (Certificate
Authority, CA). Hinweise zum Umgang und zur sicheren Konfiguration
der Windows 2000 CA finden sich in M 4.144 Nutzung der Windows 2000
CA. Es muss jedoch darauf hingewiesen werden, dass die Planung und der
Betrieb einer PKI Sorgfalt und Zeit bentigen und auch die lokalen Anfor-
derungen bercksichtigt werden mssen. Die angefhrten Empfehlungen
beziehen sich daher nur auf die technischen Besonderheiten der Windows
CA.
- Auch unter Windows 2000 steht mit dem Dienst RRAS (Routing & sichere Einwahl ber
RRAS
Remote Access Service) die Mglichkeit zur Verfgung, per Einwahl aus
der Entfernung auf Ressourcen eines Windows 2000 Netzes zuzugreifen.
Auerdem ist es hiermit mglich, abgesicherte VPN (Virtual Private
Networking) Verbindungen zwischen Teilnetzen verschiedener Standorte
herzustellen. Wird Benutzern die Mglichkeit zur Einwahl erffnet, erge-
ben sich automatisch neue Gefhrdungen fr ein Windows 2000 Netz. Nun
spielt auch die Sicherheit der zur Einwahl benutzten Rechner, z. B. am
heimischen Arbeitsplatz (siehe dazu auch Baustein 9.3 Telearbeit), und die
Sicherheit bei der Kontaktaufnahme (Authentisierung, Absicherung der
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2053
Manahmenkatalog Hardware/Software M 4.140 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2054
Manahmenkatalog Hardware/Software M 4.141 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2055
Manahmenkatalog Hardware/Software M 4.141 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2056
Manahmenkatalog Hardware/Software M 4.141 Bemerkungen
___________________________________________________________________ ..........................................
nen eine Zeit lang nicht aktuelle DNS-Zuordnungen existieren, die von
Angreifern ausgenutzt werden knnten. Hier empfiehlt es sich, das
Forward-Mapping durch den DHCP-Server nach Ablauf der Lease-Dauer
lschen zu lassen, damit inkonsistente Zuordnungen nur mglichst kurz
existieren. Diese Funktion lsst sich im Eigenschaftsdialog des DHCP-
Servers auf der Registerkarte DNS mit der Option Forward-Lookups
(Name zu Adresse) beim Ablauf des Lease lschen aktivieren. Es ist zu
beachten, dass auch hier, z. B. im Falle eines Rechnerausfalles, die Name-
IP-Adressen-Zuordnung noch bis zum Ablauf der Lease-Dauer im DNS-
Server existiert.
Zusammenfassend ergibt sich, dass DNS-Informationen sicherheitsrelevante,
schutzwrdige Daten darstellen. Kann ein Angreifer DNS-Informationen
verflschen, so kann die Sicherheit des gesamten Netzes kompromittiert
werden. Insofern erfordert insbesondere die Nutzung von DHCP mit DNS
eine sorgfltige Planung unter Sicherheitsgesichtspunkten.
Ergnzende Kontrollfragen:
- Knnen alle Zonen als AD-integrierte Zonen betrieben werden?
- Ist der Sichere Update fr alle AD-integrierten Zonen aktiviert?
- Ist fr alle Zonen das bertragen der Zoneninformationen so konfiguriert,
dass der Austausch nur mit bekannten DNS-Servern erfolgen kann?
- Sind die DNS-Eintrge fr wichtige Infrastrukturserver fest vorkonfi-
guriert?
- Ist der DHCP-Server so konfiguriert, dass durch ihn erzeugte DNS-
Eintrge nach Ablauf der Lease-Dauer automatisch gelscht werden?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2057
Manahmenkatalog Hardware/Software M 4.142 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2058
Manahmenkatalog Hardware/Software M 4.142 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2059
Manahmenkatalog Hardware/Software M 4.143 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2060
Manahmenkatalog Hardware/Software M 4.143 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2061
Manahmenkatalog Hardware/Software M 4.143 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2062
Manahmenkatalog Hardware/Software M 4.144 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2063
Manahmenkatalog Hardware/Software M 4.144 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2064
Manahmenkatalog Hardware/Software M 4.144 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Wurde eine bedarfsgerechte PKI-Planung durchgefhrt?
- Sind alle Rechner, auf denen CA-Komponenten installiert sind, gegen
unbefugten Zugriff geschtzt?
- Sind alle Rechner, auf denen CA-Komponenten installiert sind, physika-
lisch geschtzt?
- Sind auf Rechnern, auf denen CA-Komponenten installiert sind, keine
anderen Infrastrukturdienste installiert?
- Sind fr alle CAs alle eingerichteten Vertrauensstellungen geprft worden?
- Sind fr alle Zertifikatsvorlagen die notwendigen Zugriffsrechte fr
Benutzer eingetragen?
- Ist eine Enterprise-CA installiert worden, wenn eine Benutzerauthenti-
sierung mittels Chipkarte geplant ist oder wenn die Kommunikation
zwischen Windows 2000 Systemkomponenten mittels SSL abgesichert
werden soll?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2065
Manahmenkatalog Hardware/Software M 4.145 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2066
Manahmenkatalog Hardware/Software M 4.145 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2067
Manahmenkatalog Hardware/Software M 4.145 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2068
Manahmenkatalog Hardware/Software M 4.146 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2069
Manahmenkatalog Hardware/Software M 4.146 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2070
Manahmenkatalog Hardware/Software M 4.146 Bemerkungen
___________________________________________________________________ ..........................................
werden, dass sie in der gesamten Domne verteilt werden. Daher muss
dieser Vorgang unter grter Sorgfalt erfolgen. Es empfiehlt sich, den AD-
Restore-Modus nur im Vier-Augen-Prinzip zu nutzen, da Eingabefehler die
Integritt des AD zerstren knnen.
- Neben der Sicherheit des Active Directories und die durch die im AD fest- Sicherheit der
Systemdienste
gelegten Parameter bedingte Systemsicherheit muss auch die Sicherheit
wichtiger Systemdienste gewhrleistet werden. Hierbei spielt die Sicherheit
von DNS, WINS, DHCP, RAS sowie Kerberos eine besondere Rolle. Auch
hier muss bei nderungen sichergestellt werden, dass die fr Windows
2000 geltenden und festgelegten Sicherheitsrichtlinien nicht verletzt
werden. Hinweise zur Konfiguration dieser Dienste finden sich in der
Manahme M 4.140 Sichere Konfiguration wichtiger Windows 2000
Dienste und den darin referenzierten Manahmen.
- Fr die Verwaltung eines Windows 2000 Systems stehen standardmig Zugriff auf
Verwaltungstools
die so genannten Snap-ins der Microsoft Management Console (MMC- beschrnken
Snap-ins) zur Verfgung. MMC-Snap-ins stellen Verwaltungsmodule dar,
die ber eine standardisierte Schnittstelle in die MMC integriert werden
knnen. Der Zugriff auf die verschiedenen MMC-Snap-ins muss daher
reglementiert werden. Normalen Benutzern sollte der Zugriff auf System-
verwaltungswerkzeuge generell untersagt werden. Als Ausnahme ist hier
jedoch das MMC-Snap-in zur Verwaltung von Zertifikaten zu nennen,
welches auch von normalen Benutzern zum Verwalten der eigenen Zertifi-
kate genutzt werden muss. Der Zugriff auf die einzelnen MMC-Snap-ins
lsst sich dabei feingranular ber GPO-Einstellungen regeln.
- Die Verwaltungstools zum Zugriff auf die lokale Registry eines Rechners
(regedt32 und regedit) sollten nicht fr normale Benutzer zugreifbar sein.
Auch dies lsst sich durch GPO-Einstellungen erreichen.
- Die Sicherheit eines Windows 2000 Netzes hngt von vielen Faktoren ab. neue Applikationen
testen
Insbesondere knnen Sicherheitslcken auch durch Zusatzapplikationen
entstehen, die entweder fehlkonfiguriert sind oder Fehler in der Program-
mierung enthalten. Oft ergeben sich Probleme auch erst durch den gemein-
samen Betrieb mehrerer Anwendungen. Aus diesem Grund sind vor
Einfhrung einer neuen Applikation Tests durchzufhren, die einen ersten
Hinweis darauf geben, ob offensichtliche Probleme bestehen. Eine voll-
stndige Sicherheit kann hier jedoch nicht erreicht werden, da insbesondere
der Test auf Fehler durch Seiteneffekte in anderen Applikationen schwierig
durchzufhren und extrem aufwendig ist.
- Auch wenn nderungen sorgfltig und unter Einhaltung aller Vorsichts- berwachung des
Systems
manahmen erfolgen, kann die Existenz von Sicherheitslcken in einem
komplexen System nie ganz ausgeschlossen werden. Aus diesem Grund
sollte immer eine geeignete Systemberwachung stattfinden (siehe auch
M 4.148 berwachung eines Windows 2000 Systems). Dabei muss die
Strke und Genauigkeit der berwachung der Gefhrdungslage angepasst
sein. Die Art und Weise der berwachung kann dabei immer nur im
konkreten Fall festgelegt werden. Generell sollten auch die Ttigkeiten von
Administratoren durch die berwachung erfasst werden. Zustzlich
empfiehlt sich eine regelmige berprfung, damit eventuelle Lcken,
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2071
Manahmenkatalog Hardware/Software M 4.146 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2072
Manahmenkatalog Hardware/Software M 4.147 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2073
Manahmenkatalog Hardware/Software M 4.147 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2074
Manahmenkatalog Hardware/Software M 4.147 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2075
Manahmenkatalog Hardware/Software M 4.147 Bemerkungen
___________________________________________________________________ ..........................................
- EFS bietet derzeit ber die graphische Oberflche von Windows 2000
keine Mglichkeit an, Dateien so zu verschlsseln, dass verschiedene
Benutzer darauf zugreifen knnen. Generell ist es jedoch mit EFS mglich,
eine Datei fr eine ganze Liste von Benutzern zu verschlsseln. Dazu muss
allerdings auf die EFS Programmierschnittstelle (EFS-API) zurck-
gegriffen und ein entsprechendes Programm geschrieben werden.
- Mit EFS verschlsselte Daten werden auf dem Rechner ver- und entschls- EFS ist keine
Netzverschlsselung
selt, der die Daten gespeichert hat. Dies bedeutet insbesondere, dass Daten,
die auf einem Server verschlsselt gespeichert werden, beim Zugriff durch
einen Client im Klartext ber das Netz bertragen werden. Mssen die
Daten in Abhngigkeit vom ermittelten Schutzbedarf auch whrend der
bertragung geschtzt werden, so sind zustzliche Manahmen zur
Absicherung der Netzkommunikation erforderlich. Hierfr kann z. B. SSL
oder IPSec verwendet werden, siehe dazu auch M 5.90 Einsatz von IPSec
unter Windows 2000.
- Wird EFS fr lokale Benutzerkonten eingesetzt, so muss die Registry-
Verschlsselung mittels des Kommandos syskey unter Verwendung eines
Passwortes erfolgen. Nur so knnen die lokalen Kontenpasswrter vor dem
Zurcksetzen durch "Hacker-Werkzeuge" geschtzt werden.
EFS ist nur bei richtiger Anwendung eine kostengnstige Alternative zur
Dateiverschlsselung mit anderen Werkzeugen. EFS kann beispielsweise auf
Laptops eingesetzt werden, um die fehlende physikalische Sicherheit
auszugleichen, so dass Daten vor dem unbefugten Zugriff an den Betriebs-
systemmechanismen vorbei geschtzt werden knnen. Der Einsatz von EFS
ist jedoch nicht in jedem Fall zweckmig, so dass fr den jeweiligen Einsatz-
zweck entschieden werden muss, ob EFS benutzt werden soll.
Ergnzende Kontrollfragen:
- Wird die Nutzung von EFS im Datensicherungskonzept bercksichtigt?
- Sind die Benutzer im korrekten Umgang mit EFS geschult?
- Sind mit EFS verschlsselte Dateien zustzlich durch restriktive Zugriffs-
rechte geschtzt?
- Wurde ein dediziertes Konto fr den Wiederherstellungsagenten erzeugt
und dessen privater Schlssel gesichert und aus dem System entfernt?
- Wird die syskey-Verschlsselung mit Passwort verwendet, wenn EFS mit
lokalen Konten eingesetzt wird?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2076
Manahmenkatalog Hardware/Software M 4.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2077
Manahmenkatalog Hardware/Software M 4.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2078
Manahmenkatalog Hardware/Software M 4.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2079
Manahmenkatalog Hardware/Software M 4.148 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2080
Manahmenkatalog Hardware/Software M 4.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2081
Manahmenkatalog Hardware/Software M 4.149 Bemerkungen
___________________________________________________________________ ..........................................
Zur Steuerung der Rechtebernahme auf Objekte beim Einsatz des Verer-
bungsmechanismus stehen zwei weitere Optionen zur Verfgung:
- Das bernehmen vererbter Rechte kann fr Objekte mit der Option
Vererbbare bergeordnete Berechtigungen bernehmen erlaubt oder
blockiert werden.
- Das bernehmen vererbter Rechte durch Objekte im Unterbaum kann mit
der Option Berechtigungen in allen untergeordneten Objekten zurcksetzen
und die Verarbeitung vererbbarer Berechtigungen aktivieren erzwungen
werden.
Stehen die beiden Rechte in Konflikt miteinander, so wird die erzwungene
bernahme der vererbten Rechte durchgesetzt.
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2082
Manahmenkatalog Hardware/Software M 4.149 Bemerkungen
___________________________________________________________________ ..........................................
Im Rahmen der Planung des Windows 2000 Einsatzes ist auch das Zugriffs-
konzept fr Dateien und Ordner zu entwerfen, durch das die detaillierten
Zugriffsrechte festgelegt werden. Dabei sind die organisatorischen und
geschftlichen Anforderungen zu bercksichtigen. Generell empfiehlt es sich,
fr die Windows 2000 Systemdateien restriktive Rechte zu vergeben.
Als Ausgangskonfiguration knnen folgende Berechtigungsvorgaben genutzt
werden, die jedoch auf jeden Fall an die lokalen Gegebenheiten angepasst
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2083
Manahmenkatalog Hardware/Software M 4.149 Bemerkungen
___________________________________________________________________ ..........................................
werden mssen. Die vorgeschlagenen Einstellungen gehen davon aus, dass die
Benutzerkennung Hauptbenutzer (Power-User) nicht verwendet wird, da
administrative Belange durch Administratoren mit entsprechenden Berechti-
gungen im Rahmen des Administrationskonzeptes abgedeckt werden. Aus
diesem Grund ist die Kennung Hauptbenutzer aus allen Zugriffslisten zu
entfernen. Zustzlich empfiehlt sich im Rahmen des Administrationskonzeptes
eine Gewaltenteilung, so dass die administrativen Berechtigungen auf entspre-
chende Konten aufgeteilt werden. Im Folgenden wird jedoch davon ausgegan-
gen, dass jeweils die Gruppe Administratoren die gesamte administrative
Gewalt hat. Die Berechtigungen gelten nur fr die angegebenen Verzeichnisse
oder Dateien und sind nicht fr die Vererbung gedacht.
Verzeichnis Rechte
Stammverzeichnis der
System- Administratoren: Vollzugriff
partition SYSTEM: Vollzugriff
Benutzer: Lesen
\WINNT Administratoren: Vollzugriff
SYSTEM: Vollzugriff
ERSTELLER-BESITZER: Vollzugriff
Benutzer: Lesen, Ausfhren
WINNT\REPAIR Administratoren: Vollzugriff
WINNT\SYSTEM32\CONFIG Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen
WINNT\SYSTEM32\SPOOL Administratoren: Vollzugriff
SYSTEM: Vollzugriff
ERSTELLER-BESITZER: Vollzugriff
Benutzer: Lesen
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2084
Manahmenkatalog Hardware/Software M 4.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2085
Manahmenkatalog Hardware/Software M 4.149 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2086
Manahmenkatalog Hardware/Software M 4.150 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2087
Manahmenkatalog Hardware/Software M 4.150 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2088
Manahmenkatalog Hardware/Software M 4.150 Bemerkungen
___________________________________________________________________ ..........................................
Ergnzende Kontrollfragen:
- Ist sichergestellt, dass auch lokal gehaltene Daten durch das Datensiche-
rungskonzept erfasst werden?
- Wurde der Arbeitsplatzrechner so konfiguriert, dass durch Benutzer keine
administrativen Ttigkeiten ausgefhrt werden knnen?
- Werden temporre Dateien und Verzeichnisse regelmig gelscht?
- Ist EFS fr alle Rechner, die Dateien verschlsselt vorhalten sollen,
aktiviert?
- Werden Zugriffe auf wichtige Systembereiche berwacht?
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2089
Manahmenkatalog Hardware/Software M 4.151 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2090
Manahmenkatalog Hardware/Software M 4.151 Bemerkungen
___________________________________________________________________ ..........................................
___________________________________________________________________ ..........................................
IT-Grundschutzhandbuch: 4. EL Stand Mai 2002 2091
Manahmenkatalog Hardware/Software M 4.151 Bemerkungen
___________________________________________________________________ ..........................................